量子后单向小组行动有候选人吗？

是否有一个已知的集体动作家族，
在该集合中正在执行的动作中具有指定的元素 ，并且知道如何有效地进行

$\:$ 从组中采样（基本上统一），计算逆运算，
$\:$ 计算小组行动，并计算小组行动

而且还没有已知的有效量子算法
能够以不可忽略的概率成功

$\:$ 作为输入给出集体行动的指数和结果
$\:$ 作用于指定元素的采样组元素，
$\:$ 查找一个组元素，其对指定元素的作用是第二个输入

？


据我所知，它们提供了唯一的非交互式统计隐藏承诺的已知结构，其中有关活板门的知识可以实现有效且不可检测的模棱两可，这对于零知识协议和自适应安全性很有用。

通过使域通过以下方式作用于共域，可以将具有前三个属性的任何单向组同态族（从本文的第三行和第四行）转换为此类事物： $\: \langle a,b\rangle \mapsto h(a)\cdot b \:$， $\:$ 以身份元素作为杰出元素。

作为将上述转换应用于组指数同态的特例，可以获取Pedersen承诺方案的受限版本，尽管对量子算法而言，其单向性等效于离散对数问题的难度。（请参阅Shor算法和该页面上有关离散对数的部分。）

是的，由于Couveignes，对此有一个旧的建议，由Rostovtsev和Stolbunov独立重新发现。

在这两种情况下，具有一些常见内同态环的椭圆曲线集 $\mathcal O$ 由理想的阶级团体 $\mathcal O$。密钥本质上是通过其内核理想描述同构，以及组元素的作用$[\mathfrak a]$ 弯曲 $E$ 到所述同构的共域：

$$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$$ Luca De Feo的讲义中的 14.1节对此动作进行了很好的图形行走解释（例如）。_{^{（它们还包含了解此构造所需的更多背景知识！）}}

尽管有可能通过解决隐藏移位问题的实例来反转群作用，从而引起次指数量子攻击，但对于相当大的参数大小，系统仍保持不变。一个更大的问题是这些方案在实践中非常缓慢：即使经过大量的优化工作，小组动作的一次计算仍然需要几分钟。

最近的一项名为CSIDH的建议已解决了性能问题，方法是切换到超奇异椭圆形曲线，从而大大提高了效率，同时保持了基本相同的底层结构。相对于类似的量子前方案以及无与伦比的量子后方案而言，它仍然很慢，但由于其独特的功能，它可能在量子后世界中占有一席之地。