Яка різниця між класичною криптовалютою і постквантовою крипто?

10

Чи буде потреба змінити визначення безпеки, якщо у нас є квантові комп'ютери? Які криптографічні конструкції зламаються? Чи знаєте ви опитування чи статтю, яка пояснює, що потрібно буде змінити?

reference-request cryptography quantum-computing

— Анонімний
джерело

1

Ця стаття, доступна через ОСБ, може бути вам цікавою; схоже, це стосується вашого питання або, принаймні, його аспектів: dl.acm.org/… Якщо у вас немає доступу, він може бути доступний для завантаження в Інтернеті. В іншому випадку я можу це прочитати і спробувати коротко узагальнити основні моменти.

— Patrick87

1

@ Patrick87: Для мене це платний стін. Підсумок буде вдячний. :)

— Li-aung Yip

6

Короткий зміст цього документу, що дає (часткову) відповідь.

Існує два види традиційних криптографічних методів з відкритим ключем: методи, засновані на цілочисельній факторизації, і такі, що базуються на дискретному логарифмі, включаючи методи на основі еліптичних кривих. Вважається, що ці моделі є важкими в класичних моделях, але було показано, що в квантовій моделі це не важко.

Хоча Гровер розробив квантовий алгоритм, що забезпечує квадратичне прискорення пошуку, Беннет, Бернштейн, Брассард та Вазірані показали, що квантова модель не може дозволити експоненціальному прискоренню проблем пошуку. Це говорить про симетричні алгоритми шифрування, односторонні функції та криптографічні хеші повинні протистояти квантовим атакам. Тоді слід зосередити увагу на розробці безпечних методів відкритого ключа.

Лампортні підписи можуть забезпечити одноразовий механізм підпису, захищений від квантових атак. Проблеми грат можуть стати основою для методів відкритого ключа, стійких до квантових атак; зокрема, привабливі найкоротші та найближчі векторні проблеми NP-Hard. Як класична, так і квантова моделі вважають, що ці проблеми важкі для решіток високого виміру. NTRU сімейство криптографічних алгоритмів, на основі ґратчастих проблем, може забезпечити практичні засоби досягнення криптографії з відкритим ключем , стійкої до квантовим атакам. Іншою проблемою, яка може послужити основою для безпечних методів відкритого ключа, є проблема декодування синдрому. Система шифрування McEliece заснована на цій проблемі, і варіанти можуть забезпечити шлях вперед.

— Патрік87
джерело

0

Я аж ніяк не експерт (або навіть близький до цього) з цієї теми, але з того, що знаю:

Класична криптографія залежить від внутрішньої здатності факторингу (або проблеми дискретного журналу). Однак, вважається, що факторинг не є повним NP, і він дійсно вирішується в поліноміальний час квантовими комп'ютерами. Отже, будь-яка криптографія, яка залежить від цих операцій, буде зламана (що є всіма видами криптографії, які я знаю там).

Квантова криптографія залежить від квантової механіки, і її теоретично неможливо розбити. Це зовсім не питання часу - це просто ґрунтується на випадковості, а те, що стан руйнується після вимірювання, тому без відповідної інформації найкращим вибором є просто «відгадати» повідомлення ... що марно .

— користувач541686
джерело