后量子X3DH

Question

我试着观察天气是否可能建立一个后量子版本的信号协议。修改双棘轮算法很简单，用西德密钥交换替换ECDH密钥交换似乎就足够了(因为您只需要发布E、ϕ(P)和ϕ(Q)一次)，前提是开始时所有各方之间都有一个共享的秘密。但是信号用于导出共享秘密的密钥交换( X3DH )是一个问题。在该协议中有一个签名的ECDH预密钥，该协议指定的签名方式是通过使用基于XEdDSA的标识密钥(可以被量子计算机打破)和蒙哥马利椭圆曲线与爱德华兹曲线在出生时等效的事实。我无法在不破坏一些协议属性的情况下找到解决办法。我能找到的最有希望的线索是想出一种与undefined和undefined类似的方法，但我绝不是格子问题的专家，所以我想出的任何东西都可能是坏的，容易破碎的。那么，是否有一种方法来构建量子后X3DH密钥交换呢？

Answer 1

我对X3DH不太了解，但本·史密斯(本·史密斯)最近的预印本是关于基于等价类的密码学的，在第2页提到了X3DH。不幸的是，这可能就是它所做的一切，因为我没有看到任何关于X3DH的进一步讨论。但这也许值得一看。

就密钥签署而言，没有一种好的方法可以进行基于等价类的签名。如果您只需要另一个方来验证签名，则可以使用指定验证者签名，它可以很好地处理异构性。否则，你可能会被困在自己的东西上，正如你所提到的，这不适合非专家。