為什麼 pqRSA 在 NIST PQC 送出中？

在 NIST 後量子密碼學研討會上，第一輪送出的論文包括 pqRSA。如果沒記錯的話，這是 RSA 的實現，它使用大量 4096 位素數的乘積來防止 Shor 算法。它需要 TB 級的私鑰材料。鑑於其不切實際顯然使其不合格，為什麼將其送出給 NIST？

$$ source of information: my interpretation of multiple hallway chats I’ve had with DJB and Tanja Lange at conferences $$

實際送出 NIST PQC 有兩個原因：

1. 笑話。證據 1：DJB 在房間後面大喊*“NIST 基準測試機有多少 RAM？？”* 達斯汀穆迪回答*“丹，我們沒有對 pqRSA 進行基準測試！”* . 證據2：DJB在台上無情地嘲諷他論文的審稿人：“當然不實用！這傢伙明明是英國人的上唇僵硬”。
2. 其他送出的模板。DJB 的計劃至少是提前幾個月送出，以解決送出過程中的問題，並將乳膠源公開以供其他送出者重複使用格式和合法樣板（我不知道他是否這樣做了或不）。

---

投稿背後的科學工作為密碼學領域做出了一些非常有價值的貢獻：

1. 回答問題：

• 問題：“誠實方（密鑰生成、加密、解密）是否比 Shor 的對手具有漸近優勢？如果是，那麼密鑰需要多大才能獲得舒適的量子安全性？”
• 答：是的；1 TB 密鑰來強制使用 >= 的量子電路 $ 2^{128} $ 大門。如果考慮到量子門之間的延遲並提出“不在宇宙到期之前”類型的參數，這將減少到 1 GB 密鑰。

2. 修改加密和解密操作，使其在多主密鑰上更有效。
3. 批量生成素數：為了優化數千（百萬？）個 1024 位素數的 keygen，他們想出了一種更有效地批量生成素數的方法。
4. 我們可以用同樣的方式保存 ECC 嗎？作為同一項研究的一部分，人們努力製作具有類似大密鑰的 pqECC，但他們無法找到等效的數學技巧，讓誠實的各方相對於量子對手具有漸近優勢。

---

儘管送出的作品無法通過第一輪，但它對比賽本身以及整個密碼科學都做出了寶貴的貢獻。正如@SqueamishOssifrage 在評論中所說：

艱苦的工作已經完成了——論文寫好了，程式碼測試過了——所以，為什麼不送出呢？

引用自：https://crypto.stackexchange.com/questions/59591