完美的前向保密（使用 DH 或 ECDH）是否意味著量子阻力？

DHE_完美的轉發保密（例如用於ECDHE_TLS 密碼套件）是否使量子分析無法檢索連接中的明文數據？

不，不是的。

完美的前向保密意味著即使您檢索到非對稱密鑰對的私鑰，您也無法讀取連接中任何過去或未來的消息。只能派生您已為其檢索私鑰的會話的秘密會話密鑰。

完美的前向保密——或簡稱前向保密——是因為一個連接各方的私鑰可以在密鑰協商後被銷毀。這意味著需要為每個連接重新生成公鑰/私鑰對。這些密鑰對稱為臨時密鑰對，密鑰協議稱為臨時-臨時密鑰協議或簡稱為臨時密鑰協議。連接內實體的身份驗證將通過其他方式（如果有的話）執行，因為重新生成的密鑰對的公鑰不能事先被信任。

然而，完美的前向保密並不意味著無法破解 DH 或 ECDH。這意味著洩露的私鑰不能用於解密所有記錄的消息。這也意味著您必須對每個單獨的連接執行攻擊，因為您必須攻擊其中一方的每個單獨的密鑰對以檢索秘密值。但是，這並不能使 DH 或 ECDH 成為完美的密碼，相當於非對稱一次性密碼。如果 DH 或 ECDH 受到量子電腦的攻擊，則可以計算出私鑰或共享密鑰，並且可以破譯消息。

因此，無論（完美）前向保密如何，使傳輸協議安全（反對使用量子電腦進行分析）的唯一方法是使用量子安全密碼術（QSC）來建立密鑰。這通常需要無法使用量子電腦進行分析的後量子密碼 (PQC) 算法。可以使用 PQC 密鑰協商方案或 PQC 密鑰封裝方案；兩者都可以提供量子電阻。

引用自：https://crypto.stackexchange.com/questions/40860