¿Cuál es la diferencia entre el cripto clásico y el cripto post-cuántico?

¿Será necesario cambiar las definiciones de seguridad si tenemos computadoras cuánticas? ¿Qué construcciones criptográficas se romperán? ¿Conoces una encuesta o un artículo que explique qué se necesitará para cambiar?

Resumen de este documento que proporciona una respuesta (parcial).

Hay dos tipos de métodos criptográficos de clave pública tradicionales: los basados ​​en la factorización de enteros y los basados ​​en el logaritmo discreto, incluidos los métodos basados ​​en la curva elíptica. Se cree que estos modelos son difíciles en los modelos clásicos, pero se ha demostrado que ninguno es difícil en el modelo cuántico.

Aunque Grover desarrolló un algoritmo cuántico que proporciona una aceleración cuadrática para la búsqueda, Bennet, Bernstein, Brassard y Vazirani mostraron que el modelo cuántico no podía permitir una aceleración exponencial para problemas de búsqueda. Esto sugiere algoritmos de cifrado simétricos, funciones unidireccionales y hashes criptográficos que deberían resistir los ataques cuánticos. El enfoque, entonces, debería estar en desarrollar métodos seguros de clave pública.

Las firmas de Lamport pueden proporcionar un mecanismo de firma de una sola vez seguro contra ataques cuánticos. Los problemas de celosía pueden formar la base de métodos de clave pública que son resistentes a los ataques cuánticos; en particular, los problemas NP-Hard del vector más corto y del vector más cercano son atractivos. Tanto para los modelos clásicos como cuánticos, se cree que estos problemas son difíciles para las redes de alta dimensión. La familia de algoritmos criptográficos NTRU , basada en problemas de red, puede proporcionar un medio práctico para lograr una criptografía de clave pública resistente a los ataques cuánticos. Otro problema que podría servir como base para métodos seguros de clave pública es el problema de decodificación del síndrome. El sistema de encriptación McEliece se basa en este problema, y ​​las variantes pueden proporcionar un camino a seguir.

De ninguna manera soy un experto (o incluso cercano a eso) en el tema, pero por lo que sé:

La criptografía clásica depende de la intractabilidad de la factorización (o del problema de registro discreto). Sin embargo, no se cree que la factorización sea NP-completa, y de hecho es solucionable en tiempo polinómico por computadoras cuánticas. Por lo tanto, cualquier criptografía que dependa de esas operaciones se rompería (que es todo tipo de criptografía utilizada, que yo sepa).

La criptografía cuántica depende de la mecánica cuántica, y es teóricamente imposible romperla. No es cuestión de tiempo en absoluto: simplemente se basa en la aleatoriedad y el hecho de que un estado colapsa al ser medido, por lo que sin la información adecuada, su mejor opción es simplemente 'adivinar' el mensaje ... lo cual es inútil .