Что касается квантовых компьютеров и криптографии, есть две совершенно разные аспекты.

1) квантовые компьютеры, если когда-нибудь они приходят в существование с большим количеством кубитов (который я лично сомневаюсь, но нормально), может ПОЛНОСТЬЮ CRACK текущих открытых ключей системы на основе простого профакторизованное (RSA, Диффи-Hellmann) или основаны на дискретных логарифмов в группах (эллиптическая кривая криптографической). Алгоритм для этого, как известно, это алгоритм Шора. По ПОЛНОСТЬЮ я имею в виду полностью: просто ЛЮБАЯ ключ может быть взломана в течение нескольких миллисекунд, при условии, что квантовый компьютер имеет больше кубитов, чем (несколько раз) длина ключа. Если такой квантовый компьютер существует, просто не существует трудностей в крекинг ключ, он не принимает "дней" или что-нибудь, потому что сложность идет логарифмическим с помощью алгоритма Шора.

2) Однако для хэш-функций, а также симметричной криптографии, как AES-256, можно показать, что квантовый компьютер в лучшем случае может использовать алгоритм Гровера, чтобы взломать его. Алгоритм Гровер не трескается полностью хэш-функции, но, по существу половин СВОЕЙ СИЛЫ БИТ. Таким образом, хэш SHA-256 (256 бит) не требуется 2 ^ 256 испытаний, как на классическом компьютере, но "только" 2 ^ 128 испытания на квантовом компьютере, который до сих пор невозможно сделать практически. Большинство людей думают, что квантовые компьютеры, если они когда-либо существуют, работают намного медленнее, чем классические машины, поэтому 2 ^ 128 испытания на квантовом компьютере будет гораздо сложнее решить, чем 2 ^ 128 испытаний на классической машине.

Таким образом, в то время как квантовые компьютеры могут ускорить поиск хэш-функцию, они не трескается его полностью. Интересно то, что при определенных условиях, было установлено, что алгоритм Гровера является наилучшим один на квантовом компьютере, чтобы атаковать случайную хэш-функцию.

==> большой хэш-функция по-прежнему защищена от квантовых атак; Самый последний криптографический открытый ключ полностью сломан квантовыми атаки.

Вот почему это несколько странно, в протоколе Bitcoin, иметь хэшируются публичного ключа 160 бит, а не сохранили 256 бит. Если угроза квантового нападения была причиной этого, было бы разумнее сохранить 256 битный хэш в качестве адреса вместо 160 RIPEMD хэша, потому что в алгоритме Гровер это станет только 80 бит безопасности, в то время как 256 бит хэш будет оставаться 128 бит безопасности под квантовой атакой, которая является таким же уровнем * классической * безопасности, обеспечиваемой эллиптической кривой схемой подписи - что бы не выжить, сам по себе, квантовой атаке. Это одна из своеобразного криптографического дизайна "функции" из Bitcoin ...