是什麼使基於格的密碼學具有量子抗性？

與 RSA 或橢圓曲線密碼學相反？

對RSA和橢圓曲線密碼（ECC）的攻擊基於Shor的量子算法，該算法用於RSA上下文中的整數分解。

更正： 請注意，正如@yyyyyyy 在評論中指出的那樣，Shor 的 DLP 算法沒有考慮在內；它也不是基於查找元素的順序（這在 DLP 上下文中通常是已知的）。兩種變體的共同點是 Shor 找到了某個地圖的周期格，而在分解上下文中，這個週期確實是（ $ \mathbb{Z} $ -multiples of) 一個元素的順序，格子在離散對數設置中是二維的（並且包含形式為的向量 $ (𝑥,−1) $ 在哪裡 $ 𝑥 $ 是 DLP 實例的解決方案）。

循環群是 RSA（在整數環上）和 ECC（在有限域上的橢圓曲線上定義的加性群）的核心，因此存在漏洞。

然而，基於格的加密不依賴於這樣的結構。基於程式碼的密碼系統（例如 McEliece）也沒有，因此它們可以抵抗已知的量子攻擊。

引用自：https://crypto.stackexchange.com/questions/71121