为什么NIST选择了凯伯和迪利托姆？

Question

几天前，NIST选择了Kyber作为密钥协议，Dili三国选择了数字签名应用。但以国防军的MATZOV小组，在他们的纸，打破了Kyber和迪利托耳，并使这些方案的安全水平低于NIST为一个安全的PQC计划定义的阈值。

为什么NIST不考虑MATZOV的袭击？由于攻击只会变得更好，如果这些方案的安全性目前低于阈值，这些方案能否长期保持安全？

Answer 1

NIST确实考虑了马佐夫的袭击。如果我们阅读他们的第三轮NIST后量子密码标准化进程现状报告，我们可以在第29页的4.1.1部分看到：

在第三轮中，提出了对双攻击的一些改进，使得一百六十三，164模型的估计安全性低于KYBER规范中所称的安全性。这些结果表明，当未明确考虑攻击者的内存访问成本时，所有三个KYBER参数集都略低于其声称的安全级别的安全目标。

在第4.4.1节中也有类似的陈述。这表明，无论是NIST将收紧其成本计算定义，以更明确地说明内存访问，或标准产生时，将反映新评估的安全性。

成本计算模型

同样来自状况报告第2.2.1节：

在某些情况下，出现了各种参数集是否满足其声称的安全强度类别的问题。定义... NIST安全强度类别的方式是，开放各种计算资源的相对成本，包括量子门、经典门、量子内存、经典内存、硬件、能量和时间。因此，对于什么构成计算资源相对成本的合理假设，...可能会产生不同的意见。

可能是NIST选择定义一个更紧、更显式的攻击模型，在此模型下MATZOV攻击需要比阈值设置所允许的更多的资源。附录B中有一些关于攻击模型的讨论。然而，在第2.2.1节中，它们确实会注意到：

即使人们已经就评估各种计算资源相对成本的模型或一系列模型达成一致，但攻击实际需要多少特定资源仍可能存在不确定性。...，由于缺乏使用更现实模型的公开密码分析，人们可能会怀疑是否做出了足够的努力来优化最著名的攻击，以便在这些模型中表现良好。

正如提问者所观察到的那样，攻击可能会有所改善。

标准

的建议

也是在报告第5节

作为起草过程的一部分，NIST将寻求关于哪些具体参数集应包括的投入，特别是在安全类别1的任何参数集上。

这似乎为调整安全级别与参数集的匹配留出了空间。例如，NIST可能会产生一个标准，认可Kyber-768 (旨在满足相当于192位AES的安全级别3)以满足安全级别1(相当于AES-128)。请注意，pq-crystals.org包含以下对今天希望使用Kyber的用户的建议：

我们建议使用Kyber-768参数集，根据非常保守的分析，它可以实现128位以上的安全性，以抵御所有已知的经典和量子攻击。

对于Dilithium3，使用类似的语句(他们还建议在现有方法的混合模式下部署任何当前的使用)。

在标准草案出台之前，所有这一切都有些推测性。NIST可能会提议在选择和标准化之间改变参数，尽管这在SHA3中被证明是有争议的。