Điều đáng nói là các ước tính cụ thể về độ cứng lượng tử của các vấn đề khác nhau vẫn là một rất mới khu vực nghiên cứu, và một số câu hỏi vẫn chưa được giải quyết.
Một ví dụ điển hình về điều này là bài báo của Piekert He Gives C Sàng bởi CSIDH. Bên cạnh việc là một cách chơi chữ tuyệt vời, bài báo này sử dụng một thứ gọi là sàng đối chiếu (được phát triển vào năm 2013 bởi Greg Kuperberg iirc) để tấn công giả định CSIDH. Lưu ý rằng giả định này được phân biệt giữa tất cả các giả định hậu lượng tử vì nó trực tiếp mang lại trao đổi khóa không tương tác, một cái gì đó mà nó là
- khá dễ dàng để có được từ các vấn đề cổ điển (các biến thể nhật ký rời rạc), nhưng
- nhận được từ những thứ như LWE hoặc yêu cầu các tham số rất lớn hoặc hấp dẫn nguyên thủy nâng cao (mã hóa FHE hoặc chức năng) --- trong cả hai trường hợp, sơ đồ kết quả là không hiệu quả.
Điểm chính của bài báo là lưu ý rằng sàng đối chiếu không yêu cầu quyền truy cập vào một ($\xấp xỉ 2^{30}$) lượng bộ nhớ lượng tử trực tiếp, nhưng thay vào đó có thể sử dụng "bộ nhớ cổ điển có thể truy cập lượng tử" (ước tính cuối cùng là nhiều hơn, $\khoảng 2^{40}$). Tôi nhớ đã có một số cuộc tranh luận (tôi đoán là giữa Dan Bernstein và Chris, nhưng không nhớ chính xác) trên twitter/nhóm Google PQC hiện tại về ý nghĩa thực tế của ước tính đã thay đổi này.
Rất khó khăn, người ta có thể mô tả bảo mật cổ điển theo một cặp (thời gian, bộ nhớ) cần thiết để phá vỡ một nguyên thủy. Bảo mật lượng tử sau đó liên quan đến bộ 4 (thời gian cổ điển, bộ nhớ cổ điển, thời gian lượng tử, bộ nhớ lượng tử).
Làm thế nào để trích xuất chính xác một ước tính bảo mật duy nhất trong số 4 bộ như vậy vẫn còn là một vấn đề tranh luận và thậm chí hai chuyên gia về mật mã hậu lượng tử cũng có thể có những bất đồng.