Следует отметить, что конкретные оценки квантовой стойкости различных задач еще очень новый области исследований, и некоторые вопросы до сих пор не решены.
Хорошим примером этого является статья Пикерта. Он дает сито C от CSIDH. Помимо отличного каламбура, в этой статье используется нечто, называемое коллиниационное сито (разработан в 2013 году Грегом Купербергом iirc), чтобы опровергнуть предположение CSIDH. Обратите внимание, что это предположение выделяется среди всех постквантовых предположений, поскольку оно непосредственно дает неинтерактивный обмен ключами, что-то такое
- довольно легко получить из классических задач (варианты дискретного логарифма), но
- для получения таких вещей, как LWE, либо требуются очень большие параметры, либо обращение к продвинутому примитиву (либо FHE, либо функциональное шифрование) — в любом случае результирующая схема неэффективна.
Суть статьи заключается в том, что коллиниационное сито не требует доступа к большому ($\приблизительно 2^{30}$) количество квантовой памяти напрямую, но вместо этого может использовать «квантово-доступную классическую память» (окончательная оценка больше, $\приблизительно 2^{40}$). Я помню, что были некоторые дебаты (я предполагаю, между Дэном Бернштейном и Крисом, но точно не помню) либо в твиттере, либо в группе nist PQC google о практических последствиях этой измененной оценки.
Очень грубо, можно охарактеризовать классическую безопасность с точки зрения пары (время, память), необходимой для взлома примитива. Тогда квантовая безопасность связана с четвёркой (классическое время, классическая память, квантовое время, квантовая память).
Вопрос о том, как именно извлечь единственную оценку безопасности из такой четверки, до сих пор является предметом споров, и даже у двух экспертов по постквантовой криптографии могут быть разногласия.