OpenSSH 9.X 中 X25519 ECDH 和 NTRU 的組合是否可以抵禦量子攻擊？

OpenSSH 9.X 中 X25519 ECDH 和 NTRU 的組合能否保護我免受量子攻擊？

為什麼認為這種組合是安全的？

OpenSSH 9.X 中 X25519 ECDH 和 NTRU 的組合能否保護我免受量子攻擊？

實際上，該版本的 OpenSSH 使用NTRU Prime，而不是 NTRU。

然而，這並沒有改變答案：據信這種組合可以抵抗量子電腦嘗試“稍後儲存和解密”攻擊的攻擊者。

為什麼認為這種組合是安全的？

我們相信它是安全的，因為我們相信 NTRU Prime 對量子對手是安全的，並且保護流量的密鑰取決於 NTRU Prime 共享密鑰。如果沒有這些密鑰，攻擊者將需要直接攻擊對稱密碼，我們認為這也太難了。

現在，我確實提出了關於“稍後儲存和解密”攻擊的狡猾的話。另一種可能的攻擊（如果攻擊者在交換時擁有一台量子電腦）是破壞 SSH 的身份驗證部分。我不知道這是否受到同樣的保護（可能是；我不知道）；如果不是，那麼這也是一個潛在的途徑。當然，這種攻擊只能用於未來的攻擊，之前的會話不受影響。

引用自：https://crypto.stackexchange.com/questions/99725