RSA/EC 對抗 QC 攻擊的優勢
我們知道 RSA 和 ECC 算法都容易受到使用(未來)量子計算 (QC) 的攻擊。然而,選擇一種算法優於另一種算法有什麼優勢嗎?
例如:RSA 的較大密鑰大小是否可能優於 ECC 使用的短密鑰大小,可能與所需的 qbits 數量或 qbit 配置有關?這樣的優勢在實踐中是否重要?
這絕不是關於這個主題的全面答案,但也許這是一個好的開始。
針對(特定)ECC 的 Shor 算法
Proos 和 Zalka 的這篇論文比較了 Shor 算法的整數分解和一些橢圓曲線組的離散對數的實現(尤其是那些在素數有限域上的)。
如果 $ n $ 是組的位長(來自第 6.3 節):
RSA | ECC -----+--------+----------+-----+--------+--------- n | qubits | time | n | qubits | time -----+--------+----------+-----+--------+--------- 1024 | 2048 | 4.3*10^9 | 163 | 1000 | 1.6*10^9 2048 | 4098 | 34*10^9 | 224 | 1300 | 4*10^9 3072 | 6144 | 120*10^9 | 256 | 1500 | 6*10^9RSA 需要大約 $ 2n $ 量子比特,而 ECC 大約需要 $ 6n $ (對於較小的 $ n $ )。同樣,RSA需要~ $ 4n^3 $ 門,而 ECC 只需要 ~ $ 360n^3 $ .
ECC 傳統上比 RSA 更難,允許更小的密鑰大小和更高效的計算。在數量上,ECC 仍然比 RSA 更困難,但難度較小,這導致了作者所說的橢圓曲線離散對數相對於整數分解的“量子優勢”。
將 RSA-3072 與 ECC-256 進行比較,他們發現量子電腦需要大約 $ 4\times $ 一樣大,大約需要 $ 20\times $ 破解 RSA 的時間與破解 ECC 的時間一樣多。
請記住,這項工作是從 2008 年開始的,僅與素數場上的曲線相關。
在實踐中
顯然,根據 fgrieu 給出的連結,量子比特數的 4 倍並不是“更具抗量子性” 。很可能ECC優於GF( $ 2^m $ ) 被量子計算更有效地打破了。
由於這兩個問題的相似性,我無法想像量子比特配置會對一個方向或另一個方向產生很大影響。
然而,這都是我的猜測。
384 位密鑰和 3072 位密鑰的量子密碼分析之間的差距不大可能足以作為密碼策略的基礎。
無論如何,我將上述引用解釋為兩者之間沒有實際區別。在那個時候,兩者都應該被認為是完全破碎的。