后量子密码候选类型有哪些？多变量密码，同源密码简介

多变量密码

多变量密码由Matsumoto和Imai于1988年提出，该方案在1995年被Patarin破解。1996年Patarin改进了MI体制，提出了HFE密码体制该体制也受到了各种攻击。为了对抗各类攻击方法，在基本的设计思想上出现了许多安全性增强技术。SFLASH签名算法在2003年被欧洲NESSIE计划选为三个数字签名标准之一，受到广泛关注。然而，该算法于2007年被破解。

经过30年的发展，目前已经对一些多变量数字签名方案的安全性进行了一段时间的分析，而公钥加密和密钥交换算法的设计技术目前尚不成熟，提交到NIST的3个多变量公钥加密算法已经全部被攻破。

同源密码

同源密码的思想最早由Couveignes于1996年在一次学术演讲中提出，1997年被拒稿后一直没有公开发表，直到2006年才公开。2003年，微软公司的 David jao和 Venkatesan Ramarathnam申请了基于同源的密码算法设计专利。2009年，查尔斯（Charles）等人首次提出了基于超奇异同源设计密码算法。2010年，Stolbunov首次设计了基于同源的公钥密码系统，之后被蔡尔兹（Childs）等人部分破解。2011年，Jao等人首次提出了超奇异同源Diffie-Hellman问题（SIDH），并设计了基于超奇异同源的公钥密码系统，其安全性分析和效率改进已经取得不少成果，该算法也被提交到NIST成为唯一的同源类候选算法。与其他四类候选算法最大的区别在于，基于SIDH的算法参数尺寸非常小，计算速度较慢。

同源密码算法设计理论与技术起步较晚，目前尚不成熟，其最大的优势在于参数尺寸小，但是计算效率相对较差，大约比格密码慢两个数量级。