密鑰大小是採用 McEliece 密碼系統的唯一障礙，還是被認為已損壞/可能易受攻擊？

最近的一篇論文表明，McEliece 密碼系統不像 RSA 和其他密碼系統那樣被量子計算大大削弱，因為強傅里葉採樣無法解決隱藏子群問題。

然而，在 2008 年，在發現舊參數易受攻擊之後，又提出了新參數。

所以我的問題——作為一個對這個特定密碼系統知之甚少的人——是：為什麼沒有更多地使用它？

看來，如果量子計算的承諾得以實現，我們可能很快就會需要不易受其影響的密碼系統。那麼，對大矩陣（因此也是大鍵）的要求是唯一的障礙，還是存在其他問題/潛在弱點？還是有更好的後量子公鑰系統候選者？

巨大的鑰匙絕對是個問題。另一個是缺乏標準化或建議。您應該將OAEP與 McEliece 或其他一些填充一起使用嗎？哪些參數實際上是安全的？等等。

部分問題在於，雖然它自 70 年代就已經存在，但直到最近才被認為特別有趣——因此它可能沒有在其安全屬性上花費那麼多年的研究時間。據我所知，它從未在現實世界中部署過。

後量子加密的其他潛在候選者包括NTRU和HFEv-，它們速度快且密鑰小。不幸的是，兩者都獲得了專利。如果您對後量子密碼學感興趣，我強烈建議您閱讀Bernstein 等人的*Post-Quantum Cryptography ，這是一本很好的調查文本。*

引用自：https://crypto.stackexchange.com/questions/131