Si se sabe que los esquemas de firma digital existentes como crypto de curva elíptica o RSA son vulnerables a las computadoras cuánticas, ¿por qué no hemos cambiado ya a las firmas de Lamport o algo así?
Las computadoras Quantum no eran una amenaza realista cuando estos algoritmos se estandarizaron y se implementaron ampliamente. Como se indica en comentarios por @Steffen Ullrich , las firmas basadas en hash tienen algunas desventajas. El tamaño de las claves públicas / privadas y el tamaño de las firmas pueden ser un inconveniente no despreciable si las computadoras cuánticas no son relevantes.
Además, algunos esquemas de firmas basados en hash son con estado. Los esquemas sin estado tienen una gran ventaja sobre los esquemas con estado en lo que respecta a la simplicidad de la implementación.
¿Hay algo que impida que las personas implementen este tipo de firma en este momento?
Comprendo que todavía creemos / sabemos que nadie tiene una computadora cuántica que funcione bien, pero ¿por qué no hacer el cambio de todos modos?
Para que un algoritmo criptográfico se adopte para su uso en el mundo real, debe estar estandarizado.
La firma basada en hash se ha enviado a llamada de NIST para algoritmos de post-quantum. . Es totalmente posible que las firmas basadas en hash se estandaricen y se recomienden para su uso, suponiendo que sobrevivan al análisis. La fecha límite para las presentaciones se cerró (30 de noviembre de 2017) y probablemente pasarán algunos años antes de que se estandarice algo.