SHA3 聲稱 256 位安全性是“後量子足夠”的證據？

在“Keccak 和 SHA-3 標準化”（2013 年 2 月 6 日）的第 14 頁上，它說：

• 海綿函式的實例化

+ 排列KECCAK-f + 7 種排列：b → {25,50,100,200,400,800,1600} + 使用相同排列的安全速度權衡，例如，

 - SHA-3 實例：*r* = 1088 和*c* = 512
 - 排列寬度：1600
 - 安全強度256：**後量子足夠**
 - 輕量級實例：*r* = 40 和*c* = 160
 - 排列寬度：200
 - 安全強度 80：與 SHA-1 相同

（注：強調我的）

由於我認為量子密碼學目前還處於幼稚狀態，在未來幾年內有很大的發展潛力，我只需要問：KECCAK 聲稱 256 位的安全強度的基礎到底是什麼？“後量子足夠”？

好吧，密碼學家一直在考慮後量子世界已有一段時間了。

量子計算，儘管就現實生活中的電腦而言還處於起步階段，但在理論上已經研究了很長一段時間。Shor 的算法發表於 19 年前；格羅弗，17 年前。我認為這是兩個最著名的量子算法，但該領域可以追溯到更遠的地方：根據維基百科，該領域誕生於 1980 年代的某個地方。

關鍵是，儘管量子計算還沒有生產出可用的、有用的現實生活中的量子電腦，但它已經被考慮了很長時間。因此，儘管仍然很有可能取得巨大的突破，但研究人員很可能已經用盡了所有簡單的攻擊手段。此外，由於在過去 16 年中似乎沒有出現任何新的、威脅密碼學的量子攻擊（至少，據我所知沒有），因此談論後量子強度似乎相對安全。

更重要的是，在後量子世界中對雜湊函式的真正威脅將是 Grover 算法。使用 Grover 算法，在 $ n $ -bit 隨機預言機有時間 $ O\left(2^{n/2}\right) $ .

雖然直接應用漸近界相當不精確，但這會及時導致原像攻擊 $ 2^{128} $ 用於 256 位（抗原像）散列函式。這仍然是安全的，我認為這就是作者說“後量子足夠”時的意圖。有關更多資訊，請參閱問題Keccak 針對量子攻擊提供什麼安全性，特別是 Grover 算法？.

引用自：https://crypto.stackexchange.com/questions/9518