后量子混合模型及其安全性

Question

混合方案是经典方案和后量子方案的结合.在混合模型中，即使是后量子部分被破坏，混合方案仍然是安全的非量子攻击。但是，据我们所知，美国国家安全局不喜欢混合计划，例如，美国国家安全局没有考虑在她最新的CNSA指南混合。但不幸的是，国安局对他的决定只字未提。关于混合PQC计划，我有两个问题：

1-如果我正确理解，在混合方案中，输入日期首先由经典分段算法加密/签名，然后经典部分的输出由后量子部分加密/签名(反之亦然)。这是正确的吗？我找不到任何关于混合方案的确切结构的文件/草稿/RFC。有RFC/标准吗？

2-除了混合方案的复杂性和性能问题外，混合方案还有其他不利因素吗？他们有多安全？像量子会议这样的攻击有可能发生吗？

Answer 1

如果我正确理解，在混合方案中，输入数据首先由经典分段算法加密/签名，然后经典部分的输出由后量子部分加密/签名(反之亦然)。这是正确的吗？

没有“标准”的方式(至少还没有--事情还在发展)。你所建议的是能够做到的，但是可能有更实际的方法。

对于签名，显而易见的方法是让每个签名算法(包括经典签名算法和后量子签名算法)分别对消息进行签名，然后将两个签名钉在一起(如果固定/依赖于公钥的签名长度或使用TLV或误码编码，则只需将两个签名连接在一起即可)。要进行验证，验证者将分离出签名，并独立地验证每个签名(如果签名验证检查失败，则想必失败)。

对于公钥加密，我们通常不使用公钥算法直接加密消息；相反，我们选择一个随机对称密钥，使用公钥算法对此进行加密，并使用随机对称密钥对实际消息进行加密(这是“混合”的旧含义；将对称和非对称加密结合在一起)。如果我们这样做，我们可以做的是选择两个随机值R_1, R_2，用经典算法加密R_1，用后量子算法加密R_2，然后使用R_1 \oplus R_2作为对称密钥加密消息--这意味着攻击者需要破坏两种公钥算法(或对称算法)才能恢复数据。

至于KEM，嗯，这更棘手；您最好的选择是通过密钥派生函数(KDF)传递两个KEM共享秘密，并使用它。如果我们假设使用的KDF是强的，这同样意味着攻击者需要恢复经典和后量子KEM输出才能恢复KDF输出。

1. 除了混合方案的复杂性和性能问题外，混合方案还有其他不利因素吗？

我不同意复杂性问题，至少在短期内，在许多情况下。如果我们处于“brownfield”状态，也就是说，我们需要与未升级的系统(只理解经典算法的)和升级的系统进行通信，我们需要实现经典和后量子系统。而且，如果您仔细研究我的建议，额外的复杂性(在签名情况下，xor在公钥加密情况下，KDF在KEM情况下)是相当小的(我确实省略了协商混合模式的必要性--这也可以最小化)。

另一个缺点是公钥/密文/信号大小；然而，如果经典算法是ECC算法，那么这太短了(与后量子算法相比)，这也是相当小的。

他们有多安全？像量子会议这样的攻击有可能发生吗？

正如您在我的所有例子中所看到的，混合方法并不比单一的系统方法弱(唯一的例外是，在KEM的情况下，我们需要假设一个好的KDF)。也就是说，如果我们有一个甲骨文，可以打破我们的混合系统，我们可以用这个预言打破经典和后量子算法。