Qual è la differenza tra la crittografia classica e la crittografia post-quantistica?

Sarà necessario modificare le definizioni di sicurezza se disponiamo di computer quantistici? Quali costruzioni crittografiche si romperanno? Conosci un sondaggio o un articolo che spiega cosa sarà necessario cambiare?

Sintesi di questo documento che fornisce una risposta (parziale).

Esistono due tipi di metodi crittografici tradizionali a chiave pubblica: quelli basati sulla fattorizzazione a numeri interi e quelli basati sul logaritmo discreto, compresi i metodi basati sulla curva ellittica. Si ritiene che questi modelli siano difficili nei modelli classici, ma è stato dimostrato che nessuno dei due è difficile nel modello quantistico.

Sebbene Grover abbia sviluppato un algoritmo quantistico che fornisce speedup quadratico per la ricerca, Bennet, Bernstein, Brassard e Vazirani hanno dimostrato che il modello quantistico non poteva consentire lo speedon esponenziale per problemi di ricerca. Ciò suggerisce che gli algoritmi di crittografia simmetrica, le funzioni a senso unico e gli hash crittografici dovrebbero resistere agli attacchi a base quantistica. L'attenzione, quindi, dovrebbe essere sullo sviluppo di metodi sicuri a chiave pubblica.

Le firme Lamport possono fornire un meccanismo di firma una tantum sicuro contro gli attacchi quantistici. I problemi reticolari possono costituire la base per metodi a chiave pubblica resistenti agli attacchi quantistici; in particolare, i problemi del vettore più breve NP-Hard e del vettore più vicino sono interessanti. Sia per i modelli classici che per quelli quantistici, questi problemi sono ritenuti difficili per i reticoli di alta dimensione. La famiglia di algoritmi crittografici NTRU , basata su problemi reticolari, può fornire uno strumento pratico per ottenere una crittografia a chiave pubblica resistente agli attacchi quantistici. Un altro problema che potrebbe servire da base per metodi sicuri di chiave pubblica è il problema di decodifica della sindrome. Il sistema di crittografia McEliece si basa su questo problema e le varianti possono fornire una soluzione.

Non sono affatto un esperto (o anche vicino a quello) sull'argomento, ma da quello che so:

La crittografia classica dipende dall'intrattabilità del factoring (o dal problema del log discreto). Tuttavia, non si ritiene che il factoring sia NP-completo ed è effettivamente risolvibile in tempo polinomiale dai computer quantistici. Quindi qualsiasi crittografia che dipende da quelle operazioni si spezzerebbe (che è ogni tipo di crittografia usata là fuori che io conosca).

La crittografia quantistica dipende dalla meccanica quantistica ed è teoricamente impossibile romperla. Non è affatto una questione di tempo - è semplicemente basato sulla casualità e sul fatto che uno stato crolla dopo essere stato misurato, quindi senza le informazioni appropriate, la scelta migliore è semplicemente "indovinare" il messaggio ... che è inutile .