Să presupunem că cineva a construit un Calculator cuantic criptografic (CQC) care în special poate rula algoritmul lui Grover.Algoritmul lui Grover este optim asimptotic, ceea ce este necesar $\mathcal{O}(\sqrt{n})$- timpul pentru $n$ biți de securitate pentru atac înainte de imagine sau căutare cheie. Acesta este unul care are securitate pe 128 de biți din spațiul de cheie de 256 de biți. Aceasta este reclama algoritmului lui Grover, da, are $\mathcal{O}(\log{n})$-spațiu, totuși, acest lucru nu este suficient.
Ceea ce lipsește în general este $\mathcal{O}(\sqrt{n})$ apelul algoritmului lui Grover, luați în considerare că doriți să spargeți 128 de biți, atunci trebuie să rulați algoritmul lui Grover $2^{64}$-timp. Dacă presupunem că puteți executa un algoritm al lui Grover într-o mașină într-o secundă, atunci aveți nevoie $\aproximativ 585$ ani pentru a găsi cheia. Acest lucru este destul de optimist în sensul că se poate pregăti un QCQ într-o nano secundă.
Algoritmul lui Grover, ca și algoritmul clasic poate fi paralelizat, de asemenea. Ei bine, interesant, pentru $k$ paralel Grover nu avem creștere pătratică, avem $\sqrt{k}$ accelera. Acest lucru nu se extinde bine.
Acesta este totul despre al lui Grover, acum există o altă lucrare de la Brassard et al. pentru funcții hash pentru constatarea coliziunii, are $\mathcal{O}(\sqrt[3]{2^{256}})$-timp și $\aproximativ \mathcal{O}(2^{85})$-spaţiu. Aceasta are încă în optim asimptotic și de data aceasta avem securitate pe 128 de biți de la funcția hash de 384 de biți cu $2^{128}$-cerințe de spațiu.
Cu acestea putem argumenta că chiar și funcțiile hash de 256 de biți și chiar și cifrarea bloc de 128 de biți sunt în siguranță pentru CQC. Un calcul mai realist făcut din
Păstrând detaliul articolului, să lipim NIST și să presupunem că avem nevoie $384$-funcția hash de biți împotriva CQC pentru a avea rezistență la coliziune de 128 de biți, rezistența pre-imagine este $192$-bit.
Dacă folosim HKDF de 256 de biți, acesta va avea rezistență înainte de imagine CQC de 128 de biți. Aceasta înseamnă că hash-ul de 256 de biți va fi suficient.
Din TLS 1.3 a simplificat aproape totul;
Funcția Hash utilizată de Transcript-Hash și HKDF este algoritmul hash suitei de cifrare.
Explicația semnificativă este că SHA-384 este ales pentru a avea o rezistență la coliziune de 128 de biți care se potrivește cu rezistența de 128 de biți a AES-256. Într-un mod simplificat se poate spune că AES_256_GCM_SHA384
are securitate pe 128 de biți împotriva adversarilor Quantum.