Was ist der Unterschied zwischen klassischer Krypto und Post-Quanten-Krypto?

Wird es notwendig sein, die Definitionen von Sicherheit zu ändern, wenn wir Quantencomputer haben? Welche kryptografischen Konstruktionen werden brechen? Kennen Sie eine Umfrage oder einen Artikel, in dem erläutert wird, was geändert werden muss?

Zusammenfassung dieses Papiers mit einer (Teil-) Antwort.

Es gibt zwei Arten traditioneller kryptografischer Methoden mit öffentlichem Schlüssel: solche, die auf der Ganzzahlfaktorisierung basieren, und solche, die auf dem diskreten Logarithmus basieren, einschließlich Methoden, die auf elliptischen Kurven basieren. Es wird angenommen, dass diese Modelle in den klassischen Modellen hart sind, aber es wurde gezeigt, dass keines im Quantenmodell hart ist.

Obwohl Grover einen Quantenalgorithmus entwickelte, der eine quadratische Beschleunigung für die Suche bietet, zeigten Bennet, Bernstein, Brassard und Vazirani, dass das Quantenmodell keine exponentielle Beschleunigung für Suchprobleme zulassen konnte. Dies legt nahe, dass symmetrische Verschlüsselungsalgorithmen, Einwegfunktionen und kryptografische Hashes quantenbasierten Angriffen widerstehen sollten. Der Schwerpunkt sollte daher auf der Entwicklung sicherer Public-Key-Methoden liegen.

Lamport-Signaturen bieten möglicherweise einen einmaligen Signaturmechanismus, der gegen Quantenangriffe geschützt ist. Gitterprobleme können die Grundlage für Public-Key-Methoden bilden, die gegen Quantenangriffe resistent sind. Insbesondere sind die NP-Hard-Probleme mit dem kürzesten Vektor und dem engsten Vektor attraktiv. Es wird angenommen, dass diese Probleme sowohl für das klassische als auch für das Quantenmodell für Gitter mit hoher Dimension schwierig sind. Die NTRU- Familie kryptografischer Algorithmen, die auf Gitterproblemen basiert, kann ein praktisches Mittel zur Erzielung einer Kryptografie mit öffentlichem Schlüssel darstellen, die gegen Quantenangriffe resistent ist. Ein weiteres Problem, das als Grundlage für sichere Public-Key-Methoden dienen könnte, ist das Problem der Syndromdecodierung. Das McEliece- Verschlüsselungssystem basiert auf diesem Problem, und Varianten bieten möglicherweise einen Weg nach vorne.

Ich bin auf keinen Fall ein Experte (oder sogar in der Nähe davon) zu diesem Thema, aber soweit ich weiß:

Die klassische Kryptographie hängt von der Unlösbarkeit des Factorings (oder dem Problem des diskreten Protokolls) ab. Es wird jedoch nicht angenommen, dass Factoring NP-vollständig ist, und es ist tatsächlich in der Polynomzeit durch Quantencomputer lösbar. Jede Kryptographie, die von diesen Operationen abhängt, würde also kaputt gehen (das ist jede Art von Kryptographie, die ich kenne).

Die Quantenkryptographie hängt von der Quantenmechanik ab und ist theoretisch unmöglich zu brechen. Es ist überhaupt keine Frage der Zeit - es basiert einfach auf Zufälligkeit und der Tatsache, dass ein Zustand beim Messen zusammenbricht. Ohne die entsprechenden Informationen ist es Ihre beste Wahl, die Nachricht einfach zu „erraten“ ... was nutzlos ist .