“量子安全”算法與目前“安全”加密算法（前量子）有何根本不同？

我最近讀到正在開髮用於加密/散列的“量子安全”算法。

據推測，這些將與當今使用的目前“非量子安全”算法（RSA、DH、AES、ChaCha20、Poly1305、SHA2/SHA3 等）有根本的不同。

哪些根本區別使算法能夠“量子安全”？量子安全算法在非量子電腦中是否更容易受到攻擊？

所以我猜你指的是後量子（PQ）算法。這個主題與散列（SHA3 等）或分組密碼（AES 等）無關，因為兩者在 PQ 場景中都很好理解，並且似乎可以證明是安全的（可能只需要增加這些位，由於Grover 的算法），但它是關於非對稱密碼學的。

當我們談論非對稱密碼學時，我們的基本意思是，你有一個公鑰和一個私鑰，你可以用其中一個加密，用另一個解密。非對稱密碼學也是簽名的基礎。

所以量子安全（或後量子）算法最關心的是：非對稱密碼學。

目前使用的非對稱加密的主要區別在於算法的潛在問題。以 RSA 為例，難點來自於難以找到足夠大數的質因數的問題。然而，對於量子電腦，這個問題可以用Shor 算法在多項式時間內解決，因此會被破解。Shor 算法也可用於解決離散對數問題，這在當今現代密碼學中也發揮著重要作用。

您正在談論的這些量子安全算法嘗試利用不同的潛在問題（基於格，程式碼，……），其中尚無來自量子（和非量子）電腦的算法可以解決它們。

目前有一個 NIST PQ Competition正在進行，它試圖找到並標準化這樣的算法。如果您想更深入地探勘，有幾篇關於該主題的論文和展示文稿。

編輯： Maarten Bodewes 指出了 Tanja Lange 關於 PQ-Cryptography 中潛在問題的影片，我將在此處連結。

引用自：https://crypto.stackexchange.com/questions/92206