> И там же считается что нужно х2 минимум кубитов для взлома к битности *DSA.

Удвоить кубиты если их уж научатся делать нормально - много времени не займет. И уповать на это соответственно - как на DES с 56-бит ключом.

> Те первыми полягут ED25519, ECDSA начиная с параметров малых до больших и
> уже сильно-сильно потом настанет очередь RSA,

Для 25519 и ко - я вообще пока не видел теории как это делать. Только общие идеи что к этому классу задач квантовые алгоритмы могут быть применимы. Шор сформулирован изначально для именно разложения чисел на множители как я помню. А то что криптографы подозревают что похожим по сложности классам задач похожие атаки - окей, они на то и профессиональные параноики, и есть хороший шанс что они в этом окажутся правы. Ну вот как DJB насчет быкования в адрес непостоянных таймингов. Вон те - далеко не первые кто это все абузит.

> куда битность можно досыпать в абсолютно любой момент просто сгенериров
> ключ/серт нужной длинны.

Мне больше нравится подход вайргада - там на этот случай проездной^W PSK можно сделать. Да, часть фич типа PFS и ко работать перестанет но пока PSK не утек - траф таки в безопасности.

> А вот для ECDSA нужно добавлять новые параметры в стандарты.
> ED25519 просто выкидывать целиком.

Если квантовые алго реально заработают - выкидывать их придется одинаково и плюс-минус одновременно. А вот грузить проц в десятки раз сильнее и ворочать огроменными ключами - ну такое себе "счастье". Особенно когда стойкости оно особо не добавит. Увеличить сложность в 2 раза это вообще ни о чем. Это как DES вместо 56 битов сделать 57. И что - его не брутфорснут чтоли? Там этого x2 надо эвон сколько раз чтобы перестало прокатывать за обозримое время. Если с RSA такое сделать - мы его счета на обычном компе вообще не дождемся. А уж про вещи типа PFS можно будет сразу забыть. Какой псих так будет проц грузить динамически генеря новые ключи на ходу... ботнеты и сейчас то кладут ssh CPU в полку запросто если там RSA ключ разрешить.