В 2009 году DJ Bernstein написал одну из первых статей на эту тему. доступна здесь:
В аннотации указано:
Текущие предложения по аппаратному обеспечению факторизации специального назначения
станет устаревшим, если будут построены большие квантовые компьютеры: решето числового поля масштабируется гораздо хуже, чем квантовый алгоритм Шора для
факторизация. Станет ли все специализированное криптоаналитическое оборудование
устарели в постквантовом мире?
Квантовый алгоритм Брассарда, Хойера и Тэппа часто
заявлено о снижении стоимости $b$-битовые хеш-коллизии от $2^{b/2}$
к $2^{b/3}.$
В этой статье анализируется алгоритм Брассарда — Хейера — Таппа и показывается, что
у него принципиально худшее соотношение цена-качество, чем у классического
схемы хеш-коллизии ван Оршота-Винера, даже при оптимистичных предположениях относительно скорости квантовых компьютеров.
Совсем недавно Хосоямада и Сасаки сообщили о частичном прогрессе в CRYPTO 2021 в версиях SHA-256 и SHA-512 с уменьшенным числом раундов, см. здесь; также может быть общедоступная версия на сервере препринтов iacr.org. Редактировать: Слайды и разговор доступны здесь
В аннотации указано:
В этой статье мы впервые изучаем специализированные атаки квантовых столкновений на SHA-256 и SHA-512. Атаки достигают 38 и 39 шагов соответственно, что значительно улучшает классические атаки на 31 и 27 шагов. Обе атаки используют структуру предыдущей работы, которая преобразует множество столкновений с полусвободным запуском в столкновение с двумя блоками и быстрее, чем обычная атака, в метрике стоимости компромисса между временем и пространством. Мы наблюдаем, что количество требуемых полусвободных столкновений может быть уменьшено в квантовой настройке, что позволяет нам преобразовать предыдущие классические 38- и 39-ступенчатые полусвободные столкновения в столкновение. Идея наших атак проста и применима и к другим криптографическим хеш-функциям.