公鑰/一次性密碼混合密碼系統的想法有什麼不好？

據我所知，現在混合協議通常比對稱或公鑰密碼系統更廣泛地使用。我讀到公鑰系統用於通過不安全的通道交換和共享秘密，以便密鑰隨後用於對稱密碼。

此外，還有 otp，作為其資訊論安全系統，它是牢不可破的。這是一個如此強烈的安全概念。但是，我們都知道它有其自身的缺點。

最近一個想法隨機出現在我的腦海中——一旦通過公鑰共享密鑰，我們是否可以使用一個 time pad 而不是 AES？我確信這是不切實際的。但是，我看到的唯一問題是需要相同長度的密鑰。但是我們可以拉伸嗎？

如果我們認為可以以某種方式正確地進行密鑰拉伸，是否還有其他理由不使用 otp 並堅持使用標準對稱算法？

1. 在這種系統中，長度要求是唯一的問題嗎？
2. 我們不能在速度上稍微妥協一點（在拉伸期間），以換取如此強烈的安全概念，從而使計算變得無關緊要嗎？
3. 難道我們甚至不能去掉 AES 部分，而是將 otp 作為另一層放在中間嗎？（請注意，由於有更強的概念，它可以反過來減少 AES 密鑰大小的下限）
4. otp 是否可以被默默無聞地視為安全性 - 因此有很好的理由不使用它？

流密碼創建一個與明文組合（通常是異或）的密鑰流 - 就像 OTP 的密鑰流一樣。AES-CTR（以及派生模式，例如 AES-GCM）可以生成您正在尋找的計算安全密鑰流。

1. 在這種系統中，長度要求是唯一的問題嗎？

對於一個完全安全的 OTP，這可能是唯一的問題（如果您不包括完整性/真實性、消息大小和頻率等）。但是，這也是一個理論上無法解決的問題，因為如果要增加密鑰大小，就需要盡可能多的位——換句話說，不可能在不破壞密鑰安全性的情況下增加雙方的密鑰大小。一次性密碼。

2. 我們不能在速度上稍微妥協一點（在拉伸期間），以換取如此強烈的安全概念，從而使計算變得無關緊要嗎？

計算與AES-128（或 AES-256，如果您需要量子安全加密）無關，假設它不用於不同於蠻力的特定攻擊。

3. 難道我們甚至不能去掉 AES 部分，而是將 otp 作為另一層放在中間嗎？（請注意，由於有更強的概念，它可以反過來減少 AES 密鑰大小的下限）

不，我想，儘管您從未在您的問題中展示過 AES 的使用位置/方式。

4. otp 是否可以被默默無聞地視為安全性 - 因此有很好的理由不使用它？

不，OTP 的理論概念恰恰相反。它需要大量的密鑰材料來獲得完美的安全性，而不是（幾乎）沒有密鑰材料來簡單地隱藏消息。

---

請注意，簡單地應用這些模式中的任何一種並不意味著您的協議一定是安全的；例如，諸如 EFAIL 之類的攻擊依賴於更改的明文從電子郵件客戶端竊取任何消息；通常，您希望使用經過身份驗證的加密模式。

引用自：https://crypto.stackexchange.com/questions/96642