经典的与量子安全算法和协议/应用方法

Question

在量子密码(PQC)之后的世界中，人们正在探索各种关于X509 V3证书的建议。

目前，这包括只拥有一个经典和PQ证书，使用X509扩展为古典和PQ提供混合证书，或者根据需要将尽可能多的签名连接到一个blob中。如果我正确理解，前两种方法是一个或函数，也就是说，您只使用经典或后量子签名。复合方法可以使用所有签名，因此用户必须验证blob中使用的所有签名。

这就是理解，对吗？

我的问题是你什么时候达到协议级别。密码灵活性是指安全系统能够在算法、密码原语和其他加密机制之间快速切换的能力，而系统的其他基础结构不会受到这些变化的显著影响。

例如，工业界是如何考虑TLS的？有经典TLS和PQC TLS吗？该协议是否只有两种变体，似乎违反了密码灵活性？如果有两个，那么在实际实例化中它们之间需要切换什么？

另一种方法是有一个混合的TLS，允许在协商中选择经典的或PQC算法。然而，这种变体需要多少年时间才能由标准机构创建，因为这大大增加了复杂性，但也许这才是重点。请注意，我知道开放量子安全( Open，https://openquantumsafe.org/)项目，但它们似乎都只创建了PQ变体。另外，在某个时候，你会日落经典算法，只支持PQ算法。这种转变是如何发生的呢？

对于SSH、OpenSSL、gnu以及其他使用经典和量子安全算法的协议或应用程序，也可以提出同样的问题。

这些事情是不是还没有解决，协议开发人员和应用程序开发人员需要数年时间才能召开工作组会议，决定如何在技术、后勤等方面解决这些问题？

Answer 1

在量子密码(PQC)之后的世界中，人们正在探索各种关于X509 V3证书的建议。这就是理解，对吗？

在我看来，本质上有两种方法，既可以使用经典证书，也可以在证书后使用证书：

• 拥有一个“混合”证书(或复合证书或其他术语)，该证书以某种方式包含经典签名和后量子签名以及公钥。有几种方法提出了如何做到这一点，这些方法有技术上的差异，但在这么高的水平上并不重要。至于和/或争议，我的意见是:你总是检查所有你知道如何检查的签名，如果有任何失败(即和)，你就拒绝它--唯一的问题是你遇到一个你不懂的公钥.
• 或者，我们可以有两个独立的证书，一个是纯经典的，一个是纯后量子的；我们可以使用证书修改协议，以请求两个证书，并使用两个公钥。这样做的好处是，量子后证书的时间可能会长得多；我们不会给那些还不支持后量子证书的人增加费用。

对于这两种选择中哪一种更有意义，我还没有看到任何共识；如果证书的不同用法可能采取不同的方法，我也不会感到惊讶。

我的问题是你什么时候达到协议级别。密码灵活性是指安全系统能够在算法、密码原语和其他加密机制之间快速切换的能力，而系统的其他基础结构不会受到这些变化的显著影响。例如，工业界是如何考虑TLS的？

我假设这部分讨论的是隐私方面，而不是身份验证。

至于TLS1.3(目前似乎没有什么理由修改早期版本的TLS)，它基本上已经解决了:我们将添加额外的‘命名组’1，这是使用的密钥交换算法。除了现有的(如X25519)之外，我们还将添加一个名为' NTRU‘的(它将列出NTRU参数集)，以及’X 25519+NTRU‘。后者将并行实现X25519和NTRU；密钥共享将是连接的X25519和NTRU密钥共享，共享的秘密是连接的X25519和NTRU密钥共享(TLS1.3具有强大的KDF，因此连接工作良好)。这在这份IETF草案中有详细说明。

这使得升级路径变得容易；客户端将提出名称组X25519+NTRU和X25519；理解postquantum的服务器将接受第一个；无法返回到第二个服务器。然后，当到了抛弃经典的时候，客户端将开始提议NTRU (仅)；同样的升级路径也在那里工作。

我相信OpenSSH正在走一条类似的道路(只使用NTRUprime)；然而，我还没有对细节进行研究以确定。

1：“命名组”现在用词不当，因为后量子算法不是基于组的.