TLS与PQC如何使用密钥封装？

Question

由于似乎没有任何用于Diffie-Hellman (DH / ECDH)的PQC替代品，DH必须被使用短暂密钥对的密钥封装所取代。但是，由于TLS1.3在握手时总是执行短暂的密钥协议，所以我认为不可能直接用密钥封装代替DHE / ECDHE。

在测试阶段(例如使用李波 )，对量子后密码进行调整的协议做了哪些更改？这是否显着地改变了TLS规范？

Answer 1

由于似乎没有任何用于Diffie-Hellman (DH / ECDH)的PQC替代品，DH必须被使用短暂密钥对的密钥封装所取代。

我不认为这是正确的；后量子密钥封装方法(KEM)似乎是TLS中DH/ECDH的天然替代品。在KEM中，一方(客户端)生成KEM公钥，另一端(服务器)生成响应，它们都生成“共享秘密”；这是TLS 1.3所需要的。

现在，服务器不能拥有静态密钥(因为与DH不同，服务器响应依赖于客户端公钥)。另一方面，TLS 1.3目前并没有假设这一点。

所有的NIST公开加密候选都可以这样工作；除了那些通过拥有巨大的密钥大小而使其成为问题的人之外，它们都可以适应当前的TLS 1.3体系结构。

Answer 2

CSIDH可以替代(EC)DH密钥交换协议，同时维护对量子计算机的安全性。

此外，OQS修改了openssl库以使用liboqs。正如你所说的，TLS被修改了，不符合标准。