您如何在實踐中使用 PQC 混合共享密鑰？

在https://tools.ietf.org/id/draft-stebila-tls-hybrid-design-03.html中，他們定義（許多其他來源也這樣做）混合共享密鑰交換為

• 在這種情況下，“混合”密鑰交換是指使用基於不同加密假設的兩種（或多種）密鑰交換算法，例如一種傳統算法和一種下一代算法，目的是確保最終會話密鑰的安全只要至少有一個組件密鑰交換算法保持完好。我們使用術語“組件”算法來指代組合在混合密鑰交換中的算法。

在https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf的第 2 節中，

• 推薦允許使用形式為 Z′ = Z || 的“混合”共享密鑰。T，由“標準”共享秘密 Z 組成的串聯，在執行密鑰建立方案期間生成（如目前在$$ SP 800-56A $$或者$$ SP 800-56B $$) 後跟一個使用其他方法生成的輔助共享秘密 T。

在實踐中，我很困惑應該如何使用這個共享的秘密。這是與 AES 一起用於加密/解密的密鑰嗎？

如果擔心的是使用者擔心 Store Now / Decrypt Later 漏洞，這是否意味著使用經典密鑰和 PQC 密鑰執行兩次 AES？

似乎還有一個允許 n 算法的複合變體。

有人可以澄清一下這個共享密鑰在實踐中是如何使用的嗎？

在實踐中，我很困惑應該如何使用這個共享的秘密。這是與 AES 一起用於加密/解密的密鑰嗎？

間接; 這個混合共享秘密被輸入到一些安全的密鑰派生函式中，以生成實際的 AES 密鑰。

如果擔心的是使用者擔心 Store Now / Decrypt Later 漏洞，這是否意味著使用經典密鑰和 PQC 密鑰執行兩次 AES？

不，您只使用從經典和後量子共享密鑰生成的密鑰執行 AES 一次。

引用自：https://crypto.stackexchange.com/questions/100726