Diffie-Hellman
帶有 PQC 的 TLS 如何使用密鑰封裝?
由於 Diffie-Hellman (DH / ECDH) 似乎沒有任何 PQC 替代方案,因此 DH 必須已被使用臨時密鑰對的密鑰封裝所取代。但是,由於 TLS 1.3 在握手期間總是執行臨時密鑰協商,我認為不可能直接用密鑰封裝替換 DHE / ECDHE。
在測試階段(例如使用liboqs),在協議中進行了哪些更改以針對後量子密碼術進行調整?這會顯著改變 TLS 規範嗎?
由於 Diffie-Hellman (DH / ECDH) 似乎沒有任何 PQC 替代方案,因此 DH 必須已被使用臨時密鑰對的密鑰封裝所取代。
我不認為這是正確的;後量子密鑰封裝方法 (KEM) 似乎是 TLS 中 DH/ECDH 的自然替代品。在 KEM 中,一方(客戶端)產生一個 KEM 公鑰,另一方(伺服器)產生一個響應,它們都產生一個“共享密鑰”;這就是 TLS 1.3 所需要的。
現在,伺服器不能有靜態密鑰(因為與 DH 不同,伺服器響應取決於客戶端公鑰)。另一方面,TLS 1.3 目前不假設。
所有 NIST 公共加密候選者都可以這樣工作;除了因擁有巨大的密鑰大小而導致問題的那些之外,它們都可以適應目前的 TLS 1.3 架構。