Qual é a diferença entre criptografia clássica e criptografia pós-quântica?

Haverá necessidade de alterar as definições de segurança se tivermos computadores quânticos? Que construções criptográficas irão quebrar? Você conhece uma pesquisa ou um artigo que explica o que será necessário mudar?

Resumo deste trabalho com uma resposta (parcial).

Existem dois tipos de métodos criptográficos tradicionais de chave pública: aqueles baseados na fatoração de número inteiro e aqueles baseados no logaritmo discreto, incluindo métodos baseados em curvas elípticas. Acredita-se que esses modelos sejam difíceis nos modelos clássicos, mas foi mostrado que nenhum deles é difícil no modelo quântico.

Embora Grover tenha desenvolvido um algoritmo quântico que fornece aceleração quadrática para pesquisa, Bennet, Bernstein, Brassard e Vazirani mostraram que o modelo quântico não podia permitir aceleração exponencial para problemas de pesquisa. Isso sugere que algoritmos de criptografia simétrica, funções unidirecionais e hashes criptográficos devem resistir a ataques baseados em quantum. O foco, então, deve estar no desenvolvimento de métodos seguros de chave pública.

As assinaturas de Lamport podem fornecer um mecanismo de assinatura única seguro contra ataques quânticos. Problemas de rede podem formar a base para métodos de chave pública que são resistentes a ataques quânticos; em particular, os problemas do vetor mais curto e do vetor mais próximo do NP-Hard são atraentes. Para os modelos clássico e quântico, acredita-se que esses problemas sejam difíceis para treliças de alta dimensão. A família NTRU de algoritmos criptográficos, com base em problemas de treliça, pode fornecer um meio prático de obter criptografia de chave pública resistente a ataques quânticos. Outro problema que pode servir de base para métodos seguros de chave pública é o problema de decodificação da síndrome. O sistema de criptografia McEliece é baseado nesse problema e as variantes podem fornecer um caminho a seguir.

Eu não sou de forma alguma um especialista (ou até próximo disso) sobre o assunto, mas pelo que sei:

A criptografia clássica depende da intratabilidade de fatorar (ou do problema discreto do log). No entanto, não se acredita que o fatoramento seja NP-completo e é realmente solucionável em tempo polinomial por computadores quânticos. Portanto, qualquer criptografia que dependa dessas operações seria interrompida (que é todo tipo de criptografia usada por aí que eu conheço).

A criptografia quântica depende da mecânica quântica, e é teoricamente impossível quebrá-la. Não é uma questão de tempo - é simplesmente baseado na aleatoriedade e no fato de um estado entrar em colapso ao ser medido; portanto, sem as informações apropriadas, sua melhor opção é simplesmente 'adivinhar' a mensagem ... que é inútil .