为什么后量子密钥交换消失了？

Question

2022年7月5日，NIST选择一个KEM (关键封装机制)作为PQC标准，4个KEM作为四轮候选。为什么没有钥匙交换？

同样，KEM通常在文献中被研究。后量子密钥交换在文献中是非常罕见的。此外，在这些关键交流中，要分享的信息是由一方产生的。我没有看到任何后量子密钥交换，创造一个共享的秘密与双方的贡献，如在迪夫-赫尔曼。

Answer 1

我没有看到任何后量子密钥交换，创造一个共享的秘密与双方的贡献，如在迪夫-赫尔曼。

实际上，在Kyber，共享的秘密是双方贡献的函数。

在一次成功的交流中，Kyber输出了共享的秘密：

KDF( G( M, H( PK )), H( C ))

其中：

• M是加密器选择的值。
• PK是解密者选择的值(实际上是他的公钥)。
• C是解密器生成的密文。
• KDF, G, H是单向函数。

因为这个输出是一个不可逆的函数，它包含来自双方的输入，所以双方都不能控制它。

Answer 2

主要是因为NIST没有使关键交换成为这一过程的必要部分。如果我们看一下NIST PQC常见问题，"NIST提供了用于公钥加密、KEM和数字签名的API和安全定义，为什么不包括其他功能呢？“NIST州：

NIST的主要目的是用广泛使用的功能取代量子易受攻击的方案，在学术文献中已经广泛同意安全性和正确性的定义，并且似乎有一系列设计量子后替换的有前途的方法。NIST考虑了许多其他功能，但没有提供明确的支持，因为它认为它们不符合上述标准以及加密、KEM和签名。在许多情况下，NIST希望提供其中一些功能的方案可以作为特例提交，或者作为我们明确要求的功能的扩展。在这种情况下，如我们征求建议书第4.C.1节所述，任何额外的功能都将被视为一种优势。NIST考虑的两个特殊功能是认证密钥交换(AKE)，以及对Diffie-Hellman的替换。..。然而，NIST认为，在其最广泛使用的应用中，例如那些需要前向保密的应用中，Diffie-Hellman可以被任何具有高效密钥生成算法的安全KEM所取代。Diffie-Hellman的附加特性在某些应用程序中可能很有用，但NIST没有广泛接受的安全定义，它可以从Diffie-Hellman替换中捕获所有您可能想要的内容。

有一些后量子密钥交换，如丁键交换，这是向Kyber (per Kyber规范参考39)和早期NewHope密钥交换的设计迈出的重要一步。PQC的其他关键交换建议包括超分子等温线密钥交换(SIDH/SIKE)。

Answer 3

正如其他人所提到的，在基于格的密钥交换中，导出的秘密是双方贡献的函数。事实上，标准化的算法在实践中是非常“diffie -hellman样”的(设计范式被称为噪声diffie)。

然而，与标准diffie hellman有显著差异，即DH密钥交换形成了所谓的非交互式密钥交换(NIKE)。使用常见的基于格的设计范式进行这样的结构存在着很强的信息论障碍。特别是，一些已知的不可能的结果是使用(多项式-大)模q的构造.

有趣的是，昨天，一种新的基于晶格的KEM被提出了.，粗略地考虑了基于格型耐克的效率(通过接受需要q超多项式大的事实)。这就是说，如果你真的喜欢DH类型的方案，而基于格的版本对你来说还不够好，那么现在就有一个基于格的候选方案了:)