การเข้ารหัสลับหลังควอนตัม ( PQC ) บางครั้งเรียกว่าการเข้ารหัสลับที่ป้องกันควอนตัมการเข้ารหัสลับที่ปลอดภัยจากควอนตัมหรือ การเข้ารหัส ลับที่ต้านทานควอนตัมคือการพัฒนาอัลกอริทึมการเข้ารหัสลับ (โดยปกติจะ เป็นอัลกอริทึม แบบกุญแจสาธารณะ ) ที่ในปัจจุบันเชื่อกันว่ามีความปลอดภัยจากการโจมตีด้วยการวิเคราะห์การเข้ารหัสลับโดยคอมพิวเตอร์ควอนตัมแต่ ยังไม่ได้รับการพิสูจน์ ^{[ 1 ]}อัลกอริทึมแบบกุญแจสาธารณะที่ใช้กันอย่างแพร่หลายส่วนใหญ่อาศัยความยากของปัญหาทางคณิตศาสตร์ 3 ข้อ ได้แก่ ปัญหา การแยกตัวประกอบจำนวนเต็มปัญหาลอการิทึมแบบไม่ต่อเนื่องหรือปัญหาลอการิทึมแบบไม่ต่อเนื่องของเส้นโค้งวงรีปัญหาเหล่านี้ทั้งหมดสามารถแก้ไขได้ง่ายบนคอมพิวเตอร์ควอนตัมที่มีประสิทธิภาพเพียงพอซึ่งใช้อัลกอริทึมของ Shor ^{[ 2 ] [ 3 ]}หรืออาจมีทางเลือกอื่น^{[ 4 ] [ 5 ]}

ณ ปี 2026 คอมพิวเตอร์ควอนตัมยังขาดพลังการประมวลผลที่จะทำลายอัลกอริทึมการเข้ารหัสที่ใช้กันอย่างแพร่หลาย^{[ 6 ]}อย่างไรก็ตาม เนื่องจากระยะเวลาที่ต้องใช้ในการย้ายไปยังการเข้ารหัสที่ปลอดภัยจากควอนตัม นักเข้ารหัสจึงได้ออกแบบอัลกอริทึมใหม่เพื่อเตรียมพร้อมสำหรับY2Qหรือ "Q-Day" ซึ่งเป็นวันที่อัลกอริทึมปัจจุบันจะมีความเสี่ยงต่อการโจมตีจากคอมพิวเตอร์ควอนตัมทฤษฎีบทของ Moscaให้กรอบการวิเคราะห์ความเสี่ยงที่ช่วยให้องค์กรต่างๆ ระบุได้ว่าพวกเขาจำเป็นต้องเริ่มย้ายระบบเร็วแค่ไหน

งานของพวกเขาได้รับความสนใจจากนักวิชาการและอุตสาหกรรมผ่าน ชุด การประชุม PQCrypto ที่จัดขึ้นตั้งแต่ปี 2006 การประชุมเชิงปฏิบัติการหลายครั้งเกี่ยวกับการเข้ารหัสลับควอนตัมที่ปลอดภัยซึ่งจัดโดยสถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (ETSI) และสถาบันการคำนวณควอนตัม [ ^{7 ] [ 8 ] [ 9 ] การ}มีอยู่ของ โปรแกรม เก็บเกี่ยวข้อมูลในตอนนี้และถอดรหัสในภายหลังที่ แพร่หลาย ยังถูกมองว่าเป็นแรงจูงใจสำหรับการนำอัลกอริทึมหลังควอนตัมมาใช้ก่อนกำหนด เนื่องจากข้อมูลที่บันทึกไว้ในตอนนี้อาจยังคงมีความอ่อนไหวในอีกหลายปีข้างหน้า^{[ 10 ] [ 11 ] [ 12 ]}

ตรงกันข้ามกับภัยคุกคามที่การคำนวณควอนตัมก่อให้เกิดต่ออัลกอริธึมกุญแจสาธารณะในปัจจุบันอัลกอริธึมการเข้ารหัสแบบสมมาตรและฟังก์ชันแฮช ส่วนใหญ่ในปัจจุบัน ถือว่ามีความปลอดภัยค่อนข้างสูงต่อการโจมตีโดยคอมพิวเตอร์ควอนตัม^{[ 3 ] [ 13 ]}แม้ว่าอัลกอริธึม Grover แบบ ควอนตัม จะเร่งความเร็วการโจมตีต่อการเข้ารหัสแบบสมมาตร แต่การเพิ่มขนาดกุญแจเป็นสองเท่าสามารถต่อต้านการโจมตีเหล่านี้ได้อย่างมีประสิทธิภาพ^{[ 14 ]}ดังนั้นการเข้ารหัสแบบสมมาตรหลังควอนตัมจึงไม่จำเป็นต้องแตกต่างจากการเข้ารหัสแบบสมมาตรในปัจจุบันมากนัก

ในปี 2024 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ของสหรัฐอเมริกา (NIST) ได้เผยแพร่เวอร์ชันสุดท้ายของมาตรฐานการเข้ารหัสลับหลังควอนตัมสาม ฉบับแรก ^{[ 15 ]}

การเปลี่ยนผ่านจากการเข้ารหัสแบบกุญแจสาธารณะแบบคลาสสิกไปสู่การเข้ารหัสแบบหลังควอนตัม (PQC) ถือเป็นกระบวนการระยะยาวหลายขั้นตอนเนื่องจากการใช้งานโครงสร้างพื้นฐานการเข้ารหัสอย่างแพร่หลายในระบบดิจิทัล การวางแผนการย้ายระบบได้รับอิทธิพลจากปัจจัยต่างๆ เช่น ข้อกำหนดด้านอายุการใช้งานของข้อมูล แนวทางการกำกับดูแล ข้อจำกัดด้านการทำงานร่วมกัน และความซับซ้อนในการดำเนินงานของการแทนที่ส่วนประกอบการเข้ารหัสแบบฝังตัว^{[ 16 ]}

แบบจำลองความเสี่ยงที่อ้างถึงกันทั่วไปแบบหนึ่งคือทฤษฎีบทของ Mosca ซึ่งประเมินความเร่งด่วนของการย้ายระบบโดยการเปรียบเทียบช่วงเวลาสามช่วง ได้แก่ เวลาที่ต้องใช้ในการเปลี่ยนระบบ (X) เวลาที่ข้อมูลต้องคงความปลอดภัย (Y) และการมาถึงโดยประมาณของคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส (Z) หาก X + Y > Z การย้ายระบบจะถือว่าเร่งด่วน^{[ 16 ]}

ข้อกังวลหลักที่กระตุ้นให้เกิดการเปลี่ยนผ่านในระยะแรกคือรูปแบบภัยคุกคาม “ เก็บเกี่ยวตอนนี้ ถอดรหัสทีหลัง ” ซึ่งข้อมูลที่เข้ารหัสจะถูกดักจับและจัดเก็บโดยมีเจตนาที่จะถอดรหัสเมื่อคอมพิวเตอร์ควอนตัมขนาดใหญ่พร้อมใช้งาน^{[ 17 ]}

กลยุทธ์การย้ายระบบมักเน้นความคล่องตัวในการเข้ารหัส ซึ่งหมายถึงความสามารถของระบบในการแทนที่ส่วนประกอบการเข้ารหัสอย่างรวดเร็วโดยไม่ต้องเปลี่ยนแปลงสถาปัตยกรรมหลัก การใช้งานการเข้ารหัสแบบไฮบริดซึ่งใช้อัลกอริธึมแบบคลาสสิกและแบบหลังควอนตัมพร้อมกันได้รับการทดสอบในโปรโตคอลต่างๆ เช่น Transport Layer Security (TLS) เพื่อลดความเสี่ยงในช่วงเปลี่ยนผ่าน^{[ 18 ]}

ในปี 2024 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้สรุปมาตรฐานการเข้ารหัสหลังควอนตัมฉบับแรก ซึ่งรวมถึงการห่อหุ้มคีย์ตามโมดูลแลตทิซและรูปแบบลายเซ็นดิจิทัล ซึ่งเป็นรากฐานสำหรับการย้ายระบบอย่างเป็นระบบในระบบภาครัฐและเชิงพาณิชย์^{[ 19 ]}

องค์กรระหว่างประเทศและหน่วยงานความมั่นคงทางไซเบอร์ระดับชาติได้เผยแพร่แผนงานที่ประสานงานกันโดยระบุไทม์ไลน์การนำไปใช้เป็นระยะ การประเมินความเสี่ยง และแนวทางการจัดซื้อจัดจ้างเพื่ออำนวยความสะดวกในการเปลี่ยนผ่านอย่างเป็นระบบ^{[ 20 ]}

โครงสร้างพื้นฐานดิจิทัลต้องการระบบรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง ระบบการเข้ารหัสมีความสำคัญอย่างยิ่งต่อการปกป้องความลับและความถูกต้องของข้อมูล การคำนวณควอนตัมจะเป็นภัยคุกคามต่ออัลกอริธึมการเข้ารหัสแบบคลาสสิกจำนวนมาก ซึ่งใช้เพื่อให้บรรลุเป้าหมายการป้องกันเหล่านี้ แต่มีความปลอดภัยเฉพาะกับคอมพิวเตอร์แบบคลาสสิกเท่านั้น ข้อมูลที่ปัจจุบันไม่ปลอดภัยจากควอนตัม ไม่ว่าจะถูกจัดเก็บหรือส่งผ่าน และต้องรักษาความลับไว้เป็นเวลานาน อาจถูกบุกรุกในอนาคตโดยคอมพิวเตอร์ควอนตัม (การโจมตีแบบ "เก็บเกี่ยวตอนนี้ ถอดรหัสทีหลัง") นอกจากนี้ ความถูกต้องก็จะตกอยู่ในความเสี่ยงจากคอมพิวเตอร์ควอนตัมด้วย ภัยคุกคามที่การคำนวณควอนตัมก่อให้เกิดต่อระบบรักษาความปลอดภัยทางไซเบอร์สามารถรับมือได้ด้วยการเปลี่ยนผ่านอย่างทันท่วงที ครอบคลุม และประสานงานไปสู่การเข้ารหัสหลังควอนตัม (PQC) ^{[ 21 ] [ 22 ]}

การวิจัยการเข้ารหัสหลังควอนตัมส่วนใหญ่มุ่งเน้นไปที่แนวทางที่แตกต่างกันหกประการ: ^{[ 3 ] [ 8 ]}

แนวทางนี้รวมถึงระบบการเข้ารหัสลับ เช่นการเรียนรู้ด้วยข้อผิดพลาดการ เรียนรู้ด้วยข้อผิดพลาดแบบวงแหวน ( ring -LWE ) ^{[ 23 ] [ 24 ] [ 25 ]}การแลกเปลี่ยนคีย์การเรียนรู้ด้วยข้อผิดพลาดแบบวงแหวนและลายเซ็นการเรียนรู้ด้วยข้อผิดพลาดแบบวงแหวนรูปแบบการเข้ารหัสNTRUหรือGGHแบบเก่า และลาย เซ็นNTRUและลายเซ็น BLISS แบบใหม่ ^{[ 26 ]} บางรูปแบบเหล่านี้ เช่น การเข้ารหัส NTRU ได้รับการศึกษามาหลายปีโดยไม่มีใครพบการโจมตีที่เป็นไปได้ ส่วนรูปแบบอื่นๆ เช่น อัลกอริทึม ring-LWE มีหลักฐานว่าความปลอดภัยของพวกมันลดลงเหลือเพียงปัญหากรณีที่เลวร้ายที่สุด^{[ 27 ]}กลุ่มศึกษาการเข้ารหัสลับหลังควอนตัมที่ได้รับการสนับสนุนจากคณะกรรมาธิการยุโรปแนะนำให้ศึกษา NTRU เวอร์ชัน Stehle–Steinfeld เพื่อการกำหนดมาตรฐานแทนที่จะเป็นอัลกอริทึม NTRU ^{[ 28 ] [ 29 ]}ในขณะนั้น NTRU ยังคงได้รับสิทธิบัตร การศึกษาต่างๆ ชี้ให้เห็นว่า NTRU อาจมีคุณสมบัติที่ปลอดภัยกว่าอัลกอริทึมแบบแลตทิซอื่นๆ^{[ 30 ]}อัลกอริทึมแบบแลตติสสองแบบ ได้แก่ML-KEM (รู้จักกันทั่วไปในชื่อ Kyber) และ ML-DSA (รู้จักกันทั่วไปในชื่อ Dilithium) เป็นหนึ่งในอัลกอริทึมหลังควอนตัมกลุ่มแรกๆ ที่ได้รับการกำหนดมาตรฐานโดย NIST ^{[ 31 ]}

ซึ่งรวมถึงระบบการเข้ารหัสลับ เช่น รูปแบบลายเซ็น Unbalanced Oil and Vinegarซึ่งอิงตามความยากลำบากในการแก้ระบบสมการหลายตัวแปร ความพยายามต่างๆ ในการสร้างรูปแบบการเข้ารหัสสมการหลายตัวแปรที่ปลอดภัยถูกเจาะได้ โดยเฉพาะอย่างยิ่งลายเซ็น Rainbow ^{[ 32 ]}

ซึ่งรวมถึงระบบการเข้ารหัสลับ เช่นลายเซ็น Lamport , แผนการลายเซ็น Merkle , XMSS, ^{[ 33 ]} SPHINCS, ^{[ 34 ]} WOTS และ แผนการ SPHINCS ⁺ลายเซ็นดิจิทัลแบบใช้แฮชถูกคิดค้นขึ้นในช่วงปลายทศวรรษ 1970 โดยRalph Merkleและได้รับการศึกษามาตั้งแต่นั้นเป็นต้นมาในฐานะทางเลือกที่น่าสนใจสำหรับลายเซ็นดิจิทัลเชิงทฤษฎีจำนวน เช่น RSA และ DSA ข้อเสียเปรียบหลักของลายเซ็นเหล่านี้คือ สำหรับกุญแจสาธารณะแบบใช้แฮชใดๆ จะมีข้อจำกัดเกี่ยวกับจำนวนลายเซ็นที่สามารถลงนามได้โดยใช้ชุดกุญแจส่วนตัวที่สอดคล้องกัน ข้อเท็จจริงนี้ลดความสนใจในลายเซ็นเหล่านี้ลงจนกระทั่งความสนใจกลับมาอีกครั้งเนื่องจากความต้องการการเข้ารหัสลับที่ทนทานต่อการโจมตีโดยคอมพิวเตอร์ควอนตัม ดูเหมือนว่าจะไม่มีสิทธิบัตรใดๆ เกี่ยวกับแผนการลายเซ็น Merkle และมีฟังก์ชันแฮชที่ไม่ได้รับสิทธิบัตรจำนวนมากที่สามารถใช้กับแผนการเหล่านี้ได้ XMSS ซึ่งเป็นรูปแบบลายเซ็นแบบแฮชที่มีสถานะ ได้รับการพัฒนาโดยทีมวิจัยภายใต้การกำกับดูแลของJohannes Buchmannได้รับการอธิบายไว้ใน RFC 8391 ^{[ 35 ]}

โปรดทราบว่าแผนการข้างต้นทั้งหมดเป็นลายเซ็นแบบใช้ครั้งเดียวหรือมีเวลาจำกัดMoni NaorและMoti Yungคิดค้น การแฮช UOWHFในปี 1989 และออกแบบลายเซ็นโดยอิงจากการแฮช (แผนการ Naor-Yung) ^{[ 36 ]}ซึ่งสามารถใช้งานได้ไม่จำกัดเวลา (ลายเซ็นแรกดังกล่าวที่ไม่ต้องการคุณสมบัติกับดัก)

ซึ่งรวมถึงระบบการเข้ารหัสที่อาศัยรหัสแก้ไขข้อผิดพลาดเช่น อัลกอริทึมการเข้ารหัส McElieceและNiederreiterและ รูปแบบ ลายเซ็น Courtois, Finiasz และ Sendrier ที่เกี่ยวข้อง ลายเซ็น McEliece ดั้งเดิมที่ใช้รหัส Goppa แบบสุ่ม นั้นผ่านการตรวจสอบมานานกว่า 40 ปีแล้ว อย่างไรก็ตาม รูปแบบต่างๆ ของรูปแบบ McEliece ซึ่งพยายามนำโครงสร้างเพิ่มเติมเข้าไปในรหัสที่ใช้เพื่อลดขนาดของคีย์นั้น ได้รับการพิสูจน์แล้วว่าไม่ปลอดภัย^{[ 37 ]}กลุ่มศึกษาการเข้ารหัสหลังควอนตัมที่ได้รับการสนับสนุนจากคณะกรรมาธิการยุโรปได้แนะนำระบบการเข้ารหัสคีย์สาธารณะ McEliece เป็นตัวเลือกสำหรับการป้องกันการโจมตีจากคอมพิวเตอร์ควอนตัมในระยะยาว^{[ 28 ]}ในปี 2025 NIST ได้ประกาศแผนการที่จะกำหนดมาตรฐานอัลกอริทึมการเข้ารหัส HQC ที่ใช้รหัส^{[ 38 ]}

ระบบการเข้ารหัสเหล่านี้อาศัยคุณสมบัติของ กราฟ ไอโซจีนีของเส้นโค้งวงรี (และ วาไรตี้อาเบเลียนมิติสูง) เหนือฟิลด์จำกัด โดยเฉพาะอย่างยิ่งกราฟไอโซจีนีซูเปอร์ซิงกู ลาร์ เพื่อสร้างระบบการเข้ารหัส ในบรรดาตัวแทนที่เป็นที่รู้จักกันดีในสาขานี้ ได้แก่การแลกเปลี่ยนคีย์แบบDiffie–Hellman ที่คล้ายกับ CSIDHซึ่งสามารถใช้เป็นตัวทดแทนที่ทนต่อควอนตัมโดยตรงสำหรับวิธีการแลกเปลี่ยนคีย์ Diffie–Hellman และDiffie–Hellman เส้นโค้งวงรีที่ใช้กันอย่างแพร่หลายในปัจจุบัน^{[ 39 ]}และรูปแบบลายเซ็นSQIsignซึ่งอิงตามความสมมูลเชิงหมวดหมู่ระหว่างเส้นโค้งวงรีซูเปอร์ซิงกูลาร์และลำดับสูงสุดในพีชคณิตควอเทอร์เนียนประเภทเฉพาะ^{[ 40 ]} โครงสร้าง SIDH/SIKEที่ได้รับการสังเกตอย่างกว้างขวางอีกโครงสร้างหนึ่งถูกทำลายอย่างน่าทึ่งในปี 2022 ^{[ 41 ]}อย่างไรก็ตาม การโจมตีนี้จำเพาะเจาะจงกับตระกูล SIDH/SIKE และไม่สามารถนำไปใช้กับโครงสร้างอื่นๆ ที่ใช้ isogeny ได้^{[ 42 ]}

ด้วยการใช้ขนาดคีย์ที่ใหญ่เพียงพอ ระบบการเข้ารหัสแบบคีย์สมมาตร เช่นAESและSNOW 3Gจึงมีความทนทานต่อการโจมตีจากคอมพิวเตอร์ควอนตัมอยู่แล้ว^{[ 43 ]}นอกจากนี้ ระบบการจัดการคีย์และโปรโตคอลที่ใช้การเข้ารหัสแบบคีย์สมมาตรแทนการเข้ารหัสแบบคีย์สาธารณะ เช่นKerberosและโครงสร้างการตรวจสอบความถูกต้องของเครือข่ายมือถือ 3GPPก็มีความปลอดภัยโดยธรรมชาติจากการโจมตีของคอมพิวเตอร์ควอนตัมเช่นกัน ด้วยการใช้งานอย่างแพร่หลายทั่วโลก นักวิจัยบางคนจึงแนะนำให้ขยายการใช้งานการจัดการคีย์สมมาตรแบบ Kerberos เป็นวิธีที่มีประสิทธิภาพในการบรรลุการเข้ารหัสหลังควอนตัมในปัจจุบัน^{[ 44 ]}

ในการวิจัยด้านการเข้ารหัสลับนั้น เป็นที่พึงปรารถนาที่จะพิสูจน์ความเท่าเทียมกันของอัลกอริทึมการเข้ารหัสลับกับปัญหาทางคณิตศาสตร์ที่ยากซึ่งเป็นที่รู้จัก การพิสูจน์เหล่านี้มักเรียกว่า "การลดทอนความปลอดภัย" และใช้เพื่อแสดงให้เห็นถึงความยากลำบากในการถอดรหัสอัลกอริทึมการเข้ารหัส กล่าวอีกนัยหนึ่ง ความปลอดภัยของอัลกอริทึมการเข้ารหัสลับที่กำหนดจะลดลงเหลือความปลอดภัยของปัญหาที่ยากซึ่งเป็นที่รู้จัก นักวิจัยกำลังมองหาการลดทอนความปลอดภัยอย่างแข็งขันในอนาคตของการเข้ารหัสลับยุคหลังควอนตัม ผลลัพธ์ปัจจุบันแสดงไว้ที่นี่:

ในRing-LWE บางเวอร์ชัน มีการลดความปลอดภัยลงเหลือเพียงปัญหาเวกเตอร์ที่สั้นที่สุด (SVP)ในแลตทิซเป็นขอบเขตล่างของความปลอดภัย SVP เป็นที่ทราบกันว่าเป็นNP-hard [ ^{27 ] ระบบ} Ring-LWE เฉพาะที่มีการลดความปลอดภัยที่พิสูจน์ได้ ได้แก่ รูปแบบหนึ่งของลายเซ็น Ring-LWE ของ Lyubashevsky ที่กำหนดไว้ในเอกสารโดย Güneysu, Lyubashevsky และ Pöppelmann ^{[ 24 ]}แผนการลงลายเซ็น GLYPH เป็นรูปแบบหนึ่งของลายเซ็น Güneysu, Lyubashevsky และ Pöppelmann (GLP)ซึ่งคำนึงถึงผลการวิจัยที่เกิดขึ้นหลังจากการตีพิมพ์ลายเซ็น GLP ในปี 2012 ลายเซ็น Ring-LWE อีกแบบหนึ่งคือ Ring-TESLA ^{[ 45 ]}นอกจากนี้ยังมี "รูปแบบที่ไม่สุ่ม" ของ LWE ที่เรียกว่า Learning with Rounding (LWR) ซึ่งให้ "ความเร็วที่เพิ่มขึ้น (โดยการกำจัดข้อผิดพลาดเล็กๆ น้อยๆ จากการสุ่มตัวอย่างจากการกระจายแบบเกาส์เซียนที่มีข้อผิดพลาดแบบกำหนดได้) และแบนด์วิดท์" ^{[ 46 ]}ในขณะที่ LWE ใช้การเพิ่มข้อผิดพลาดเล็กๆ น้อยๆ เพื่อปกปิดบิตที่ต่ำกว่า LWR ใช้การปัดเศษเพื่อจุดประสงค์เดียวกัน

เชื่อกัน ว่าความปลอดภัยของ รูปแบบการเข้ารหัส NTRUและลายเซ็น BLISS ^{[ 26 ]}เกี่ยวข้องกับ แต่ไม่สามารถพิสูจน์ได้ว่าลดทอนลงเหลือเพียงปัญหาเวกเตอร์ที่ใกล้ที่สุด (CVP)ในแลตทิซ CVP เป็นที่ทราบกันว่าเป็น ปัญหา NP-hardกลุ่มศึกษาการเข้ารหัสหลังควอนตัมที่ได้รับการสนับสนุนจากคณะกรรมาธิการยุโรปแนะนำให้ศึกษา NTRU เวอร์ชัน Stehle–Steinfeld ซึ่งมีการลดทอนความปลอดภัย เพื่อการใช้งานในระยะยาวแทนอัลกอริธึม NTRU ดั้งเดิม^{[ 28 ]}

แผนการลงลายมือชื่อน้ำมันและน้ำส้มสายชูที่ไม่สมดุล เป็นพื้นฐาน การเข้ารหัสแบบ ไม่สมมาตร โดยอาศัย พหุ นามหลายตัวแปรเหนือฟิลด์จำกัด⁠ ⁠${\displaystyle \mathbb {F} }$ Bulygin, Petzoldt และ Buchmann ได้แสดงให้เห็นถึงการลดระบบ UOV กำลังสองหลายตัวแปรทั่วไปให้เป็นปัญหา การแก้สมการกำลังสองหลายตัวแปรแบบ NP-Hard ^{[ 47 ]}

ในปี พ.ศ. 2548 หลุยส์ การ์เซียพิสูจน์ได้ว่ามีการลดความปลอดภัยของ ลายเซ็น Merkle Hash Treeไปสู่ความปลอดภัยของฟังก์ชันแฮชพื้นฐาน การ์เซียแสดงให้เห็นในบทความของเขาว่าหากมีฟังก์ชันแฮชแบบทางเดียวในการคำนวณ ลายเซ็น Merkle Hash Tree ก็จะมีความปลอดภัยที่พิสูจน์ได้^{[ 48 ]}

ดังนั้น การใช้ฟังก์ชันแฮชที่มีการลดความปลอดภัยที่พิสูจน์ได้ไปสู่ปัญหาที่ยากที่ทราบแล้ว จะมีการลดความปลอดภัยที่พิสูจน์ได้ของ ลายเซ็น ต้นไม้เมอร์เคิลไปสู่ปัญหาที่ยากที่ทราบแล้วนั้น^{[ 49 ]}

กลุ่มศึกษาการเข้ารหัสลับหลังควอนตัมที่ได้รับการสนับสนุนจากคณะกรรมาธิการยุโรปได้แนะนำให้ใช้รูปแบบลายเซ็น Merkle เพื่อการป้องกันความปลอดภัยในระยะยาวจากคอมพิวเตอร์ควอนตัม^{[ 28 ]}

ระบบการเข้ารหัส McEliece มีการลดความปลอดภัยลงเหลือเพียงปัญหาการถอดรหัสซินโดรม (SDP) ซึ่ง SDP เป็นที่ทราบกันว่าเป็นปัญหาNP-hard [ ^{50 ] กลุ่ม}ศึกษาการเข้ารหัสหลังควอนตัมที่ได้รับการสนับสนุนจากคณะกรรมาธิการยุโรปได้แนะนำให้ใช้การเข้ารหัสนี้เพื่อการป้องกันการโจมตีจากคอมพิวเตอร์ควอนตัมในระยะยาว^{[ 28 ]}

ในปี 2016 Wang ได้เสนอรูปแบบการเข้ารหัสรหัสเชิงเส้นแบบสุ่ม RLCE ^{[ 51 ]}ซึ่งอิงตามรูปแบบ McEliece รูปแบบ RLCE สามารถสร้างได้โดยใช้รหัสเชิงเส้นใดๆ เช่น รหัส Reed-Solomon โดยการแทรกคอลัมน์แบบสุ่มในเมทริกซ์ตัวสร้างรหัสเชิงเส้นพื้นฐาน

ความปลอดภัยเกี่ยวข้องกับปัญหาการสร้างไอโซจีนีระหว่างเส้นโค้งซูเปอร์ซิงกูลาร์สองเส้นที่มีจำนวนจุดเท่ากัน การตรวจสอบความยากของปัญหานี้ที่ตีพิมพ์ล่าสุดโดย Delfs และ Galbraith ระบุว่าปัญหานี้ยากพอๆ กับที่ผู้คิดค้นการแลกเปลี่ยนคีย์แนะนำ^{[ 52 ]}ไม่มีการลดความปลอดภัยลงสู่ปัญหา NP-hard ที่รู้จัก

ลักษณะทั่วไปอย่างหนึ่งของอัลกอริธึมการเข้ารหัสลับหลังควอนตัมหลายๆ แบบก็คือ พวกมันต้องการขนาดกุญแจที่ใหญ่กว่าอัลกอริธึมกุญแจสาธารณะ "ก่อนควอนตัม" ที่ใช้กันทั่วไป มักจะมีการแลกเปลี่ยนกันระหว่างขนาดกุญแจ ประสิทธิภาพในการคำนวณ และขนาดของข้อความที่เข้ารหัสหรือลายเซ็น ตารางด้านล่างแสดงค่าบางค่าสำหรับรูปแบบต่างๆ ที่ระดับความปลอดภัยหลังควอนตัม 128 บิต

ปัจจัยสำคัญในการเลือกใช้อัลกอริธึมการเข้ารหัสลับแบบหลังควอนตัมคือ ความพยายามที่ต้องใช้ในการส่งกุญแจสาธารณะผ่านทางอินเทอร์เน็ต จากมุมมองนี้ อัลกอริธึม Ring-LWE, NTRU และ SIDH ให้ขนาดกุญแจที่เหมาะสม คือต่ำกว่า 1 กิโลไบต์ กุญแจสาธารณะแบบแฮชซิกเนเจอร์มีขนาดต่ำกว่า 5 กิโลไบต์ และ McEliece ที่ใช้ MDPC ใช้ขนาดประมาณ 1 กิโลไบต์ ในทางกลับกัน McEliece ที่ใช้ Goppa ต้องการกุญแจขนาดเกือบ 1 เมกะไบต์

แนวคิดพื้นฐานของการใช้ LWE และ Ring LWE สำหรับการแลกเปลี่ยนคีย์ได้รับการเสนอและยื่นจดสิทธิบัตรที่มหาวิทยาลัยซินซินเนติในปี 2011 โดย Jintai Ding แนวคิดพื้นฐานมาจากคุณสมบัติการสลับที่ของการคูณเมทริกซ์ และข้อผิดพลาดถูกนำมาใช้เพื่อให้เกิดความปลอดภัย เอกสาร^{[ 63 ]}ปรากฏในปี 2012 หลังจากมีการยื่นคำขอจดสิทธิบัตรชั่วคราวในปี 2012

ในปี 2014 Peikert ^{[ 64 ]}ได้นำเสนอรูปแบบการขนส่งกุญแจตามแนวคิดพื้นฐานเดียวกันกับของ Ding โดยใช้แนวคิดใหม่ในการส่งสัญญาณ 1 บิตเพิ่มเติมสำหรับการปัดเศษในโครงสร้างของ Ding ด้วย สำหรับความปลอดภัยที่มากกว่า 128 บิต เล็กน้อย Singh ได้นำเสนอชุดพารามิเตอร์ที่มีกุญแจสาธารณะ 6956 บิตสำหรับรูปแบบของ Peikert ^{[ 65 ]}กุญแจส่วนตัวที่สอดคล้องกันจะมีขนาดประมาณ 14,000 บิต

ในปี 2015 การแลกเปลี่ยนคีย์ที่ได้รับการรับรองพร้อมความปลอดภัยแบบส่งต่อที่พิสูจน์ได้ซึ่งเป็นไปตามแนวคิดพื้นฐานเดียวกันกับของ Ding ได้ถูกนำเสนอในงาน Eurocrypt 2015 ^{[ 66 ]}ซึ่งเป็นส่วนขยายของโครงสร้าง HMQV ^{[ 67 ]}ใน Crypto2005 พารามิเตอร์สำหรับระดับความปลอดภัยที่แตกต่างกันตั้งแต่ 80 บิตถึง 350 บิต พร้อมกับขนาดคีย์ที่สอดคล้องกันมีให้ในเอกสาร^{[ 66 ]}

สำหรับการรักษาความปลอดภัย 128 บิตใน NTRU ntruhps2048509โดยที่ n = 509 และ q = 2048 ได้รับการเลือกในการส่ง NIST ในเดือนกันยายน 2020 ^{[ 68 ]}ซึ่งส่งผลให้คีย์สาธารณะมีขนาด 699 ไบต์ และคีย์ส่วนตัวที่สอดคล้องกันมีขนาด 935 ไบต์^{[ 55 ]}

เพื่อให้ได้ความปลอดภัย 128 บิตสำหรับลายเซ็นแบบแฮชเพื่อลงนามข้อความ 1 ล้านข้อความโดยใช้วิธีต้นไม้เมอร์เคิลแบบแฟรกทัลของ Naor Shenhav และ Wool ขนาดของคีย์สาธารณะและคีย์ส่วนตัวจะมีความยาวประมาณ 36,000 บิต^{[ 69 ]}

สำหรับการรักษาความปลอดภัย 128 บิตในแผนการ McEliece กลุ่มศึกษาการเข้ารหัสหลังควอนตัมของคณะกรรมาธิการยุโรปแนะนำให้ใช้รหัส Goppa แบบไบนารีที่มีความยาวอย่างน้อยn = 6960และมิติอย่างน้อยk = 5413และสามารถแก้ไข ข้อผิดพลาดได้ t = 119ด้วยพารามิเตอร์เหล่านี้ กุญแจสาธารณะสำหรับระบบ McEliece จะเป็นเมทริกซ์ตัวสร้างแบบเป็นระบบซึ่งส่วนที่ไม่ใช่เอกลักษณ์ใช้k × ( n − k ) = 8373911บิต กุญแจส่วนตัวที่สอดคล้องกัน ซึ่งประกอบด้วยส่วนสนับสนุนรหัสที่มี องค์ประกอบ n = 6960จาก GF(2 ¹³ ) และพหุนามตัวสร้างที่มี สัมประสิทธิ์ t = 119จาก GF(2 ¹³ ) จะมีความยาว 92,027 บิต^{[ 28 ]}

กลุ่มวิจัยกำลังตรวจสอบการใช้รหัส MDPC แบบกึ่งวัฏจักรที่มีความยาวอย่างน้อยn = ^2¹⁶ + 6 = 65542และมิติอย่างน้อยk = ^2¹⁵ + 3 = 32771และสามารถแก้ไข ข้อผิดพลาดได้ t = 2⁶⁴ข้อผิดพลาด ด้วยพารามิเตอร์เหล่านี้ กุญแจสาธารณะสำหรับระบบ McEliece จะเป็นแถวแรกของเมทริกซ์ตัวสร้างแบบเป็นระบบ ซึ่งส่วนที่ไม่ใช่เอกลักษณ์ใช้k = 32771บิต ส่วนกุญแจส่วนตัว ซึ่งเป็นเมทริกซ์ตรวจสอบความเท่าเทียมกันแบบกึ่งวัฏจักรที่มีรายการ ที่ไม่เป็นศูนย์ d = 274รายการในคอลัมน์ (หรือสองเท่าในแถว) จะใช้ไม่เกินd × 16 = 4384บิต เมื่อแสดงเป็นพิกัดของรายการที่ไม่เป็นศูนย์ในแถวแรก

Barreto และคณะแนะนำให้ใช้รหัส Goppa แบบไบนารีที่มีความยาวอย่างน้อยn = 3307และมิติอย่างน้อยk = 2515และสามารถแก้ไข ข้อผิดพลาดได้ t = 66ด้วยพารามิเตอร์เหล่านี้ กุญแจสาธารณะสำหรับระบบ McEliece จะเป็นเมทริกซ์ตัวสร้างแบบเป็นระบบซึ่งส่วนที่ไม่ใช่เอกลักษณ์ใช้k × ( n − k ) = 1991880บิต^{[ 70 ]}กุญแจส่วนตัวที่สอดคล้องกัน ซึ่งประกอบด้วยส่วนสนับสนุนรหัสที่มี องค์ประกอบ n = 3307จาก GF(2 ¹² ) และพหุนามตัวสร้างที่มี สัมประสิทธิ์ t = 66จาก GF(2 ¹² ) จะมีความยาว 40,476 บิต

สำหรับการรักษาความปลอดภัย 128 บิตในวิธีการ supersingular isogeny Diffie–Hellman (SIDH) นั้น De Feo, Jao และ Plut แนะนำให้ใช้เส้นโค้ง supersingular modulo ของจำนวนเฉพาะ 768 บิต หากใช้การบีบอัดจุดเส้นโค้งวงรี กุญแจสาธารณะจะต้องมีความยาวไม่เกิน 8x768 หรือ 6144 บิต^{[ 71 ]}บทความในเดือนมีนาคม 2016 โดยผู้เขียน Azarderakhsh, Jao, Kalach, Koziel และ Leonardi แสดงให้เห็นถึงวิธีการลดจำนวนบิตที่ส่งลงครึ่งหนึ่ง ซึ่งได้รับการปรับปรุงเพิ่มเติมโดยผู้เขียน Costello, Jao, Longa, Naehrig, Renes และ Urbanik ส่งผลให้ได้โปรโตคอล SIDH เวอร์ชันคีย์บีบอัดที่มีกุญแจสาธารณะขนาดเพียง 2640 บิต^{[ 62 ]}ทำให้จำนวนบิตที่ส่งเทียบเท่ากับ RSA และ Diffie–Hellman ที่ไม่ปลอดภัยควอนตัมในระดับความปลอดภัยแบบคลาสสิกเดียวกัน^{[ 72 ]}

โดยทั่วไปแล้ว สำหรับความปลอดภัย 128 บิตในระบบที่ใช้กุญแจสมมาตร เราสามารถใช้ขนาดกุญแจ 256 บิตได้อย่างปลอดภัย การโจมตีควอนตัมที่ดีที่สุดต่อระบบกุญแจสมมาตรแบบใดก็ได้คือการประยุกต์ใช้อัลกอริทึมของโกรเวอร์ซึ่งต้องใช้การทำงานที่แปรผันตามรากที่สองของขนาดพื้นที่กุญแจ การส่งกุญแจที่เข้ารหัสไปยังอุปกรณ์ที่มีกุญแจสมมาตรที่จำเป็นในการถอดรหัสกุญแจนั้นก็ต้องใช้พื้นที่ประมาณ 256 บิตเช่นกัน เห็นได้ชัดว่าระบบกุญแจสมมาตรให้ขนาดกุญแจที่เล็กที่สุดสำหรับการเข้ารหัสหลังควอนตัม

ระบบกุญแจสาธารณะแสดงคุณสมบัติที่เรียกว่าความลับแบบส่งต่อ ที่สมบูรณ์แบบ เมื่อสร้างกุญแจสาธารณะแบบสุ่มต่อเซสชันเพื่อวัตถุประสงค์ในการตกลงกุญแจ ซึ่งหมายความว่าการรั่วไหลของข้อความหนึ่งข้อความจะไม่นำไปสู่การรั่วไหลของข้อความอื่น และยังไม่มีค่าความลับเดียวที่สามารถนำไปสู่การรั่วไหลของข้อความหลายข้อความได้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้อัลกอริธึมการเข้ารหัสที่รองรับความลับแบบส่งต่อมากกว่าอัลกอริธึมที่ไม่รองรับ^{[ 73 ]}เหตุผลก็คือความลับแบบส่งต่อสามารถป้องกันการรั่วไหลของกุญแจส่วนตัวระยะยาวที่เกี่ยวข้องกับคู่กุญแจสาธารณะ/ส่วนตัวได้ ซึ่งถือเป็นวิธีการป้องกันการสอดแนมจำนวนมากโดยหน่วยงานข่าวกรอง

ทั้งการแลกเปลี่ยนคีย์ Ring-LWE และการแลกเปลี่ยนคีย์ Diffie–Hellman แบบ supersingular isogeny (SIDH) สามารถรองรับการรักษาความลับแบบส่งต่อ (forward secrecy) ในการแลกเปลี่ยนครั้งเดียวกับอีกฝ่ายได้ นอกจากนี้ ทั้ง Ring-LWE และ SIDH ยังสามารถใช้งานได้โดยไม่ต้องรักษาความลับแบบส่งต่อ โดยการสร้างรูปแบบหนึ่งของการเข้ารหัส ElGamalแบบคลาสสิกของ Diffie–Hellman

อัลกอริทึมอื่นๆ ในบทความนี้ เช่น NTRU ไม่รองรับการรักษาความลับแบบส่งต่อ (forward secrecy) โดยตรง

ระบบการเข้ารหัสคีย์สาธารณะที่ได้รับการรับรองใด ๆ สามารถใช้เพื่อสร้างการแลกเปลี่ยนคีย์ด้วยความลับแบบส่งต่อได้^{[ 74 ]}

โครงการOpen Quantum Safe ( OQS ) เริ่มต้นขึ้นในช่วงปลายปี 2016 โดยมีเป้าหมายในการพัฒนาและสร้างต้นแบบการเข้ารหัสที่ทนทานต่อควอนตัม^{[ 75 ] [ 76 ]}โดยมุ่งเน้นการรวมรูปแบบการเข้ารหัสหลังควอนตัมในปัจจุบันไว้ในไลบรารีเดียว นั่นคือliboqs [ ^{77 ] liboqs} เป็นไลบรารี Cแบบโอเพนซอร์สสำหรับอัลกอริธึมการเข้ารหัสที่ทนทานต่อควอนตัม ในตอนแรกจะเน้นที่อัลกอริธึมการแลกเปลี่ยนคีย์ แต่ปัจจุบันรวมถึงรูปแบบลายเซ็นหลายแบบแล้ว liboqs มีอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ทั่วไปที่เหมาะสมสำหรับอัลกอริธึมการแลกเปลี่ยนคีย์หลังควอนตัม และจะรวบรวมการใช้งานต่างๆ เข้าด้วยกัน นอกจากนี้ liboqs ยังมีชุดทดสอบและรูทีนการวัดประสิทธิภาพเพื่อเปรียบเทียบประสิทธิภาพของการใช้งานหลังควอนตัม ยิ่งไปกว่านั้น OQS ยังรองรับการรวม liboqs เข้ากับOpenSSL อีก ด้วย ^{[ 78 ]}

ณ เดือนมีนาคม พ.ศ. 2566 อัลกอริทึมการแลกเปลี่ยนคีย์ต่อไปนี้ได้รับการสนับสนุน: ^{[ 75 ]}

ณ เดือนสิงหาคม 2024 NIST ได้เผยแพร่อัลกอริธึม 3 รายการด้านล่างเป็นมาตรฐาน FIPS และคาดว่าจะมีอัลกอริธึมที่ 4 ในช่วงปลายปี: ^{[ 79 ]}

เวอร์ชันเก่าที่ได้รับการสนับสนุนซึ่งถูกลบออกเนื่องจากความคืบหน้าของ โครงการ มาตรฐานการเข้ารหัสลับควอนตัมหลังยุคใหม่ของ NISTได้แก่:

ความท้าทายในด้านการเข้ารหัสลับหลังควอนตัมคือการนำอัลกอริทึมที่อาจปลอดภัยจากควอนตัมไปใช้ในระบบที่มีอยู่ มีการทดสอบที่ดำเนินการแล้ว เช่น โดย^Microsoft Researchที่นำ PICNIC ไปใช้ในPKIโดยใช้โมดูลความปลอดภัยฮาร์ดแวร์ [ ^{97 ]} ผู้จำหน่าย HSMก็ได้ทำการทดสอบการใช้งาน อัลกอริทึม NewHope ของ Google ด้วยเช่นกัน ในเดือนสิงหาคม 2023 Google ได้เผยแพร่ การใช้งานคีย์ความปลอดภัย FIDO2ของ รูปแบบลายเซ็นไฮบริด ECC /Dilithium ซึ่งทำร่วมกับETH Zürich ^{[ 98 ]}

โปรโตคอลสัญญาณใช้Post-Quantum Extended Diffie–Hellman (PQXDH) ตั้งแต่ปี 2023 ^{[ 99 ] [ 100 ]}

เมื่อวันที่ 21 กุมภาพันธ์ 2024 Appleประกาศว่าจะอัปเกรด โปรโตคอล iMessageด้วยโปรโตคอล PQC ใหม่ที่เรียกว่า "PQ3" ซึ่งจะใช้การสร้างคีย์อย่างต่อเนื่อง^{[ 101 ] [ 102 ] [ 103 ]} Apple ระบุว่า แม้ว่าคอมพิวเตอร์ควอนตัมที่มีประสิทธิภาพจะยังไม่มีอยู่จริง แต่พวกเขาต้องการลดความเสี่ยงจากคอมพิวเตอร์ควอนตัมในอนาคต รวมถึงสถานการณ์การโจมตีที่เรียกว่า " เก็บเกี่ยวตอนนี้ ถอดรหัสทีหลัง " Apple ระบุว่าพวกเขาเชื่อว่าการใช้งาน PQ3 ของพวกเขานั้นให้การป้องกันที่ "เหนือกว่าแอปส่งข้อความอื่นๆ ที่ใช้งานกันอย่างแพร่หลาย" เนื่องจากใช้การสร้างคีย์อย่างต่อเนื่อง Apple ตั้งใจที่จะแทนที่โปรโตคอล iMessage ที่มีอยู่ภายในบทสนทนาที่รองรับทั้งหมดด้วย PQ3 ภายในสิ้นปี 2024 นอกจากนี้ Apple ยังกำหนดมาตราส่วนเพื่อให้ง่ายต่อการเปรียบเทียบคุณสมบัติความปลอดภัยของแอปส่งข้อความ โดยมีมาตราส่วนที่แสดงด้วยระดับตั้งแต่ 0 ถึง 3: 0 สำหรับไม่มีการเข้ารหัสแบบ end-to-end โดยค่าเริ่มต้น 1 สำหรับการเข้ารหัสแบบ pre-quantum end-to-end โดยค่าเริ่มต้น 2 สำหรับการสร้างคีย์ PQC เท่านั้น (เช่น PQXDH) และ 3 สำหรับการสร้างคีย์ PQC และการเปลี่ยนคีย์อย่างต่อเนื่อง (PQ3) ^{[ 101 ]}

คณะทำงานด้านวิศวกรรมอินเทอร์เน็ตได้จัดทำร่างอินเทอร์เน็ตโดยใช้อัลกอริธึม PQC ในMessaging Layer Security (MLS) ^{[ 104 ]} MLS จะถูกใช้ในการส่งข้อความRCS ใน Google MessagesและMessages (Apple )

ตัวอย่างการนำไปใช้งานที่น่าสนใจอื่นๆ ได้แก่:

• ปราสาทเด้งดึ๋ง^{[ 105 ]}
• liboqs ^{[ 106 ]}

ระบบบล็อกเชนโดยทั่วไปอาศัยการเข้ารหัสแบบกุญแจสาธารณะ โดยเฉพาะอัลกอริทึมลายเซ็นดิจิทัลแบบวงรี (ECDSA) เพื่อตรวจสอบความถูกต้องของธุรกรรมและควบคุมการเป็นเจ้าของสินทรัพย์ แผนการเข้ารหัสเหล่านี้มีความเสี่ยงต่อการโจมตีควอนตัม เนื่องจากอัลกอริทึมของ Shor สามารถแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่องซึ่งเป็นพื้นฐานของแผนการเข้ารหัสได้อย่างมีประสิทธิภาพ^{[ 107 ]}

ในโปรโตคอลบล็อกเชนจำนวนมาก คีย์สาธารณะจะไม่ถูกเปิดเผยจนกว่าจะมีการดำเนินการธุรกรรม อย่างไรก็ตาม เมื่อถูกเปิดเผยแล้ว คีย์เหล่านั้นอาจเสี่ยงต่อการโจมตีควอนตัมหากฝ่ายตรงข้ามมีขีดความสามารถด้านควอนตัมที่ก้าวหน้าเพียงพอ ซึ่งนำไปสู่คำแนะนำให้ผู้ใช้ย้ายสินทรัพย์ไปยังรูปแบบที่อยู่ที่มีความต้านทานต่อควอนตัมก่อนที่จะมีคอมพิวเตอร์ควอนตัมขนาดใหญ่^{[ 107 ]}

การบูรณาการอัลกอริธึมการเข้ารหัสหลังควอนตัมเข้ากับระบบบล็อกเชนก่อให้เกิดความท้าทายทางเทคนิคหลายประการ รูปแบบลายเซ็นหลังควอนตัมจำนวนมากต้องการคีย์และลายเซ็นขนาดใหญ่ขึ้น ซึ่งอาจเพิ่มขนาดธุรกรรม ความต้องการพื้นที่จัดเก็บ และการใช้แบนด์วิดท์เครือข่าย นอกจากนี้ ต้นทุนการคำนวณที่สูงขึ้นสำหรับการตรวจสอบอาจส่งผลกระทบต่อความสามารถในการปรับขนาดและปริมาณงานในเครือข่ายแบบกระจาย^{[ 108 ]}

แนวทางการเข้ารหัสแบบไฮบริดที่ผสมผสานลายเซ็นแบบคลาสสิกและแบบหลังควอนตัมได้รับการเสนอให้เป็นโซลูชันชั่วคราว แนวทางเหล่านี้มีเป้าหมายเพื่อรักษาความเข้ากันได้กับระบบเดิมในขณะที่ค่อยๆ นำกลไกการรักษาความปลอดภัยที่ทนทานต่อควอนตัมเข้ามาใช้ งานวิจัยที่กำลังดำเนินอยู่มุ่งเน้นไปที่การเพิ่มประสิทธิภาพของแผนการแบบหลังควอนตัมสำหรับสภาพแวดล้อมแบบกระจายศูนย์ ในขณะที่รักษาสมดุลระหว่างความปลอดภัย ประสิทธิภาพ และความสามารถในการขยายขนาด

แม้ว่าอัลกอริธึมหลังควอนตัมจะปกป้องเนื้อหาข้อมูลจากการถอดรหัสในอนาคต แต่ก็ไม่สามารถป้องกันการดักจับและการจัดเก็บข้อความที่เข้ารหัสไว้ได้ (ซึ่งเป็นรูปแบบภัยคุกคามที่เรียกว่า " เก็บเกี่ยวตอนนี้ ถอดรหัสทีหลัง ") เพื่อลดความเสี่ยงนี้ สถาปัตยกรรมเครือข่ายบางส่วนจึงรวมเอาการรักษาความปลอดภัยระดับกายภาพ (PLS) หรือความโกลาหลทางแสงควบคู่ไปกับ PQC ^{[ 109 ]}

ด้วยการฝังสัญญาณแสงไว้ภายในระดับสัญญาณรบกวน ( OSNR ติดลบ ) โดยใช้การเข้ารหัสเฟสสเปกตรัม มาตรการป้องกันทางกายภาพเหล่านี้มุ่งเป้าไปที่การทำให้การส่งสัญญาณไม่สามารถบันทึกได้ ซึ่งจะสร้างกลยุทธ์ "การป้องกันเชิงลึก" กล่าวคือ การปกปิดทางกายภาพจะป้องกันการเก็บเกี่ยวข้อความที่เข้ารหัสได้อย่างสมบูรณ์ ทำให้มั่นใจได้ว่าไม่มีข้อมูลใด ๆ สำหรับการถอดรหัสควอนตัมในอนาคต ในขณะที่อัลกอริธึม PQC จะให้การป้องกันที่จำเป็นสำหรับข้อมูลที่จัดเก็บไว้ที่ปลายทาง^{[ 110 ]}

Google ยังคงใช้ "การเข้ารหัสแบบไฮบริด" ในการใช้การเข้ารหัสแบบโพสต์ควอนตัม: เมื่อใดก็ตามที่ใช้รูปแบบโพสต์ควอนตัมที่ค่อนข้างใหม่ จะมีการรวมเข้ากับรูปแบบที่ไม่ใช่ PQ ที่ได้รับการพิสูจน์แล้วมากกว่า เพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกบุกรุกแม้ว่าอัลกอริทึม PQ ที่ค่อนข้างใหม่จะพบว่ามีความเสี่ยงต่อการโจมตีที่ไม่ใช่ควอนตัมก่อน Y2Q รูปแบบนี้ถูกใช้ในการทดสอบ TLS โพสต์ควอนตัมในปี 2016 และ 2019 ^{[ 111 ]}และในคีย์ FIDO2 ปี 2023 ^{[ 98 ]}หนึ่งในอัลกอริทึมที่ใช้ในการทดสอบปี 2019 คือ SIKE ซึ่งถูกเจาะระบบในปี 2022 แต่เลเยอร์ X25519 ที่ไม่ใช่ PQ (ซึ่งใช้กันอย่างแพร่หลายใน TLS อยู่แล้ว) ยังคงปกป้องข้อมูลได้^{[ 111 ]} PQ3 ของ Apple และ PQXDH ของ Signal ก็เป็นแบบไฮบริดเช่นกัน^{[ 101 ]}

NSA และ GCHQ โต้แย้งการเข้ารหัสแบบไฮบริด โดยอ้างว่าทำให้การใช้งานและการเปลี่ยนผ่านมีความซับซ้อนมากขึ้นDaniel J. Bernsteinซึ่งสนับสนุนการเข้ารหัสแบบไฮบริด โต้แย้งว่าข้ออ้างเหล่านั้นเป็นเท็จ^{[ 111 ]}

ความจำเป็นของการเข้ารหัสลับหลังควอนตัมขึ้นอยู่กับการแก้ปัญหาการเข้ารหัสลับแบบดั้งเดิมที่ได้รับการยอมรับอย่างรวดเร็วโดยคอมพิวเตอร์ควอนตัม อย่างไรก็ตาม คอมพิวเตอร์ควอนตัมยังอยู่ในระหว่างการพัฒนา และยังไม่สามารถแสดงการทดสอบขนาดใหญ่ของอัลกอริทึมของ Shor เพื่อตรวจสอบว่ากลไกการเร่งความเร็วควอนตัมเป็นไปได้และมีประสิทธิภาพเหนือกว่าคอมพิวเตอร์แบบคลาสสิกในปัญหาดังกล่าว ในปี 2019 ทีมงานที่ใช้ คอมพิวเตอร์ควอนตัม IBM Qสามารถแยกตัวประกอบของตัวเลข 15 และ 21 ได้ แต่ไม่สามารถ แยกตัวประกอบ ของ 35 ได้^{[ 112 ]} มีความพยายามอื่น ๆ ในการจำลองคอมพิวเตอร์ควอนตัมสำหรับตัวเลขที่ใหญ่กว่า แต่การจำลองเหล่านั้นไม่มีข้อได้เปรียบควอนตัม (เช่น การเร่งความเร็วเหนือคอมพิวเตอร์แบบคลาสสิก) ^{[ 113 ]}

แม้ว่า ปัญหา การแยกตัวประกอบจำนวนเต็มลอการิทึมแบบไม่ต่อเนื่องและลอการิทึมแบบไม่ต่อเนื่องของเส้นโค้งวงรีอาจถูกทำลายได้ด้วยกลไกการเร่งความเร็วควอนตัมที่เสนอ แต่การเข้ารหัสลับใดๆ ที่อิงตามปัญหาทางคณิตศาสตร์ที่ยากเหล่านี้ก็ยังไม่ได้รับการพิสูจน์ว่าไม่ปลอดภัย หรือถูกทำลายทางคณิตศาสตร์นอกเหนือจากอัลกอริทึมของ Shor หรืออนุพันธ์ของมัน ระบบการเข้ารหัสลับเหล่านี้ถูกใช้ทั่วโลก และได้รับการทดสอบอย่างกว้างขวางเพื่อหาช่องโหว่มาเป็นเวลาหลายทศวรรษ นอกจากนี้ แม้ว่าอัลกอริทึมของ Shor จะเสนอ วิธีแก้ปัญหา ในเวลาพหุนาม (เช่น เร็ว) ผ่านกลไกการค้นหาคาบควอนตัม (เช่น การค้นหาคาบที่ซ้ำกันซึ่งคอมพิวเตอร์ควอนตัมทดสอบคาบที่เป็นไปได้ทั้งหมดแบบขนาน จากนั้นยุบรวมเมื่อพบวิธีแก้ปัญหาที่ถูกต้อง) ^{[ 114 ]}แต่การเร่งความเร็วเช่นนี้ก็ไม่เคยได้รับการพิสูจน์ว่ามีอยู่จริงในระดับใหญ่

นักคณิตศาสตร์Stephen Wolframและ Christopher Wolfram ได้สร้างแบบจำลองจำลองขึ้นจาก Branchial Graphs ^{[ 115 ]}เพื่อเลียนแบบกลศาสตร์ควอนตัม และขยายความเพื่อจำลองระบบที่ใช้โดยคอมพิวเตอร์ควอนตัม งานวิจัยของพวกเขานำไปสู่การที่ Stephen แสดงความสงสัยเล็กน้อยต่อกลไกการเร่งความเร็วควอนตัม ที่เสนอ ซึ่งเกี่ยวข้องกับการยุบ/คลายสถานะควอนตัมที่พันกันอย่างเป็นระบบจนกลายเป็นโซลูชันที่ใช้งานได้และแก้ไขข้อผิดพลาด กล่าวคือความสงสัยเกี่ยวกับกลไกที่รับผิดชอบต่อข้อได้เปรียบควอนตัมเชิงทฤษฎีที่ใช้โดยคอมพิวเตอร์ควอนตัมในอนาคต ในระดับที่คิวบิตที่พันกันอย่างสมบูรณ์จำนวนมากสามารถเรียกใช้อัลกอริทึมของ Shor กับปัญหาคลาสสิกสมัยใหม่ (เช่นRSA-2048โดยใช้การแยกตัวประกอบจำนวนเต็ม ) ^{[ 116 ]}

ในปี 2013 การรั่วไหลของ NSA โดยเอ็ดเวิร์ด สโนว์เดน ยืนยันว่าซูเปอร์คอมพิวเตอร์ที่ใหญ่ที่สุดในเวลานั้นไม่สามารถถอดรหัส ระบบการเข้ารหัสแบบกุญแจสาธารณะที่ใช้งานได้ถูกต้อง นอกจากนี้ NSAยังไม่พบทางลัดทางคณิตศาสตร์ แม้จะเป็นหน่วยงานที่มีนักคณิตศาสตร์มากที่สุดในโลกก็ตามบรูซ ชไนเออร์ นักวิเคราะห์ความปลอดภัยและนักเข้ารหัส ซึ่งเข้าถึงคลังข้อมูลของสโนว์เดน สรุปว่าคณิตศาสตร์นั้นไม่เคยถูกถอดรหัส^{[ 117 ]} โดยรวมแล้ว หากคำวิจารณ์ข้างต้นพิสูจน์ได้ว่าเป็นจริง ความจำเป็นของการเข้ารหัสหลังควอนตัมก็จะถูกตั้งคำถาม พร้อมกับความจำเป็นในการเปลี่ยนโครงสร้างพื้นฐานทางธุรกิจสมัยใหม่ไปใช้แผนการเข้ารหัส ที่ยังไม่ได้รับการพิสูจน์มากนัก

• การกำหนดมาตรฐานการเข้ารหัสลับควอนตัมหลังยุคใหม่ของ NIST
• การเข้ารหัสควอนตัม – การเข้ารหัสที่ใช้หลักการทางกลศาสตร์ควอนตัม
• การทำลายรหัสเข้ารหัส – การลบรหัสเข้ารหัส

• บากิรอฟ, เอมิลส์; โพรโวดิน, กริกอรี; ซิโพลา, ทูโอโม; เฮาทามากิ, จารี (2024) "การประยุกต์ใช้การเข้ารหัสหลังควอนตัม" การประชุมยุโรปเรื่องสงครามไซเบอร์และความมั่นคง23 (1) : 49– 57. arXiv : 2406.13258ดอย : 10.34190/eccws.23.1.2247 .
• บาฟเดการ์, ริติก; ช๊อปเด้, อีชาน จายันต์; บาเทีย, อชูทอช; ทิวารี, คัมเลช; แดเนียล, แซนดีพ โจชัว (2022) "การเข้ารหัสควอนตัมหลัง: เทคนิค ความท้าทาย การกำหนดมาตรฐาน และทิศทางสำหรับการวิจัยในอนาคต" arXiv : 2202.02826 [ cs.CR ].
• Bavdekar, Ritik; Jayant Chopde, Eashan; Agrawal, Ankit; Bhatia, Ashutosh; Tiwari, Kamlesh (2023). "การเข้ารหัสลับหลังควอนตัม: การทบทวนเทคนิค ความท้าทาย และมาตรฐาน" การประชุมนานาชาติว่าด้วยเครือข่ายสารสนเทศ (ICOIN) ปี 2023หน้า  146–151 . doi : 10.1109/ICOIN56518.2023.10048976 . ISBN 978-1-6654-6268-6.
• เบิร์นสไตน์, แดเนียล เจ.; บุชมันน์, โยฮันเนส; ดาห์เมน, เอริค, เอ็ด. (2551) การเข้ารหัสหลังควอนตัม สปริงเกอร์. พี 245. ไอเอสบีเอ็น 978-3-540-88701-0.
• Bernstein, Daniel J.; Lange, Tanja (2017). "การเข้ารหัสลับหลังควอนตัม" Nature . 549 ( 7671): 188– 194. Bibcode : 2017Natur.549..188B . doi : 10.1038/nature23461 . PMID  28905891 .
• Buchmann, Johannes A.; Butin, Denis; Göpfert, Florian; Petzoldt, Albrecht (2016). "การเข้ารหัสลับหลังควอนตัม: สถานะปัจจุบัน" . The New Codebreakers: Essays Dedicated to David Kahn on the Occasion of His 85th Birthday . Springer. หน้า  88– 108. doi : 10.1007/978-3-662-49301-4_6 . ISBN 978-3-662-49301-4.
• Campagna, M.; Hardjono, T.; Pintsov, L.; Romansky, B.; และ Yu, T. " การทบทวน Kerberos: การตรวจสอบความถูกต้องที่ปลอดภัยจากควอนตัม " การประชุมเชิงปฏิบัติการด้านการเข้ารหัสที่ปลอดภัยจากควอนตัมของ ETSI 26 กันยายน 2013
• Campagna, Matt; LaMacchia, Brian; Ott, David (2021). "การเข้ารหัสลับหลังควอนตัม: ความท้าทายด้านความพร้อมและพายุที่กำลังจะมาถึง". Computing Community Consortium . arXiv : 2101.01269 .
• [Certera]. X9 PKI: ความพร้อมของ PQC และความคล่องตัวด้านการเข้ารหัสสำหรับบริการทางการเงิน Certera
• เชส, เมลิสซา; เดอร์เลอร์, เดวิด; โกลด์เฟเดอร์, สตีเวน; ออร์แลนดี, คลาวดิโอ; รามาเชอร์, เซบาสเตียน; เรชเบอร์เกอร์, คริสเตียน; สลามานิก, แดเนียล; ซาเวรูชา, เกร็ก (29 พฤศจิกายน 2017). เอกสารการออกแบบโครงการ Picnic Signature Schemeเวอร์ชัน 1.0
• Dam, Duc-Thuan; Tran, Thai-Ha; Hoang, Van-Phuc; Pham, Cong-Kha; Hoang, Trong-Thuc (2023). "การสำรวจการเข้ารหัสลับหลังควอนตัม: จุดเริ่มต้นของการแข่งขันครั้งใหม่"การเข้ารหัสลับ 7 ( 3): 40. doi : 10.3390/cryptography7030040 .
• Jao, David (19 กันยายน 2011). ไอโซจีนีในโลกควอนตัม ; เก็บถาวรเมื่อ 2 พฤษภาคม 2014 ที่Wayback Machineมหาวิทยาลัยวอเตอร์ลู
• Joseph, David; Misoczki, Rafael; Manzano, Marc; Tricot, Joe; Pinuaga, Fernando Dominguez; Lacombe, Olivier; Leichenauer, Stefan; Hidary, Jack; Venables, Phil; Hansen, Royal (2022). "การเปลี่ยนผ่านองค์กรสู่การเข้ารหัสลับหลังควอนตัม" Nature . 605 (7909): 237– 243. Bibcode : 2022Natur.605..237J . doi : 10.1038/s41586-022-04623-2 . ​​PMID  35546191 .
• Kret, Ehren; Rolfe Schmidt (2024-01-23) [2023-05-24]. ข้อกำหนดโปรโตคอลการตกลงคีย์ PQXDHฉบับแก้ไข 3
• Kumar, Manoj; Pattnaik, Pratap (2020). "การเข้ารหัสลับหลังควอนตัม – ภาพรวม: (บทความรับเชิญ)". การประชุม IEEE High Performance Extreme Computing Conference ปี 2020.หน้า  1–9 . doi : 10.1109/HPEC43674.2020.9286147 . ISBN 978-1-7281-9219-2.
• หลี่, สิหลง; เฉิน หยูเซียง; เฉิน, หลิน; เหลียวจิง; กวง, จันทร์จันทร์; หลี่ ควนชิง; เหลียง, เว่ย; ซง ไนซือ (2023) "ความปลอดภัยหลังควอนตัม: โอกาสและความท้าทาย " เซนเซอร์​ 23 (21): 8744. Bibcode : 2023Senso..23.8744L . ดอย : 10.3390/s23218744 . PMC  10648643 . PMID37960442  .​
• Lyubashevsky, Vadim; Chris Peikert; Oded Regev. " เกี่ยวกับแลตติสในอุดมคติและการเรียนรู้ด้วยข้อผิดพลาดบนวงแหวน "
• Mamatha, GS; Dimri, Namya; Sinha, Rasha (2024). "การเข้ารหัสลับหลังควอนตัม: การรักษาความปลอดภัยการสื่อสารดิจิทัลในยุคควอนตัม". arXiv : 2403.11741 [ cs.CR ].
• Rawal, Bharat S.; Curry, Peter J. (2024). "ความท้าทายและโอกาสในอนาคตของการเข้ารหัสลับหลังควอนตัม" . APL Quantum . 1 (2) 026110. doi : 10.1063/5.0198344 .
• Richter, Maximilian; Bertram, Magdalena; Seidensticker, Jasper; Tschache, Alexander (2022). " มุมมองทางคณิตศาสตร์เกี่ยวกับการเข้ารหัสลับหลังควอนตัม"คณิตศาสตร์10 ( 15): 2579. doi : 10.3390/math10152579 .
• Sood, Neerav (2024). "การเข้ารหัสในยุคหลังการคำนวณควอนตัม" . วารสารอิเล็กทรอนิกส์ SSRN . doi : 10.2139/ssrn.4705470 .
• Singh, Balvinder; Ahateshaam, Md; Lahiri, Abhisweta; Sagar, Anil Kumar (2024). "อนาคตของการเข้ารหัสในยุคของการคำนวณควอนตัม" นวัตกรรมในวิศวกรรมไฟฟ้าและอิเล็กทรอนิกส์ บันทึกการบรรยายในวิศวกรรมไฟฟ้า เล่ม ที่ 1115 หน้า  13–31 doi : 10.1007/978-981-99-8661-3_2 ISBN 978-981-99-8660-6.
• Yalamuri, Gagan; Honnavalli, Prasad; Eswaran, Sivaraman (2022). "การทบทวนคลังอาวุธการเข้ารหัสในปัจจุบันเพื่อรับมือกับภัยคุกคามหลังควอนตัม" Procedia Computer Science . 215 : 834–845 . doi : 10.1016/j.procs.2022.12.086 .

• PQCrypto การประชุมด้านการเข้ารหัสลับยุคหลังควอนตัม
• ความพยายามมาตรฐานความปลอดภัยควอนตัม ETSI
• โครงการการเข้ารหัสหลังควอนตัมของ NIST
• การใช้งานและการปรับใช้ PQCrypto
• ค่าใช้จ่ายในการขอใบรับรอง ISO 27001
• ISO 22301:2019 – ความปลอดภัยและความยืดหยุ่นในสหรัฐอเมริกา
• คะแนนความเสี่ยงของอัลกอริธึมการเข้ารหัสทั่วไป
• ไดลิเธียมและSPHINCS+คำอธิบายและการสาธิตใน Excel (โดยไม่ใช้มาโคร) โดย Tim Wambach