Quelle est la différence entre la crypto classique et la crypto post-quantique?

Sera-t-il nécessaire de changer les définitions de la sécurité si nous avons des ordinateurs quantiques? Quelles constructions cryptographiques vont casser? Connaissez-vous une enquête ou un article qui explique ce qui sera nécessaire pour changer?

Résumé de cet article fournissant une réponse (partielle).

Il existe deux types de méthodes cryptographiques traditionnelles à clé publique: celles basées sur la factorisation entière et celles basées sur le logarithme discret, y compris les méthodes basées sur la courbe elliptique. On pense que ces modèles sont difficiles dans les modèles classiques, mais il a été démontré que ni l'un ni l'autre n'est difficile dans le modèle quantique.

Bien que Grover ait développé un algorithme quantique fournissant une accélération quadratique pour la recherche, Bennet, Bernstein, Brassard et Vazirani ont montré que le modèle quantique ne pouvait pas permettre une accélération exponentielle pour les problèmes de recherche. Cela suggère que les algorithmes de chiffrement symétriques, les fonctions à sens unique et les hachages cryptographiques devraient résister aux attaques quantiques. L'accent devrait donc être mis sur le développement de méthodes sécurisées à clé publique.

Les signatures Lamport peuvent fournir un mécanisme de signature unique sécurisé contre les attaques quantiques. Les problèmes de réseau peuvent former la base de méthodes à clé publique qui résistent aux attaques quantiques; en particulier, les problèmes de vecteur le plus court NP-dur et de vecteur le plus proche sont attrayants. Pour les modèles classiques et quantiques, ces problèmes sont considérés comme difficiles pour les réseaux de grande dimension. La famille d'algorithmes cryptographiques NTRU , basée sur des problèmes de réseau, peut fournir un moyen pratique de réaliser une cryptographie à clé publique résistante aux attaques quantiques. Un autre problème qui pourrait servir de base à des méthodes de clé publique sécurisées est le problème de décodage du syndrome. Le système de cryptage McEliece est basé sur ce problème, et des variantes peuvent fournir une voie à suivre.

Je ne suis en aucun cas un expert (ou même proche de cela) sur le sujet, mais d'après ce que je sais:

La cryptographie classique dépend de l'intractabilité de l'affacturage (ou du problème de journal discret). Cependant, l'affacturage n'est pas censé être NP-complet, et il est en effet résoluble en temps polynomial par les ordinateurs quantiques. Ainsi, toute cryptographie qui dépend de ces opérations se briserait (c'est tout type de cryptographie utilisé à ma connaissance).

La cryptographie quantique dépend de la mécanique quantique, et il est théoriquement impossible de la casser. Ce n'est pas une question de temps - c'est simplement basé sur le hasard, et le fait qu'un état s'effondre après avoir été mesuré, donc sans les informations appropriées, votre meilleur choix est simplement de «deviner» le message ... ce qui est inutile .