Post-Quantum-Cryptography

為什麼 NIST 堅持後量子標準化程序而不是後量子競爭?

  • April 7, 2021

我在許多論文甚至 NIST 的通信中都看到,正在進行的標準化是一個“程序”或“過程”。他們謹慎地避免使用像 AES 這樣的術語競爭。我想知道這是什麼原因?這個過程的執行方式是否有任何功能差異?

提前致謝。

這個過程的執行方式是否有任何功能差異?

一個可能的區別是預期的最終目標。AES 流程的預期結果是僅批准一項提案,這就是他們所做的。相比之下,他們可能會批准至少兩個提案(都用於 kem/公鑰加密,以及事物的簽名方面,因此至少有四個批准的算法)。

這可能有幾個原因;一方面,所有 AES 候選人基本上都做了同樣的事情;因此批准多個是沒有意義的。相比之下,PQC 算法之間存在一些顯著的權衡;例如,Rainbow 有相當小的簽名(和巨大的公鑰),而 Falcon/Dilithium 有(按照 PQ 標準)中等簽名和中等公鑰。哪個更合適可能會因案例而異。

另一個原因是信任。當 AES 競爭發生時,人們對分組密碼有了相當好的理解(因為我們已經研究了 20 多年);相比之下,我們對其中一些後量子算法的了解相對較少(尤其是針對量子電腦的攻擊);因此批准幾個是有意義的(這樣如果一個被新發現破壞,我們就有一個備份)。

現在,我不是 NIST,所以這些只是我的觀察;我相信我過去曾聽過 NIST 的一些演講者的這種邏輯。

我不知道我是否可以權威地發表評論(我沒有註意到措辭上的差異),但 NIST PQC 過程與 AES 比賽的格式大致相同。即,公開徵集提案,候選人通過幾輪(實際上是三輪,與 AES 競賽相同)逐步“篩選”出來,每輪分析都會逐漸縮小範圍,然後再選出幾個“決賽選手” .

這個過程還沒有從幾名決賽選手中縮小範圍 -> 1 名決賽選手(就像 AES 一樣)。此外,事情可能很快就會與 AES 比賽的形式有所不同(參見關於第 4 輪比賽潛力的討論)。但是作為一個已經關注競爭一段時間的人,我沒有註意到標準化過程和“競爭”(a la AES)之間的實際差異。

引用自:https://crypto.stackexchange.com/questions/89250