為什麼後量子方案中的簽名和密文大小會增加？

為什麼後量子方案中的簽名和密文大小會增加？是否有任何表格或比較來說明每種方案類型（格、多變數、基於程式碼等）的這種增加有多少？

如果建造了量子電腦，那麼離散對數和因式分解問題將被打破。這意味著所有基於因式分解（例如，RSA）或離散對數（例如，ECIES、ECDSA）的方案都被破壞了。此外，由於 Grover 算法，可以及時找到一個對稱密鑰，即密鑰空間的平方根。因此，對於 $ 2^{128} $ 安全性，您需要 256 位密鑰。這意味著我們需要升級到 AES-256。最後，使用 Grover 算法的技巧，可以及時發現雜湊函式中的衝突 $ O(2^{n/3}) $ 在哪裡 $ n $ 是輸出的長度。因此，我們至少需要 384 位的輸出。

由於上述原因，我們仍然能夠進行對稱加密和抗衝突雜湊函式（據我們所知），但我們的非對稱加密中斷了。因此，必須替換基於分解和離散對數的系統。目前，存在的候選主要基於格和編碼（但也有一些其他的）。所有這些都需要更大的密鑰和更大的密文，而與量子電腦無關，只是根據問題的性質。對於簽名，也有基於散列函式的方案，但這些也有很長的簽名。我們沒有任何證據表明這些需要更長的時間，這並不是因為我們只是使用更長的密鑰；相反，這是由於我們目前用於建構後量子安全的非對稱方案的技術。

引用自：https://crypto.stackexchange.com/questions/42804