帶有 PQC 的 TLS 如何使用密鑰封裝？

由於 Diffie-Hellman (DH / ECDH) 似乎沒有任何 PQC 替代方案，因此 DH 必須已被使用臨時密鑰對的密鑰封裝所取代。但是，由於 TLS 1.3 在握手期間總是執行臨時密鑰協商，我認為不可能直接用密鑰封裝替換 DHE / ECDHE。

在測試階段（例如使用liboqs），在協議中進行了哪些更改以針對後量子密碼術進行調整？這會顯著改變 TLS 規範嗎？

由於 Diffie-Hellman (DH / ECDH) 似乎沒有任何 PQC 替代方案，因此 DH 必須已被使用臨時密鑰對的密鑰封裝所取代。

我不認為這是正確的；後量子密鑰封裝方法 (KEM) 似乎是 TLS 中 DH/ECDH 的自然替代品。在 KEM 中，一方（客戶端）產生一個 KEM 公鑰，另一方（伺服器）產生一個響應，它們都產生一個“共享密鑰”；這就是 TLS 1.3 所需要的。

現在，伺服器不能有靜態密鑰（因為與 DH 不同，伺服器響應取決於客戶端公鑰）。另一方面，TLS 1.3 目前不假設。

所有 NIST 公共加密候選者都可以這樣工作；除了因擁有巨大的密鑰大小而導致問題的那些之外，它們都可以適應目前的 TLS 1.3 架構。

引用自：https://crypto.stackexchange.com/questions/88531