Я прочитал эту бумагу: https://eprint.iacr.org/2016/197
В нем говорится, что режимы CTR и OFB безопасны для квантовых противников.
Вы должны понимать предполагаемую модель атаки. Он предполагает сценарий, в котором злоумышленник может делать квантово-запутанные запросы к Oracle и получать обратно запутанные ответы; то, что они показывают, что даже в этом сценарии у злоумышленника нет значительного преимущества перед простой атакой самого базового блочного шифра [1].
Теперь, если у вас есть шифрование диска, а «запросы», которые разрешено делать злоумышленнику, — это изучение зашифрованного текста (состоящего из классических «0» и «1»), у него нет возможности предпринять такую атаку, а так бумажка для вас совершенно не актуальна.
У меня есть внешний HD, полностью зашифрованный блочным шифром Threefish в режиме CTR с 3 уровнями 1024-битных ключей.
И как генерировать эти ключи? Если вы не сгенерируете их совершенно случайным образом и не сохраните в совершенно безопасном месте, у вас не будет такой безопасности, как вы думаете. Например, если вы создаете их на основе введенного пользователем пароля, то у вас не больше безопасности, чем то, что содержится в пароле.
[1]: я чувствую необходимость указать, что эта модель атаки кажется чрезвычайно надуманной; мы буквально не знаем, как сделать реализацию, которая позволила бы такую атаку.