根據 NIST PQC 類別，XMSS 的安全強度是多少？

在NIST PQC 標準化過程的背景下，NIST 定義了以下五個安全類別：

1. 任何破壞相關安全定義的攻擊都必須需要與使用 128 位密鑰（例如 AES128）的分組密碼進行密鑰搜尋所需的計算資源相當或更大的計算資源
2. 任何破壞相關安全定義的攻擊都必須需要與在 256 位散列函式（例如 SHA256/SHA3-256）上進行沖突搜尋所需的計算資源相當或更大的計算資源
3. 任何破壞相關安全定義的攻擊都必須需要與使用 192 位密鑰（例如 AES192）的分組密碼進行密鑰搜尋所需的計算資源相當或更大的計算資源
4. 任何破壞相關安全定義的攻擊都必須需要與在 384 位雜湊函式（例如 SHA384/SHA3-384）上進行沖突搜尋所需的計算資源相當或更大的計算資源
5. 任何破壞相關安全定義的攻擊都必須需要與使用 256 位密鑰（例如 AES 256）的分組密碼進行密鑰搜尋所需的計算資源相當或更大的計算資源

當使用 SHA256 或 SHAKE256 實例化時，XMSS屬於哪個類別？

當使用 SHA256 或 SHAKE256 實例化時，XMSS 屬於哪個類別？

好吧，XMSS 與底層雜湊函式的第二個原像抗性一樣強 - 使用 SHA256 或 SHAKE256，找不到第二個原像（當然，據我們所知）比找到 AES-256 更容易鑰匙; 因此它是 NIST 5 級。

對於 IETF 定義的參數集，XMSS 將 SHAKE-128 用於 256 位散列，這會顯著降低安全級別（如果不實用的話）。另一方面，NIST SP 800-208 中定義的參數集都使用 SHAKE-256，所以上述邏輯適用。

引用自：https://crypto.stackexchange.com/questions/97761