X25519 ECDH和NTRU在OpenSSH 9.X中的结合对量子攻击安全吗？

Question

X25519 ECDH和NTRU在OpenSSH 9.X中的结合能抵御量子攻击吗？

为什么相信这个组合是安全的？

Answer 1

X25519 ECDH和NTRU在OpenSSH 9.X中的结合能抵御量子攻击吗？

实际上，那个版本的OpenSSH使用的是NTRU素数，而不是NTRU。

然而，这并没有改变答案:人们认为，这种组合可以抵抗攻击者，量子计算机试图进行“存储-解密--稍后”攻击。

为什么相信这个组合是安全的？

我们认为NTRU协议是安全的，因为我们相信NTRU协议对量子对手是安全的，而保护流量的密钥依赖于NTRU协议共享的秘密。如果没有这些密钥，攻击者将需要直接攻击对称密码，我们认为这也太难了。

现在，我确实对“稍后的存储和解密”攻击使用了尖刻的字眼；另一种可能的攻击(如果攻击者在交换时有一台量子计算机)是破坏SSH的身份验证部分。我不知道它是否受到类似的保护(可能是；我不知道)；如果不是，那么这也是一个潜在的途径。当然，这种攻击只能用于未来的攻击，以前的会话是不受影响的。