首先，要弄清上述這些基礎困難問題的抗量子計算安全性。目前除了雜湊樹外，這方面的研究因為量子攻擊方式的未知而很稀少，研究對這些問題可能的量子攻擊方式并評估安全性和具體安全強度是具有挑戰(zhàn)性的課題。

其次，研究經典計算下基礎困難問題的安全性，評估其具體安全強度，給出主要參數(shù)控制下的安全強度公式，這是實際應用中要解決的首要問題。對于參數(shù)多的計算問題，找出安全的可用強參數(shù)類或者排除弱參數(shù)類; 利用更細致的分析方法給出更精準的評估公式，這些都是重要的研究課題。如果能發(fā)現(xiàn)類似于數(shù)域篩法求解整數(shù)因子分解和有限域離散對數(shù)問題那樣具有標志性的方法和公式，那將是該領域密碼最重要的安全強度共識。

第三，關于帶結構困難問題的安全性研究。為了約減公私鑰和簽名加密結果的尺寸大小， 現(xiàn)有的研究方式是使用帶結構困難問題來替代一般性困難問題，如環(huán)上含錯學習問題RLWE將格密碼密鑰尺寸從一般性LWE矩陣的二次存儲量級降為向量的一次存儲量級，基于糾錯碼的公鑰密碼HQC也利用類似的多項式環(huán)工具將公私鑰設置為一次存儲量級的多項式。很重要的研究課題是帶結構環(huán)上基礎問題的安全性，是否帶來新的攻擊？數(shù)學理論對基于分圓多項式的多項式環(huán)能否形成有效攻擊或降低安全強度？目前， 國內外有學者如Bernstein，進行了這方面的初步研究。

第四，關于后量子密碼方案的安全性論證。 眾所周知，可證明安全理論是公鑰密碼安全性論證的一種重要方法，它在合理假設下將方案的安全性歸約到基礎困難問題的難計算性， 例如將ECC的安全性歸約到ECDHP問題，而后一個問題經過長時間的研究被公認為和橢圓曲線離散對數(shù)問題等價。后量子密碼方面，格密碼是可證明安全性做得比較好的領域，但總的來說，補齊現(xiàn)有安全性歸約缺失的環(huán)節(jié)、提出更簡潔更純粹的基礎困難問題、初步建立或完善可證明安全理論，這些都是后量子密碼安全性論證的重大課題。當然，對后量子密碼進行代數(shù)攻擊和側信道攻擊也是重要的研究課題，可以得到更實際的攻擊結論。

第五，創(chuàng)新后量子密碼設計方法，解決后量子密碼不能配套應用的難題。熟知ECC公鑰算法在實際應用中用同一個底層模運算模塊輔以簡單的上層接口就可以提供安全強度等同的數(shù)字簽名、密鑰協(xié)商和公鑰加密等不同功能。能否設計一個底層的基于格的運算模塊，提出一個不使用拒絕采樣的格密碼設計范式，基于該模塊和范式，類似于ECC那樣來提供同等強度的簽名、密鑰協(xié)商和加密等功能？另外，現(xiàn)有的基于格的密鑰協(xié)商實際上是基于KEM的單向密鑰協(xié)商，如何設計協(xié)商雙方具有對等權利的雙向協(xié)商方案，也是一個值得研究的課題。

最后， 研究和解決公鑰密碼應用中， 由傳統(tǒng)公鑰密碼向后量子密碼遷移所帶來的重大問題。 核心的障礙來自于現(xiàn)有應用規(guī)范中給密碼密鑰和密碼操作結果只留出了適合傳統(tǒng)公鑰密碼大小的存儲單元，設計能兼容后量子密碼更大存儲單元的應用協(xié)議、進一步設計具有緊湊密鑰和緊湊簽名加密結果的安全后量子密碼算法，不僅是應用中無法回避的問題，也是理論上有研究價值的課題。

作者簡介：胡磊，中國科學院信息工程研究所研究員、博士生導師，《密碼學報 (中英文)》副主編， 曾任中國科學院信息工程研究所學術委員會副主任、信息安全國家重點實驗室副主任。 在 Crypto、Eurocrypt、Asiacrypt、J. Cryptology 等信息安全及相關領域的主流期刊和學術會議上發(fā)表論文200 余篇，多次參與國家密碼標準算法的研制以及承擔主管部門的密碼算法分析和設計任務， 獲國家密碼科技進步獎和中國標準創(chuàng)新貢獻獎等科技獎勵四項。

來源：密碼學報-中英文