后量子替代ElGamal？(公钥可验证性)

Question

有什么替代ElGamal的方法会对量子机器产生抵抗力/烦人吗？

我希望保留公钥的可衍生性/可验证性--以确保合成公钥的相应私钥的存在。

我从后量子密码学的NIST提案中找到了其他几个密码系统，但通过直接阅读论文，它们似乎缺乏这种特性。

例如，NTRUencrypt是一种基于格的密码系统.由于它在理论上是在格域下工作的，所以可以在没有私密密钥的情况下随机生成公钥。但我不确定是否会有一种方法来确保私钥的存在和解密的可能性(尽管私钥空间可能足够大，而且这个假设在某种程度上是成立的)。

Answer 1

没有什么能完全满足您的要求，特别是如果您需要能够在不知道相应的私钥的情况下生成随机有效的公钥。CSIDH (不是NIST候选项)最近，因为您至少可以生成随机私钥，并且可以轻松地以可验证的方式发布相应的公钥。