Este de menționat că estimările concrete ale durității cuantice a diferitelor probleme este încă a foarte nou domeniu de cercetare, iar anumite întrebări sunt încă nerezolvate.
Un bun exemplu în acest sens este lucrarea lui Piekert El dă C site de către CSIDH. Pe lângă faptul că este un joc de cuvinte grozav, această lucrare folosește ceva numit sita de colinizare (dezvoltat în 2013 de Greg Kuperberg IIRC) pentru a ataca ipoteza CSIDH. Rețineți că această ipoteză se distinge între toate ipotezele post-cuantice, deoarece are randament direct schimb de chei non-interactiv, ceva ce este
- destul de ușor de obținut din problemele clasice (variante de jurnal discret), dar
- obținerea de la lucruri precum LWE fie necesită parametri foarte mari, fie apelarea la o primitivă avansată (fie FHE sau criptare a funcției) --- în orice caz, schema rezultată este ineficientă.
Principalul punct al lucrării este de a remarca faptul că sita de colinizare nu necesită acces la o mare ($\aproximativ 2^{30}$) cantitatea de memorie cuantică direct, dar în schimb poate folosi „memoria clasică accesibilă cuantică” (estimarea finală este pentru mai mult, $\aproximativ 2^{40}$). Îmi amintesc că a existat o dezbatere (presupun că între Dan Bernstein și Chris, dar nu-mi amintesc exact) nici pe twitter/nist PQC google group despre implicațiile practice ale acestei estimări modificate.
Foarte aproximativ, se poate caracteriza securitatea clasică în termenii unei perechi de (timp, memorie) necesare pentru a sparge o primitivă. Securitatea cuantică este apoi legată de 4-tuplu (timp clasic, memorie clasică, timp cuantic, memorie cuantică).
Modul precis de a extrage o singură estimare de securitate dintr-un astfel de 4-tuplu este încă o chestiune de dezbatere și chiar și doi experți în criptografia post-cuantică pot avea dezacordurile lor.