為什麼 LMS 和 XMSS 不是後量子密碼標準化過程的候選者？

為什麼 Leighton-Micali 簽名方案 (LMS) 和擴展默克爾簽名方案 (XMSS) 不是 NIST後量子密碼標準化過程的候選者？兩者都在基於狀態雜湊的簽名方案建議的最終草案中提到。

我期待這兩種算法也是標準化過程中的候選者，但似乎它們甚至沒有被送出。誰能解釋為什麼？如果它們不被視為新標準的候選者，為什麼存在基於狀態雜湊的簽名方案的建議並準確提及這兩種算法？

在標準化過程完成之前，建議是否只是一個臨時標準？

誰能解釋為什麼？

這是因為 NIST 明確指出，在 NIST 後量子競賽中不允許有狀態方案，因為它們無法使用 NIST 定義的 API（不允許任何狀態）來實現。

這似乎是合理的，因為基於狀態散列的簽名方法確實需要格外小心才能安全實施；NIST 800-208 概述了 NIST 認為合理的預防措施——其他算法不需要這些預防措施，因此 NIST 將它們分開。

引用自：https://crypto.stackexchange.com/questions/89742