具有前向保密性的後量子認證密鑰交換

是否有任何後量子、前向安全、混合、可選認證的密鑰交換協議？具體來說，我正在尋找一種可以與 X25519 + EdDSA 混合部署的產品。

密鑰交換和認證通常由單獨的算法完成。然而，也有提供前向保密的後量子密鑰交換算法。例如：

• SIDH - Supersingular Isogeny Diffie-Hellman 與正常 DH 非常相似。主要區別在於安全性與尋找具有相同點數的兩條超奇異橢圓曲線之間的同源映射的問題有關。1
• NewHope - 該算法基於帶錯誤的環學習 (R-LWE)。安全性依賴於近似最短向量問題（α-SVP）。這是一個想法，即使對於量子電腦，找到一個比 α 乘以最短向量更短的向量是困難的。

這兩種算法都可以與傳統的密鑰交換相結合，形成一種對量子電腦和相對較新的後量子算法的密碼分析都是安全的混合體。例如，Google已經試驗了他們的 CECPQ1 密鑰交換算法，它結合了 NewHope 和 x25519。Tor 項目也在研究使用相同原語的混合算法，儘管實現方式不同（使用 NTor 而不是 TLS）。

這些方案都沒有提供後量子密碼簽名。這樣做的原因很簡單，簽名不需要提供與密鑰交換幾乎一樣長的安全性。密鑰交換必須對能夠儲存握手和加密消息並在以後技術足夠先進時對其進行解密的對手是安全的。另一方面，簽名只要求它們現在不能被破壞。如果您的對手是儲存加密連接以供將來中斷的攻擊者，則無需切換到 PQ 簽名方案。只有此時您的對手是使用量子電腦的活躍攻擊者，您才需要擔心更安全的身份驗證。

引用自：https://crypto.stackexchange.com/questions/60262