Schnorr 簽名對量子電腦有抵抗力嗎？

在這裡（<https://bitcoincore.org/en/2017/03/23/schnorr-signature-aggregation/>）它說 Schnorr 取代了 ECDSA，我們知道 ECDSA 可以被量子電腦破壞。Schnorr 對 q 電腦安全嗎？

不，ECDSA和EC-Schnorr，以及像EdDSA這樣的相關方案，都屬於橢圓曲線密碼學的範疇。它們的安全性基於 EC 離散對數難以計算的假設。如果存在足夠強大的通用量子電腦，則此假設不成立。

量子抗性簽名算法確實存在，但它們都依賴於非常大的簽名——這可能使它們對於比特幣這樣的用途來說非常昂貴。此外，對頂層特徵（如 BIP32 使用的同態派生或聚合）的研究要少得多，如果我們採用它，它們在功能方面實際上是倒退了一步。

不過，我對此並不十分擔心。一般來說，量子計算在接近解決諸如求解我們大小的曲線的離散對數等問題之前還有很長的路要走。將需要具有數千個 qbits 的通用 QC，甚至不知道在物理上是否可以建構這樣的電腦。

引用自：https://bitcoin.stackexchange.com/questions/57965