在公鑰不可用時使用量子電腦破解密文

正如我們所知道的量子電腦上的 Shor 算法，如果我們有足夠的量子比特，就可以輕鬆破解 RSA / ECC。

如果我們只有密文並且沒有用於加密自身的公鑰，是否有可能在量子電腦上破解 RSA/ECC？

如果我們有許多密文和相應的明文，其中一些是使用相同的公鑰生成的，這有關係嗎？

您問：

如果我們只有密文並且沒有用於加密自身的公鑰，是否有可能在量子電腦上破解 RSA/ECC？

通常不會，除了少數例外；以下是例外情況：

• 具有確定性填充（例如 PKCS #1.5）和小到中等的 RSA 簽名 $ e $ （例如 $e = 65537） - 使用兩個簽名（和相應的消息），我們可以使用傳統電腦恢復公鑰（然後使用我們的量子電腦破解它）。
• ECDSA 簽名 - 通過一個簽名（和相應的消息），我們可以使用傳統電腦恢復公鑰（帶有一些“錯誤命中”）；然後我們可以使用我們的量子電腦來破解它。

可能看起來免疫的事情：

• RSA 加密（總是使用隨機填充）或隨機 RSA 簽名（例如 PSS）；明文之間的關係似乎過於微妙，攻擊者無法使用它們。
• EdDSA 簽名 - 由於公鑰是如何被攪動的，我們使用 ECDSA 的密鑰恢復方法不起作用（並且沒有公鑰，攻擊者無法計算 $ H(R, A, M) $ ，你需要知道有一個生成偽造的副本）
• ECIES - 密文包括 $ rG $ （對於一些隨機 $ r $ ) 和一個對稱密文，其密鑰基於 $ rP $ ; 攻擊者可以恢復價值 $ r $ 用他那方便的量子電腦，然而卻不知道 $ P $ ，他無能為力（而且擁有多個密文似乎無濟於事）。

引用自：https://crypto.stackexchange.com/questions/80552