如果我們對目前的 PQ 算法不夠信任,無法單獨使用它們,我們為什麼要信任它們作為混合算法?
我的學生問我關於 PQ/Classical Hybrids 的第二個問題是關於為什麼我們認為它們有利於保護具有較長安全生命週期的資訊。如果我們今天對目前的 PQ 方案不夠信任,無法使用它們自己保護資訊,那麼我們為什麼要相信它們足以在量子電腦實現後保護資訊呢?當這種情況發生時,我們在混合中使用的任何 PQ 方案都將成為保護資訊的唯一方法,因為混合的經典部分將被破壞。從長遠來看,今天使用混合方案來保護長期存在的資訊,就相當於將來量子電腦出現時只使用後量子算法。
信任算法不是非黑即白的問題。鑑於我們不能明確地證明基本密碼原語背後的問題的難度,我們別無選擇,只能假設它們很困難。密碼學研究的大量努力都花在了最小化這些假設和分析它們的難度上。我們已經在基於格的密碼學和格中的難題方面擁有長期的記錄。但是,我們在 RSA 和離散對數/Diffie-Hellman 假設等問題上的記錄要長得多。因此,我們對他們有更多的“信任”。此外,密鑰長度很棘手,儘管某些問題確實可能非常困難,但了解它們的難度對於設置密鑰長度至關重要。
因此,我們沒有任何理由相信,如果大規模的量子電腦能夠建成,那麼從長遠來看,基於晶格的或其他 PQ 提議將不夠好。然而,我們對這些假設的歷史也較少,謹慎和保守的方法是同時採用(使用混合加密)。隨著時間的推移,我們會越來越多地了解格子和其他假設,並且對自己使用它們感到更加自在。
實際上,我們確實比傳統方案更信任許多(但顯然不是全部)後量子密碼系統。我們沒有使用它們,因為它們無法滿足實際的空間和時間權衡。
我們從高參數開始悲觀,然後通過過濾掉壞或慢的參數類逐漸減少空間,直到我們對各種安全級別進行合理的空間和時間權衡。
但是,如果我們錯了並且某些假設被證明是不正確的,我們希望確保我們的協議不低於我們更了解的傳統系統的安全性。混合解決方案不弱於其最強組件。
今天選擇一些 PQ 算法並相信它會在未來保護數據的理由是什麼?
今天選擇任何算法並相信它會在未來發展的情況下完成其任務的理由完全相同。或者,不要選擇。全部使用!..然後真的希望至少有一個實際上是好的。或者忽略 PQ 方案並使用預共享密鑰。我們應該更頻繁地使用預共享密鑰。如果我與同行建立了安全通道並希望介紹他們,我可以給他們預共享密鑰和公鑰。