差分簽名/非對稱加密（PQC）

NIST 目前正在嘗試為後量子密碼學選擇新標準。候選人的兩個主要類別是“公鑰加密和密鑰建立算法”和“數字簽名算法”。

簽名算法基於公鑰加密算法。因此，為什麼要將這兩個類別分開？是實施問題，還是性能問題？

問題陳述

簽名算法基於公鑰加密算法

與公認的智慧背道而馳。這就是簽名和公鑰加密是分開的野獸，我們不知道從後者建構¹前者的一般方法，反之亦然。

這解釋了兩類“公鑰加密和密鑰建立算法”和“數字簽名算法”。

---

¹ 當然，我們可以從陷門 排列建構這兩種類型。標準範例是像RSASSA-PSS這樣的 RSA 簽名和像RSAES-OAEP這樣的RSA 加密，它們都是根據教科書 RSA 陷門排列建構的，每個x\mapsto x^e\bmod n的[0,n) $ [0,n) $ 。但是還有許多其他有用的簽名和公鑰加密結構。 $ x\mapsto x^e\bmod n $

引用自：https://crypto.stackexchange.com/questions/100416