Postkvantová kryptografie

Postkvantová kryptografie (anglicky Post-Quantum Cryptography, zkráceně PQC), někdy také označovaná anglickým termínem Quantum-Safe (v doslovném překladu „kvantově bezpečná“), je oblast kryptografie zaměřující se na kryptografické algoritmy, které jsou odolné vůči útokům využívajícím kvantové počítače.

Přesněji, termín postkvantová kryptografie se používá v kontextu asymetrické kryptografie (neboli kryptografie s veřejným klíčem), jelikož bezpečnost všech prakticky používaných asymetrických algoritmů – jako RSA, (EC)DH a (EC)DSA – závisí na těžkosti faktorizace a diskrétního logaritmu. V kontextu postkvantové kryptografie je pro tyto kryptografické algoritmy používán termín „klasické (kryptografické) algoritmy“. Důvodem je, že útoky využívající kvantové počítače jsou právě efektivní vůči těmto klasickým algoritmům viz Motivace.

Motivace

Hlavní motivací pro vývoj postkvantových algoritmů je tzv. Shorův algoritmus vynalezen v roce 1994 Peterem Shorem. Shorův algoritmus je kvantový^{[pozn. 1]} polynomiální algoritmus na řešení problémů faktorizace a diskrétního logaritmu. Oba tyto problémy jsou „těžké“ pro klasické počítače.

Nejefektivnější klasický algoritmus pro řešení problému faktorizace je General Number Field Sieve (GNFS), který má subexponenciální složitost.^{[pozn. 2]}
Nejefektivnější klasické algoritmy pro řešení problému diskrétního logaritmu nad konečným tělesem^{[pozn. 3]} jsou Function Field Sieve (FFS) a modifikace General Number Field Sieve (GNFS). Oba tyto algoritmy mají subexponenciální složitost a vycházejí z algoritmu Index Calculus.
Nejefektivnější klasické algoritmy pro řešení problému diskrétního logaritmu nad eliptickými křivkami je Pollardův rho algoritmus, což je generický^{[pozn. 4]} algoritmus, který má exponenciální složitost.

Z toho plyne, že Shorův algoritmus je exponenciálně rychlejší než klasické algoritmy. Jeho polynomiální složitost znamená, že nelze jednoduše navýšit parametry klasických kryptografických algoritmů s veřejným klíčem, což bylo dosavadní řešení následků objevu subexponenciálních algoritmů a obecně zvyšujícího výpočetního výkonu klasických algoritmů. Je tedy nutné vynalézt zcela nové kryptografické algoritmy s veřejným klíčem, jejichž bezpečnost nesouvisí s faktorizací nebo diskrétním logaritmem.

Vývoj kvantových počítačů

Důležitou otázkou je kdy a zdali vůbec bude existovat „dost výkonný“ kvantový počítač, který bude schopen spustit Shorův algoritmus se vstupem odpovídajícím standardním kryptografickým parametrům – například faktorizace 3072-bitového modulu aktuálně používaného v RSA.^[1]^[2]

Kvantové počítače již existují, ale jejich výpočetní výkon je aktuálně daleko od výkonu, který je nutný na faktorizaci velkých čísel. Pro rozlišení aktuálních (málo výkonných) kvantových počítačů od „výkonných“ kvantových počítači se používá termín kryptograficky relevantní kvantový počítač (anglicky Cryptographically Relevant Quantum Computer, zkráceně CRQC).^[3]^[4] Tento termín není rigorózně definován, ale předpokládá se, že takový kvantový počítač musí disponovat 1000+ logickými qubity.^[5]^[6]

Nutno podotknout, že je rozdíl mezi tzv. logickým qubitem a fyzickým qubitem. Logický qubit je idealizovaný matematický model qubitu, který se používá při návrhu kvantových algoritmů apod. Naopak fyzický qubit je reálný fyzický objekt, který se používá pro konstrukci logického qubitu. Logické qubity jsou konstruovány pomocí logických qubitů pomocí tzv. kvantových samoopravných kódů. V praxi je potřeba 10-1000^[7] fyzických qubitů pro konstrukci jednoho logického qubitu.^[8] Aktuálně se předpokládá, že na faktorizaci 2048-bitového RSA modulu je potřeba okolo 1 milionu fyzických qubitů^[9] – je velice pravděpodobné, že toto číslo se v budoucnu změní.

Nikdo neví kdy, a jestli vůbec, tyto výkonné kvantové počítače budou vyvinuty. Německá bezpečnostní agentura BSI ve studii z roku 2025 předpokládá, že by mohly být vyvinuty do 16 let.^[10] Organizace Global Risk Institute každý rok oslovuje významné osobnosti v oboru vývoje kvantových počítačů a zveřejňuje jejich predikce. Například více než 60 % respondentů si myslí, že je aspoň 50% pravděpodobnost, že budou vyvinuty do 15 let.^[11]

Můžeme také extrapolovat postoje různých organizací dle jejich migračních plánů. USA plánuje do roku 2033 zmigrovat svou kritickou infrastrukturu na postkvantovou kryptografii.^[12] Velká Británie a Evropská unie plánují tyto migraci provést do roku 2035.^[13]

Ulož teď, dešifruj poté

Jedním z hlavních důvodů proč se přechází na postkvantovou kryptografii před existencí kryptograficky relevantních kvantových počítačů, je fakt, že útočník již může provést tzv. „Ulož teď, dešifruj poté“ (anglicky Harvest now, decrypt later) útokovou strategii. Jde o to, že útočník aktuálně může začít nahrávat a ukládat šifrovanou komunikaci a vyčkat do budoucna, až bude mít přístup ke kryptograficky relevantnímu kvantovému počítači a následně dešifrovat nahranou komunikaci. Nutno podotknout, že tento útok se netýká digitálních podpisů, ale týká se asymetrických šifer a algoritmů na výměnu klíče jako RSA a Diffie-Hellman (DH) (i DH nad eliptickými křivkami).

Dále je nutno podotknout, že protokoly s vlastností dopředné bezpečnosti (anglicky forward secrecy) nejsou chráněny proti tomuto útoku. Dopředná bezpečnost pouze zaručuje, že v případě prozrazení dlouhodobého klíče, útočník není schopen dešifrovat předchozí komunikaci. Kvantový útočník ale může prolomit tzv. jednorázové (ephemerální) klíče, které jsou součástí nahrané komunikace.

Historie a standardizace

První snahy o (vědomý)^[14] vývoj postkvantových algoritmů se dají vysledovat do roku 2006, kdy se odehrála první PQCrypto konference zaměřující se na vývoj postkvantových algoritmů. V následující letech proběhly další ročníky PQCrypto konference a v roce 2009 vyšla kniha s názvem Post-Quantum Cryptography, která shrnuje poznatky o postkvantové kryptografii do roku 2009.^[15]

V roce 2016 Národní institut standardů a technologie (NIST) odstartoval proces, jehož cílem bylo vyvinout a standardizovat postkvantové algoritmy.^[16]^[17] Tento standardizační proces byl otevřený neboli každý mohl předložit svou konstrukci postkvantového algoritmu – NIST se specificky zajímal o digitální podpisová schémata, asymetrické šifry a tzv. mechanismy zapouzdření klíče (anglicky Key Encapsulation Mechanism, zkráceně KEM).^[18] Standardizační proces měl celkem 4 kola. Na začátku bylo celkem 69 postkvantových algoritmů.^[19] Během následujících kol byla většina algoritmů prolomena. Některé algoritmy sice nebyly prolomeny, ale byly vyřazeny z jiných důvodů jako například, že byly méně efektivní než jejich alternativy.^[19]^[20]^[21]^[22]

V roce 2022 skončilo 3. kolo a byly prioritně vybrány 4 algoritmy na standardizaci:

ML-KEM^[23] (Module-Lattice Key Encapsulation Mechanism, původní název CRYSTALS-Kyber) je KEM založený na strukturovaných mřížích,
ML-DSA^[24] (Module-Lattice Digital Signature Algorithm, původní název CRYSTALS-Dilithium) je podpisové schéma založené na strukturovaných mřížích,
FN-DSA^[25] (FFT-over-NTRU-Lattice-Based Digital Signature Algorithm, původní název Falcon) je podpisové schéma založené na strukturovaných mřížích.
SLH-DSA^[26] (Stateless Hash-Based Digital Signature Algorithm, původní název SPHINCS+) je podpisové schéma založené na hašovacích funkcích.

Proces dodatečně pokračoval do 4. kola s cílem vybral alternativní KEM k algoritmu ML-KEM. Čtvrté kolo skončilo na jaře 2025 a byl dodatečně vybrán algoritmus HQC^[27] založený na samoopravných kódech.^[22]

V roce 2024 NIST vydal finální standardy pro ML-KEM (FIPS 203),^[23] ML-DSA (FIPS 204)^[24] a pro SLH-DSA (FIPS 205).^[26] Pro FN-DSA a HQC aktuálně neexistuje finální standard.

V roce 2022 NIST také spustil nový nezávislý proces na dodatečnou standardizaci postkvantových podpisových schémat.^[28] Důvodem pro tento dodatečný proces je to, že podpisová schémata vybraná během původního procesu nejsou dostatečně diverzifikované z pohledu bezpečnostních předpokladů. Bezpečnost obou schéma ML-DSA a FN-DSA závisí na těžkosti problémů souvisejících se strukturovanými mřížemi. Bezpečnost schématu SLH-DSA sice závisí na jiném těžkém problému (odolnost hašovací funkce vůči získání jiné předlohy, anglicky second pre-image resistance), ale toto schéma nemá univerzální výkonnostní profil – malé veřejné klíče (32-64 bytů), ale veliké podpisy (7856-49856 bytů). V roce 2024 začalo druhé kolo této dodatečné standardizace, do kterého postoupilo celkem 14 podpisových schémat.^[29]

Postkvantové algoritmy

Postkvantové algoritmy se dají rozdělit do kategorií podle oblasti matematiky, ze které pochází těžký problém, na kterém bezpečnost daného schématu závisí. Hlavní kategorie postkvantových algoritmů jsou mřížové, kódové, multivarietní, hašovací a izogenní.

Algoritmy ze stejné kategorie mají typicky podobný výkonnostní profil. Například mřížové algoritmy jsou obvykle rychlé, ale jejich veřejné klíče jsou velké (nižší tisíce bytů), naopak například izogenní algoritmy jsou obvykle pomalé, ale jejich veřejné klíče jsou malé (desítky nebo nižší stovky bytů).

Algoritmy založené na mřížích

Základní těžký problém pro postkvantovou kryptografii založenou na mřížích je hledání nejkratšího vektoru v mříži (anglicky Shortest Vector Problem, zkráceně SVP). Existují různé další varianty tohoto problému jako hledání nejbližšího vektoru v mříži (anglicky Closest Vector Problem, zkráceně CVP) nebo uvolněné varianty těchto problému, kde nejde o to najít ten nejkratší/nejbližší vektor, ale nějaký který je mu "dost blízko"; tyto problémy poté mají předponu "Gap" (GapSVP, GapCVP, etc.).

Learning With Errors (LWE)

Dalším významným problémem souvisejícím s mřížemi je tzv. učení s chybami (anglicky Learning With Errors, zkráceně LWE)^[30]. Tento problém je významný pro kryptografické konstrukce, jelikož existuje důkaz, že průměrné instance tohoto problému jsou aspoň tak těžké jako ty nejtěžší instance GapSVP. Tento fakt je důležitý pro kryptografické konstrukce, jelikož umožňuje jednoduše generovat instance tohoto problému, které jsou prokazatelně těžké. V klasické kryptografii je tato vlastnost také důležitá. Například v případě problému faktorizace (RSA) je vysoce pravděpodobné, že součin dvou velkých náhodných prvočísel je faktorizovat, ale existují instance, kde je to lehké – například když daná prvočísla jsou příliš blízko u sebe.^[31]

LWE problém je definován následovně. Nechť $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ je vektor a ${\mathcal {X}}$ pravděpodobnostní distribuce nad $\mathbb {Z} _{q}^{n}$ , pak tzv. LWE distribuce $A_{s,{\mathcal {X}}}$ je pravděpodobnostní distribuce nad množinou $\mathbb {Z} _{q}^{n}\times \mathbb {Z} _{q}$ definována tak, že rovnoměrně náhodně zvolíme vektor $\mathbf {a} \in \mathbb {Z} _{q}^{n}$ a zvolíme skalár $e\leftarrow {\mathcal {X}}$ a výstupem je pár $(\mathbf {a} ,b=\langle \mathbf {a} ,\mathbf {s} \rangle +e)$ , kde $\langle \cdot ,\cdot \rangle$ značí skalární součin nad $\mathbb {Z} _{q}^{n}$ a součet je v $\mathbb {Z} _{q}^{n}$ .

Hledací varianta LWE problému (Search-LWE) je následující: Je dáno $m\in \mathbb {N}$ nezávislých vzorků z distribuce $A_{s,{\mathcal {X}}}$ a úkolem je najít $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ .

Rozhodovací varianta LWE problému (Decision-LWE) je následující: Je dáno $m\in \mathbb {N}$ nezávislých vzorků z distribuce $A_{s,{\mathcal {X}}}$ , nebo $m\in \mathbb {N}$ nezávislých vzorků z rovnoměrné distribuce nad $\mathbb {Z} _{q}^{n}\times \mathbb {Z} _{q}$ . Úkolem je rozhodnout z jaké distribuce (LWE distribuce, nebo rovnoměrné) vzorky jsou.

Module Learning With Errors (MLWE)

Module Learning With Errors (MLWE) je zobecnění LWE problému. Je definován obdobně jako klasický LWE, akorát že místo $\mathbb {Z} _{q}$ se používá okruh $\mathbb {Z} _{q}[x]/(f(x))$ , kde $f(x)\in \mathbb {Z} _{q}[x]$ je monický polynom stupně $d$ , a místo skalárního součinu se používá součin v okruhu (násobení polynomů). Tato modifikace také znamená, že MLWE se neredukuje na SVP problém nad celočíselnými mřížemi, ale na SVP nad modulovými mřížemi.

Dalším blízkým problémem k LWE and MLWE je tzv. RLWE (Ring-LWE). Ten je definován obdobně jako MLWE, akorát že $n=1$ (rank modulu). MLWE je totiž vlastně zobecnění LWE and RLWE.

LWE z MLWE: $d=1,n>1$ , neboli předpokládáme polynomy stupně 1, což jsou skaláry. Vzorek z LWE distribuce je pár $(\mathbf {a} ,b)$ , kde $\mathbf {a} \in \mathbb {Z} _{q}^{n}$ (vektor délky $n$ , s hodnotami v $\mathbb {Z} _{q}^{n}$ ,) a $b$ je skalár z $\mathbb {Z} _{q}$ .
RLWE z MLWE: $d>1,n=1$ , neboli předpokládáme jeden polynom stupně $d>1$ . Vzorek z MLWE distribuce je pár $(\mathbf {a} ,b)$ , kde $\mathbf {a} \in (\mathbb {Z} _{q}[x]/(f(x)))^{n}$ (vektor polynomů stupně $d$ s koeficienty z $\mathbb {Z} _{q}$ délky $n$ ) a $b$ je polynom stupně $d$ s koeficienty z $\mathbb {Z} _{q}$ .

Pozorujme, že související problémy mají následující vztahy:

RLWE ≤ LWE, neboli pokud umím vyřešit LWE, tak umím vyřešit RLWE. Rovnice $a(x)\cdot s(x)+e(x)=b(x)\in \mathbb {Z} _{q}[x]/(f(x))$ se dá rozložit na $d$ LWE rovnic tvaru $\langle a,s\rangle +e=b\in \mathbb {Z} _{q}$ . Celkem tedy na vyřešení RLWE s $m$ vzorky, potřebujeme umět řešit LWE s $m\cdot d$ vzorky. Nutnou podotknout, že LWE s $m\cdot d$ vzorky je lehčí než LWE s "jen" $m$ vzorky – struktura RLWE nám tedy dává "vzorky navíc".
RLWE ≤ MLWE, neboli pokud umím vyřešit MLWE, tak umím vyřešit RLWE. Toto plyne z toho, že MLWE je generalizace RLWE.

Kryptosystémy

Na bázi mřížových problémů bylo vytvořeno mnoho kryptosystémů. Do této skupiny právě patří tři algoritmy vybrané pro standardizaci americkým NISTem: ML-KEM,^[23] ML-DSA^[24] a FN-DSA.^[25] "ML" v jejich názvu značí "Module Lattice" neboli "modulovou mříž". Modulové mříže korespondují s právě s problémem MLWE. FN-DSA není založený na LWE, ale na jiném mřížovém problému zvaném NTRU.^[32]

Algoritmy založené na samoopravných kódech

Z teorie samoopravných kódů pocházejí těžké problémy, které jsou i těžké pro kvantové počítače. Jedním takovým problémem je tzv. problém dekódování syndromu (anglicky Syndrome Decoding problem, zkráceně SDP).

SDP je definován následovně. Nechť $n,k,t\in \mathbb {N}$ , $H\in \mathbb {F} _{2}^{n-k\times n}$ je kontrolní matice (binárního) kódu (kód je délky $n$ and dimenze $k$ ) a $c\in \mathbb {F} _{2}^{n-k}$ ( $c$ se nazývá syndrom), najdi takové $e\in \mathbb {F} _{2}^{n}$ , že jeho Hammingova váha je maximálně $t$ , neboli ( $wt(e)\leq t$ ), a $He=c$ .

Sice je SDP je NP-těžký problém,^[33] ale to nám neříká nic o tom jak je těžká náhodná instance tohoto problému. Na rozdíl od LWE, pro SDP není znám důkaz redukující průměrnou instanci tohoto problému na nejtěžší instanci.

Classic McEliece^[34] je kryptosystém, který používá tzv. Goppa kód, u kterého se předpokládá, že pro náhodný Goppa kód je SDP těžký problém. Nutno podotknout, že Classic McEliece vychází z kryptosystémů McEliece^[35] a Niederreiter^[36] – Classic McEliece je v podstatě vylepšený Niederreiter s Goppa kódem, co byl použitý právě v původním McEliece kryposystému.

HQC^[37] a BIKE^[38] jsou další kryptosystémy založené na samoopravných kódech.

HQC byl vybrán pro standardizaci NISTem jako alternativní KEM k mřížovému ML-KEM.^[22] Classic McEliece sice nebyl vybrán NISTem, ale byl vybrán pro standardizaci organizací ISO.^[39]

Algoritmy založené na hašovacích funkcích

Existují také postkvantové algoritmy, jejichž bezpečnost pouze závisí na bezpečnosti hašovací funkce. Jedním takovým příkladem je SLH-DSA,^[26] což je digitální podpis standardizovaný NISTem.

Algoritmy založené na rovnicích o více proměnných

Těžkým problémem pro kvantové počítače je také řešení soustavy kvadratických rovnic o více proměnných nad konečným tělesem. Kandidáti na standardizaci z této kategorie se v původním NIST standardizaci nedostali do třetího kola. Například podpisové schéma Rainbow bylo favorit na standardizaci, ale bylo následně prolomeno^[40].

Aktuálně jsou v procesu dodatečné standardizace NISTem 4 podpisová schémata z této kategorie: MAYO,^[41] QR-UOV,^[42] SNOVA^[43] a UOV.^[44]^[29]

Algoritmy založené na izogeniích mezi eliptickými křivkami

Další kategorie těžkých problémů pro kvantové počítače pochází z teorie eliptických křivek. Izogenie (anglicky isogeny) je zobrazení mezi eliptickými křivkami. Těžkým problémem je nalézt toto zobrazení (splňující různé požadavky) mezi dvěma eliptickými křivkami.

Nutno podotknout, že některé klasické kryptosystémy jsou také spojené s teorií eliptických křivek, ale jde o fundamentálně jiný problém – jedná se o diskrétní logaritmus nad grupou bodů eliptické křivky. Tento problém se dá řešit Shorovým algoritmem, na rozdíl od problémů související s izogeniemi.

Nejznámější kryptosystém z této kategorie je (byl) SIKE.^[45] Tento kryptosystém byl prolomen (klasicky) v roce 2022.^[46] SIKE byl založen na trochu modifikovaném problému hledání izogenie, který byl právě ukázán, že není těžký. Původní problém ale stále zůstává těžký.

Alternativou k SIKE je kryptosystém CSIDH.^[47] U CSIDH se ukázalo, že navržené parametry nedosahují dostatečné bezpečnosti.^[48] V případě více bezpečných parametrů ale CSIDH není moc kompetitivní.^[49]

V roce 2025 byla navržena alternativa k CSIDH/SIKE jménem PEGASIS^[50].

Existuje také podpisové schéma SQISign,^[51] které je aktuálně v procesu dodatečné standardizace NISTem.

Přechod na postkvantovou kryptografii

Přechod (migrace) na postkvantovou kryptografii aktuálně probíhá. Zde je seznam technologií, které aktuálně používají postkvantovou kryptografii:

Prohlížeče Google Chrome^[52] a Firefox^[53] podporují postkvantovou výměnu klíče v protokolu TLS (specificky hybrid složený z klasického ECDSA a postkvantového ML-KEM). Postkvantová výměna klíče je také od verze 3.5 podporována TLS knihovnou OpenSSL.^[54] Aktuálně 50 % internetové provozu je postkvantově zabezpečeno.^[55]
Komunikační aplikace Signal^[56] nebo iMessage^[57] používají postkvantovou výměnu klíče.
VPN software Mullvad podporuje postkvantovou výměnu klíče.^[58]
Postkvantová kryptografie je součástí knihoven kryptografických Botan,^[59] BouncyCastle^[60] a OpenSSL.^[61]

Poznámky

↑ Kvantový algoritmus je algoritmus, který musí být spuštěn na kvantovém počítači.
↑ Nutno podoknout, že subexponenciální složitost není rigorózně dokázána, ale experimenty tuto hypotézu potvrzují.
↑ Přesněji, je to problém diskrétního logaritmu nad multiplikativní grupou konečného tělesa.
↑ Generický algoritmus v tomto kontextu znamená, že lze funguje pro každou grupu. Opakem je právě například Index Calculus, který využívá dodatečné struktury multiplikativní grupy konečného tělesa.

Reference

↑ BARKER, Elaine; CHEN, Lily; ROGINSKY, Allen. Recommendation for Pair-Wise Key-Establishment Using Integer Factorization Cryptography. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.SP.800-56Br2.
↑ BSI TR-02102-1 "Cryptographic Mechanisms: Recommendations and Key Lengths" Version: 2025-1. Federal Office for Information Security [online]. [cit. 2025-07-27]. Dostupné v archivu pořízeném z originálu dne 2025-07-09. (anglicky)
↑ Wayback Machine. media.defense.gov [online]. [cit. 2025-07-27]. Dostupné v archivu pořízeném z originálu dne 2025-04-09. (anglicky)
↑ D, Flo; P, Michael; HALE, Britta. Terminology for Post-Quantum Traditional Hybrid Schemes. [s.l.]: [s.n.] Dostupné online. (anglicky)
↑ GIDNEY, Craig; EKERÅ, Martin. How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits. Quantum. 2021-04-15, roč. 5, s. 433. Dostupné online [cit. 2025-07-27]. ISSN 2521-327X. doi:10.22331/q-2021-04-15-433. (anglicky)
↑ CHEVIGNARD, Clémence; FOUQUE, Pierre-Alain; SCHROTTENLOHER, André. Reducing the Number of Qubits in Quantum Factoring. Cryptology ePrint Archive [online]. IACR, 2024-06-07 [cit. 2025-07-27]. Dostupné online. (anglicky)
↑ Toto rozpětí je velké, jelikož záleží i na dalších vlastnostech zkontruovaných qubitů jako jejich chybovost apod.
↑ JAQUES, Samuel. Quantum Landscape. sam-jaques.appspot.com [online]. [cit. 2025-07-27]. Dostupné online. (anglicky)
↑ GIDNEY, Craig. How to factor 2048 bit RSA integers with less than a million noisy qubits. arxiv.org [online]. arXiv, 2025-05-21 [cit. 2025-07-27]. Dostupné online. (anglicky)
↑ Wayback Machine. www.bsi.bund.de [online]. [cit. 2025-10-11]. Dostupné v archivu pořízeném z originálu dne 2025-07-01.
↑ Quantum Threat Timeline Report 2024 [online]. [cit. 2025-10-11]. Dostupné online. (anglicky)
↑ Wayback Machine. media.defense.gov [online]. [cit. 2025-10-11]. Dostupné v archivu pořízeném z originálu dne 2025-08-27.
↑ A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography | Shaping Europe’s digital future. digital-strategy.ec.europa.eu [online]. [cit. 2025-10-11]. Dostupné online. (anglicky)
↑ Algoritmy jako McEliece (1978) nebo NTRU (1998) jsou technicky postkvantové, ale nebyly vědomě vyvinuty jako odolné Shorovu algoritmu.
↑ Post-Quantum Cryptography. SpringerLink. 2009. Dostupné online [cit. 2025-07-27]. doi:10.1007/978-3-540-88702-7. (anglicky)
↑ COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)
↑ COMPUTER SECURITY DIVISION, Information Technology Laboratory. Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)
↑ COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)
1 2 ALAGIC, Gorjan; ALPERIN-SHERIFF, Jacob; APON, Daniel. Status Report on the First Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8240.
↑ ALAGIC, Gorjan; ALPERIN-SHERIFF, Jacob; APON, Daniel. Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8309.
↑ ALAGIC, Gorjan; APON, Daniel; COOPER, David. Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8413-upd1.
1 2 3 ALAGIC, Gorjan; BROS, Maxime; CIADOUX, Pierre. Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8545.
1 2 3 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Module-Lattice-Based Key-Encapsulation Mechanism Standard. csrc.nist.gov. 2024-08-13. Dostupné v archivu pořízeném z originálu dne 2025-07-13. (anglicky)
1 2 3 TECHNOLOGY, National Institute of Standards and. Module-Lattice-Based Digital Signature Standard. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.FIPS.204.
1 2 Falcon. falcon-sign.info [online]. [cit. 2025-07-27]. Dostupné online.
1 2 3 TECHNOLOGY, National Institute of Standards and. Stateless Hash-Based Digital Signature Standard. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.FIPS.205.
↑ HQC. pqc-hqc.org [online]. [cit. 2025-07-27]. Dostupné online.
↑ COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography: Additional Digital Signature Schemes | CSRC | CSRC. CSRC | NIST [online]. 2022-08-29 [cit. 2025-07-27]. Dostupné online. (anglicky)
1 2 NIST. Status Report on the First Round of the Additional Digital Signature Schemes for the NIST Post-Quantum Cryptography Standardization Process. doi.org [online]. NIST, 2024-10-24 [cit. 2025-10-24]. Dostupné online.
↑ REGEV, Oded. On lattices, learning with errors, random linear codes, and cryptography. J. ACM. 2009-09-08, roč. 56, čís. 6, s. 34:1–34:40. Dostupné online [cit. 2025-09-15]. ISSN 0004-5411. doi:10.1145/1568318.1568324.
↑ BÖCK, Hanno. Fermat Factorization in the Wild. Cryptology ePrint Archive [online]. IACR, 2023-01-09 [cit. 2025-09-14]. Dostupné online.
↑ HOFFSTEIN, Jeffrey; PIPHER, Jill; SILVERMAN, Joseph H. NTRU: A ring-based public key cryptosystem. Příprava vydání Joe P. Buhler. Svazek 1423. Berlin, Heidelberg: Springer Berlin Heidelberg Dostupné online. ISBN 978-3-540-64657-0, ISBN 978-3-540-69113-6. doi:10.1007/bfb0054868. S. 267–288. DOI: 10.1007/BFb0054868.
↑ BERLEKAMP, E.; MCELIECE, R.; VAN TILBORG, H. On the inherent intractability of certain coding problems (Corresp.). IEEE Transactions on Information Theory. 1978-05, roč. 24, čís. 3, s. 384–386. Dostupné online [cit. 2025-11-09]. ISSN 0018-9448. doi:10.1109/TIT.1978.1055873.
↑ KOLEKTIV AUTORŮ. Classic McEliece: conservative code-based cryptography: cryptosystem specification [online]. 2022-10-23 [cit. 2025-10-23]. Dostupné online.
↑ MCELIECE, R. J. A Public-Key Cryptosystem Based On Algebraic Coding Theory. DSN Progress Report 42-44 [online]. 1978-01-01 [cit. 2025-10-25]. Dostupné online.
↑ NIEDERREITER, Harald. Knapsack-type cryptosystems and algebraic coding theory. Problems of Control and Information Theory. 1986-01-01, čís. 15, s. 159–166. Dostupné online.
↑ KOLEKTIV AUTORŮ. Hamming Quasi-Cyclic (HQC). pqc-hqc.org [online]. 2025-08-25 [cit. 2025-10-20]. Dostupné online.
↑ KOLEKTIV AUTORŮ. BIKE: Bit Flipping Key Encapsulation. bikesuite.org [online]. 2024-10-10 [cit. 2025-10-10]. Dostupné online.
↑ Classic McEliece ISO standardization [online]. [cit. 2025-10-10]. Dostupné online.
↑ BEULLENS, Ward. Breaking Rainbow Takes a Weekend on a Laptop. Příprava vydání Yevgeniy Dodis, Thomas Shrimpton. Svazek 13508. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-031-15978-7, ISBN 978-3-031-15979-4. doi:10.1007/978-3-031-15979-4_16. S. 464–479. (anglicky) DOI: 10.1007/978-3-031-15979-4_16.
↑ TEAM, MAYO. MAYO. pqmayo.org [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ Kolektiv autorů. QR-UOV [online]. [cit. 2025-10-25]. Dostupné online.
↑ SNOVA | Digital signature algorithm introduction. SNOVA [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ UOV. www.uovsig.org [online]. [cit. 2025-11-09]. Dostupné online.
↑ SIKE – Supersingular Isogeny Key Encapsulation. SIKE – Supersingular Isogeny Key Encapsulation [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ CASTRYCK, Wouter; DECRU, Thomas. An Efficient Key Recovery Attack on SIDH. Příprava vydání Carmit Hazay, Martijn Stam. Svazek 14008. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-031-30588-7, ISBN 978-3-031-30589-4. doi:10.1007/978-3-031-30589-4_15. S. 423–447. (anglicky) DOI: 10.1007/978-3-031-30589-4_15.
↑ CASTRYCK, Wouter; LANGE, Tanja; MARTINDALE, Chloe. CSIDH: An Efficient Post-Quantum Commutative Group Action. Příprava vydání Thomas Peyrin, Steven Galbraith. Svazek 11274. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-03331-6, ISBN 978-3-030-03332-3. doi:10.1007/978-3-030-03332-3_15. S. 395–427. (anglicky) DOI: 10.1007/978-3-030-03332-3_15.
↑ PEIKERT, Chris. He Gives C-Sieves on the CSIDH. Příprava vydání Anne Canteaut, Yuval Ishai. Svazek 12106. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-45723-5, ISBN 978-3-030-45724-2. doi:10.1007/978-3-030-45724-2_16. S. 463–492. (anglicky) DOI: 10.1007/978-3-030-45724-2_16.
↑ CAMPOS, Fabio; CHÁVEZ-SAAB, Jorge; CHI-DOMÍNGUEZ, Jesús-Javier. Optimizations and Practicality of High-Security CSIDH. IACR Communications in Cryptology. 2024-04-09. Dostupné online [cit. 2025-11-09]. ISSN 3006-5496. doi:10.62056/anjbksdja. (anglicky)
↑ DARTOIS, Pierrick; ERIKSEN, Jonathan Komada; FOUOTSA, Tako Boris. PEGASIS: Practical Effective Class Group Action using 4-Dimensional Isogenies. Příprava vydání Yael Tauman Kalai, Seny F. Kamara. Svazek 16000. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-032-01854-0, ISBN 978-3-032-01855-7. doi:10.1007/978-3-032-01855-7_3. S. 67–99. (anglicky) DOI: 10.1007/978-3-032-01855-7_3.
↑ DE FEO, Luca; KOHEL, David; LEROUX, Antonin. SQISign: Compact Post-quantum Signatures from Quaternions and Isogenies. Příprava vydání Shiho Moriai, Huaxiong Wang. Svazek 12491. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-64836-7, ISBN 978-3-030-64837-4. doi:10.1007/978-3-030-64837-4_3. S. 64–93. (anglicky) DOI: 10.1007/978-3-030-64837-4_3.
↑ GOOGLE. Advancing Our Amazing Bet on Asymmetric Cryptography [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ Firefox 132.0, See All New Features, Updates and Fixes. Firefox [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ OPENSSL. Release OpenSSL 3.5.0 · openssl/openssl. GitHub [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ Cloudflare. Adoption & Usage [online]. [cit. 2025-11-09]. Dostupné online.
↑ Signal Protocol and Post-Quantum Ratchets. Signal Messenger [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ Apple. iMessage with PQ3: The new state of the art in quantum-secure messaging at scale [online]. [cit. 2025-10-10]. Dostupné online.
↑ Stable Quantum-resistant tunnels in the app!. Mullvad VPN [online]. 2023-04-06 [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ Botan — Botan. botan.randombit.net [online]. [cit. 2025-11-09]. Dostupné online.
↑ Bouncy Castle open-source cryptographic APIs. Bouncycastle [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)
↑ OpenSSL. openssl.org [online]. [cit. 2025-11-09]. Dostupné online.

Související články

Externí odkazy

Post-Quantum Cryptography Neural Network

[1] Kvantový algoritmus je algoritmus, který musí být spuštěn na kvantovém počítači.

[2] Nutno podoknout, že subexponenciální složitost není rigorózně dokázána, ale experimenty tuto hypotézu potvrzují.

[3] Přesněji, je to problém diskrétního logaritmu nad multiplikativní grupou konečného tělesa.

[4] Generický algoritmus v tomto kontextu znamená, že lze funguje pro každou grupu. Opakem je právě například Index Calculus, který využívá dodatečné struktury multiplikativní grupy konečného tělesa.

[5] BARKER, Elaine; CHEN, Lily; ROGINSKY, Allen. Recommendation for Pair-Wise Key-Establishment Using Integer Factorization Cryptography. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.SP.800-56Br2.

[6] BSI TR-02102-1 "Cryptographic Mechanisms: Recommendations and Key Lengths" Version: 2025-1. Federal Office for Information Security [online]. [cit. 2025-07-27]. Dostupné v archivu pořízeném z originálu dne 2025-07-09. (anglicky)

[7] Wayback Machine. media.defense.gov [online]. [cit. 2025-07-27]. Dostupné v archivu pořízeném z originálu dne 2025-04-09. (anglicky)

[8] D, Flo; P, Michael; HALE, Britta. Terminology for Post-Quantum Traditional Hybrid Schemes. [s.l.]: [s.n.] Dostupné online. (anglicky)

[9] GIDNEY, Craig; EKERÅ, Martin. How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits. Quantum. 2021-04-15, roč. 5, s. 433. Dostupné online [cit. 2025-07-27]. ISSN 2521-327X. doi:10.22331/q-2021-04-15-433. (anglicky)

[10] CHEVIGNARD, Clémence; FOUQUE, Pierre-Alain; SCHROTTENLOHER, André. Reducing the Number of Qubits in Quantum Factoring. Cryptology ePrint Archive [online]. IACR, 2024-06-07 [cit. 2025-07-27]. Dostupné online. (anglicky)

[11] Toto rozpětí je velké, jelikož záleží i na dalších vlastnostech zkontruovaných qubitů jako jejich chybovost apod.

[12] JAQUES, Samuel. Quantum Landscape. sam-jaques.appspot.com [online]. [cit. 2025-07-27]. Dostupné online. (anglicky)

[13] GIDNEY, Craig. How to factor 2048 bit RSA integers with less than a million noisy qubits. arxiv.org [online]. arXiv, 2025-05-21 [cit. 2025-07-27]. Dostupné online. (anglicky)

[14] Wayback Machine. www.bsi.bund.de [online]. [cit. 2025-10-11]. Dostupné v archivu pořízeném z originálu dne 2025-07-01.

[15] Quantum Threat Timeline Report 2024 [online]. [cit. 2025-10-11]. Dostupné online. (anglicky)

[16] Wayback Machine. media.defense.gov [online]. [cit. 2025-10-11]. Dostupné v archivu pořízeném z originálu dne 2025-08-27.

[17] A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography | Shaping Europe’s digital future. digital-strategy.ec.europa.eu [online]. [cit. 2025-10-11]. Dostupné online. (anglicky)

[18] Algoritmy jako McEliece (1978) nebo NTRU (1998) jsou technicky postkvantové, ale nebyly vědomě vyvinuty jako odolné Shorovu algoritmu.

[19] Post-Quantum Cryptography. SpringerLink. 2009. Dostupné online [cit. 2025-07-27]. doi:10.1007/978-3-540-88702-7. (anglicky)

[20] COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)

[21] COMPUTER SECURITY DIVISION, Information Technology Laboratory. Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)

[22] COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST [online]. 2017-01-03 [cit. 2025-07-27]. Dostupné online. (anglicky)

[:0-23] 1 2 ALAGIC, Gorjan; ALPERIN-SHERIFF, Jacob; APON, Daniel. Status Report on the First Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8240.

[24] ALAGIC, Gorjan; ALPERIN-SHERIFF, Jacob; APON, Daniel. Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8309.

[25] ALAGIC, Gorjan; APON, Daniel; COOPER, David. Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8413-upd1.

[:1-26] 1 2 3 ALAGIC, Gorjan; BROS, Maxime; CIADOUX, Pierre. Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.IR.8545.

[:2-27] 1 2 3 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Module-Lattice-Based Key-Encapsulation Mechanism Standard. csrc.nist.gov. 2024-08-13. Dostupné v archivu pořízeném z originálu dne 2025-07-13. (anglicky)

[:3-28] 1 2 3 TECHNOLOGY, National Institute of Standards and. Module-Lattice-Based Digital Signature Standard. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.FIPS.204.

[:5-29] 1 2 Falcon. falcon-sign.info [online]. [cit. 2025-07-27]. Dostupné online.

[:4-30] 1 2 3 TECHNOLOGY, National Institute of Standards and. Stateless Hash-Based Digital Signature Standard. [s.l.]: [s.n.] Dostupné online. (anglicky) DOI: 10.6028/NIST.FIPS.205.

[31] HQC. pqc-hqc.org [online]. [cit. 2025-07-27]. Dostupné online.

[32] COMPUTER SECURITY DIVISION, Information Technology Laboratory. Call for Proposals - Post-Quantum Cryptography: Additional Digital Signature Schemes | CSRC | CSRC. CSRC | NIST [online]. 2022-08-29 [cit. 2025-07-27]. Dostupné online. (anglicky)

[:6-33] 1 2 NIST. Status Report on the First Round of the Additional Digital Signature Schemes for the NIST Post-Quantum Cryptography Standardization Process. doi.org [online]. NIST, 2024-10-24 [cit. 2025-10-24]. Dostupné online.

[34] REGEV, Oded. On lattices, learning with errors, random linear codes, and cryptography. J. ACM. 2009-09-08, roč. 56, čís. 6, s. 34:1–34:40. Dostupné online [cit. 2025-09-15]. ISSN 0004-5411. doi:10.1145/1568318.1568324.

[35] BÖCK, Hanno. Fermat Factorization in the Wild. Cryptology ePrint Archive [online]. IACR, 2023-01-09 [cit. 2025-09-14]. Dostupné online.

[36] HOFFSTEIN, Jeffrey; PIPHER, Jill; SILVERMAN, Joseph H. NTRU: A ring-based public key cryptosystem. Příprava vydání Joe P. Buhler. Svazek 1423. Berlin, Heidelberg: Springer Berlin Heidelberg Dostupné online. ISBN 978-3-540-64657-0, ISBN 978-3-540-69113-6. doi:10.1007/bfb0054868. S. 267–288. DOI: 10.1007/BFb0054868.

[37] BERLEKAMP, E.; MCELIECE, R.; VAN TILBORG, H. On the inherent intractability of certain coding problems (Corresp.). IEEE Transactions on Information Theory. 1978-05, roč. 24, čís. 3, s. 384–386. Dostupné online [cit. 2025-11-09]. ISSN 0018-9448. doi:10.1109/TIT.1978.1055873.

[38] KOLEKTIV AUTORŮ. Classic McEliece: conservative code-based cryptography: cryptosystem specification [online]. 2022-10-23 [cit. 2025-10-23]. Dostupné online.

[39] MCELIECE, R. J. A Public-Key Cryptosystem Based On Algebraic Coding Theory. DSN Progress Report 42-44 [online]. 1978-01-01 [cit. 2025-10-25]. Dostupné online.

[40] NIEDERREITER, Harald. Knapsack-type cryptosystems and algebraic coding theory. Problems of Control and Information Theory. 1986-01-01, čís. 15, s. 159–166. Dostupné online.

[41] KOLEKTIV AUTORŮ. Hamming Quasi-Cyclic (HQC). pqc-hqc.org [online]. 2025-08-25 [cit. 2025-10-20]. Dostupné online.

[42] KOLEKTIV AUTORŮ. BIKE: Bit Flipping Key Encapsulation. bikesuite.org [online]. 2024-10-10 [cit. 2025-10-10]. Dostupné online.

[43] Classic McEliece ISO standardization [online]. [cit. 2025-10-10]. Dostupné online.

[44] BEULLENS, Ward. Breaking Rainbow Takes a Weekend on a Laptop. Příprava vydání Yevgeniy Dodis, Thomas Shrimpton. Svazek 13508. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-031-15978-7, ISBN 978-3-031-15979-4. doi:10.1007/978-3-031-15979-4_16. S. 464–479. (anglicky) DOI: 10.1007/978-3-031-15979-4_16.

[45] TEAM, MAYO. MAYO. pqmayo.org [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[46] Kolektiv autorů. QR-UOV [online]. [cit. 2025-10-25]. Dostupné online.

[47] SNOVA | Digital signature algorithm introduction. SNOVA [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[48] UOV. www.uovsig.org [online]. [cit. 2025-11-09]. Dostupné online.

[49] SIKE – Supersingular Isogeny Key Encapsulation. SIKE – Supersingular Isogeny Key Encapsulation [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[50] CASTRYCK, Wouter; DECRU, Thomas. An Efficient Key Recovery Attack on SIDH. Příprava vydání Carmit Hazay, Martijn Stam. Svazek 14008. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-031-30588-7, ISBN 978-3-031-30589-4. doi:10.1007/978-3-031-30589-4_15. S. 423–447. (anglicky) DOI: 10.1007/978-3-031-30589-4_15.

[51] CASTRYCK, Wouter; LANGE, Tanja; MARTINDALE, Chloe. CSIDH: An Efficient Post-Quantum Commutative Group Action. Příprava vydání Thomas Peyrin, Steven Galbraith. Svazek 11274. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-03331-6, ISBN 978-3-030-03332-3. doi:10.1007/978-3-030-03332-3_15. S. 395–427. (anglicky) DOI: 10.1007/978-3-030-03332-3_15.

[52] PEIKERT, Chris. He Gives C-Sieves on the CSIDH. Příprava vydání Anne Canteaut, Yuval Ishai. Svazek 12106. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-45723-5, ISBN 978-3-030-45724-2. doi:10.1007/978-3-030-45724-2_16. S. 463–492. (anglicky) DOI: 10.1007/978-3-030-45724-2_16.

[53] CAMPOS, Fabio; CHÁVEZ-SAAB, Jorge; CHI-DOMÍNGUEZ, Jesús-Javier. Optimizations and Practicality of High-Security CSIDH. IACR Communications in Cryptology. 2024-04-09. Dostupné online [cit. 2025-11-09]. ISSN 3006-5496. doi:10.62056/anjbksdja. (anglicky)

[54] DARTOIS, Pierrick; ERIKSEN, Jonathan Komada; FOUOTSA, Tako Boris. PEGASIS: Practical Effective Class Group Action using 4-Dimensional Isogenies. Příprava vydání Yael Tauman Kalai, Seny F. Kamara. Svazek 16000. Cham: Springer Nature Switzerland Dostupné online. ISBN 978-3-032-01854-0, ISBN 978-3-032-01855-7. doi:10.1007/978-3-032-01855-7_3. S. 67–99. (anglicky) DOI: 10.1007/978-3-032-01855-7_3.

[55] DE FEO, Luca; KOHEL, David; LEROUX, Antonin. SQISign: Compact Post-quantum Signatures from Quaternions and Isogenies. Příprava vydání Shiho Moriai, Huaxiong Wang. Svazek 12491. Cham: Springer International Publishing Dostupné online. ISBN 978-3-030-64836-7, ISBN 978-3-030-64837-4. doi:10.1007/978-3-030-64837-4_3. S. 64–93. (anglicky) DOI: 10.1007/978-3-030-64837-4_3.

[56] GOOGLE. Advancing Our Amazing Bet on Asymmetric Cryptography [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[57] Firefox 132.0, See All New Features, Updates and Fixes. Firefox [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[58] OPENSSL. Release OpenSSL 3.5.0 · openssl/openssl. GitHub [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[59] Cloudflare. Adoption & Usage [online]. [cit. 2025-11-09]. Dostupné online.

[60] Signal Protocol and Post-Quantum Ratchets. Signal Messenger [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[61] Apple. iMessage with PQ3: The new state of the art in quantum-secure messaging at scale [online]. [cit. 2025-10-10]. Dostupné online.

[62] Stable Quantum-resistant tunnels in the app!. Mullvad VPN [online]. 2023-04-06 [cit. 2025-11-09]. Dostupné online. (anglicky)

[63] Botan — Botan. botan.randombit.net [online]. [cit. 2025-11-09]. Dostupné online.

[64] Bouncy Castle open-source cryptographic APIs. Bouncycastle [online]. [cit. 2025-11-09]. Dostupné online. (anglicky)

[65] OpenSSL. openssl.org [online]. [cit. 2025-11-09]. Dostupné online.

[pozn. 1]

[pozn. 2]

[pozn. 3]

[pozn. 4]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]