IND-CCA2后量子密钥交换

Question

QUIC要求服务器重用密钥，以便会话恢复工作。这破坏了许多量子后密钥交换系统。

我正在寻找一种后量子密钥交换算法，具有以下属性：

• Fast (基于格)
• IND-CCA2
• 选择的密钥取决于双方的随机性(这对于信道绑定的许多用途都很重要)。

Answer 1

NewHope是一种基于带错误环学习问题的密钥交换协议.

NewHope512-CCA-KEM和NewHope512 1024-CCA-KEM是IND安全密钥封装机制，分别针对1级和5级(分别匹配或超过AES-128和AES-256的蛮力安全性)。

谷歌正致力于在TLS中部署后量子密钥协议，将NewHope与现有的密钥协议(X25519)相结合，作为组合CECPQ1。请在GoLang中找到NewHope的一个GitHub实现。