認證加密量子的GCM模式是否安全？

關於後量子對稱加密，建議使用 AES-256 或具有 256 位密鑰的類似密碼。經過身份驗證的加密如何受到影響？AES-256-GCM 是否被認為是量子安全的？後量子認證加密的其他替代方案是什麼？

AES-256-GCM 是否被認為是量子安全的？

對於最常見的情況，是的。

實際上，這取決於您的攻擊模型。如果您的攻擊模型是允許攻擊者對您的 GCM 實現執行糾纏查詢，並返回糾纏響應，那麼，不，已知 GCM 對這種模型不安全；攻擊者可以在解密 Oracle 上使用 Grover 算法來找到第二個有效的密文/標籤，其中包含先前看到的隨機數 $ O(2^{64}) $ 工作。

另一方面，攻擊模型很少適用。糾纏非常微妙，為了使這種攻擊模型起作用，需要使用量子糾錯來實現解密預言機。通常情況下，實現不會在一定程度上幫助對手，因此它需要作為量子電腦的一部分來實現（以便對手可以在預言機中實現量子糾錯）。唯一可行的方法是攻擊白盒 GCM 實現（因此您無法簡單地檢查實現並提取密鑰）。

在標準場景下，允許攻擊者對預言機進行正常查詢，並獲得標準響應，則適用 GCM 的標准證明；除非他們能夠將 AES 與隨機排列區分開來，否則他們無法以非平凡的機率生成有效的密文/標籤對；使用 256 位 AES 密鑰意味著 Grover 的算法將採用 $ O(2^{128}) $ 時間，這通常被認為是不可行的。

引用自：https://crypto.stackexchange.com/questions/54482