Post-Quantum-Cryptography
剩下的四個 PQC KEM 候選者的公鑰和輸出大小是多少?
目前只剩下 4 名直接候選人提供 KEM。一般來說,這些候選人的表現似乎“還可以”。然而,密鑰和封裝密鑰大小(即算法的輸出大小)可能需要對協議進行一些有趣的調整。
我無法直接在 Internet 上找到這些尺寸,所以它們是否已知(針對 NIST 競賽所需的不同安全級別)?
第3輪候選人是:
- 經典麥凱利斯
- 水晶-KYBER
- NTRU
- 知道
我只對最小位數的動態值的大小以及任何編碼大小感興趣 - 如果已指定編碼。域參數——假設它們是靜態的——可以從計算中排除。
在整個答案中,使用了以下約定:
- CT = 密文或封裝算法的傳輸輸出
- PK = 公鑰或密鑰生成算法的傳輸輸出
- Cat 1 / 3 / 5 = 具有以下規範的 NIST 安全類別:
任何破壞相關安全定義的攻擊都必須需要與使用 128/192/256 位密鑰的分組密碼進行密鑰搜尋所需的計算資源相當或更大的計算資源
下表為您提供了根據給定參數集計算所需尺寸的工具——只要我能從支持文件 PDF 中找出相關公式即可。
不幸的是,SABER 文件並不清楚如何計算大小(似乎他們希望從打包對象的大小中推斷出它們)。幸運的是,相關尺寸已經預先計算在他們論文的表格中。
對於 NTRU,給出了兩種計算模型,為了可比性,我選擇了較弱(“本地”)的計算模型,因為另一個沒有具有 5 類安全性的單個命名參數集。
下表使用上述公式計算滿足送出的支持文件中指定的給定安全類別的最小指定參數集的大小。