抗WRT Shor密码:更有可能

Question

在NIST为获得新的公钥密码而展开的抵制Shor算法(又名“后量子密码学”)的“竞争”中，两种进入第三轮和第四轮的算法被灾难性地破坏了(彩虹周末在笔记本电脑上运行，SIDH/SIKE在一个小时内运行在一个核心上)，而其他一些算法的安全性比NIST (https://zenodo.org/record/6412487#.Y-wEkS-IafA)所要求的要低。

同时，还没有人能够为与密码相关的量子计算机创建一个足够稳定的逻辑量子位。

我的问题是，更重要的是，有可能首先发生:我们会有一个密码相关的量子计算机，能够打破最弱的(wrt Shor‘s算法)经典公钥系统(即基于椭圆曲线的密码)，还是我们能够打破这些相对未研究的新的NIST算法？

Answer 1

我们能打破这些比较未经研究的新的NIST算法吗？

没有人会对此做出反应，我只想说，有一些通用的技术可以采用两个加密方案，并创建第三个加密方案，如果其中一个“输入”方案是安全的，则该加密方案是安全的。

这就是说，您可以构建既为PQC又与EC密码系统一样安全的密码系统。有些人反对这样做(大致来说，实现变得更加复杂，CA的工作也可能更难)，但除非你想把未来押在“我们无法构建量子计算机”上(尽管近年来各国政府提供了大约200亿美元的资金)，我们还是应该采取积极主动的行动。

我鼓励你们通过不同的视角来看待NIST过程。真正的缺陷是密码分析在这个过程中发生得太晚了。我们需要社区的方式来鼓励对方案进行更多的密码分析，以便更快地发现漏洞。我不是密码分析家，所以不能说这是怎么发生的，但我要指出的是，鼓励人们发帖

• 计划的“完全”实现，与
• 显式参数集

可能会有所帮助(它给密码分析人员一个“固定目标”来攻击)。鼓励其他密码学家做这种事情的最简单的方法是

• 主办NIST类型的竞赛，或
• 是否有一些财务激励(例如，目前的FHE研究可以由试图制造产品的公司推动)。