什么是后量子密码技术替代Diffie-Hellman？

Question

后量子密码学专注于在大规模量子计算机面前保持安全的密码算法。总的来说，主要关注的似乎是公钥加密算法和公钥签名算法，但是还有许多其他的构造，比如哈希、块密码等等--但是快速浏览一下，我没有发现任何密钥协议算法。

今天的大多数交互通信都集中在通过Diffie-Hellman的密钥协议和认证之上--目标是建立一个“安全通道”。一些方案使用签名进行不可否认的身份验证，但许多方案使用Diffie-Hellman进行不可否认的身份验证。密钥协议有许多协议，具有不同的安全特性，它们大多是以复杂的方式使用Diffie-Hellman，并且依赖于DDH或CDH的安全性假设。作为协议的一个例子，我指的是牦牛和杰-帕凯。

现在，我的问题是，建立一个安全通道的后量子密码学的答案是什么？或者，特别是匿名密钥协议、认证密钥协议和密码认证密钥协议？

所有不同的后量子密码系统似乎都有一些很大的缺点--大签名、大公钥、大处理要求等等--所以我想知道哪一个能为密钥协议提供最好的折衷？

一般来说，似乎任何公钥加密算法都可以很容易地用于密钥协议--但是，对于某些后量子密码算法的密钥协议，有什么具体的建议吗？它们提供了哪些属性，如PFS、UKS、KCI、可否认性等？简单地对接收者公钥加密随机密钥并不能实现前向保密，除非接收者公钥是短暂的(每次随机生成)。如果它是短暂的，那么问题就变成了如何将一些身份验证与短暂的密钥协议联系在一起，对于这个协议，没有明显的最佳方法，只有一些折衷。

我知道后量子密码学还没有准备好用于一般用途，而且原语还没有足够的安全性或标准化程度，无法在现实世界中使用这类协议，但我觉得应该在这个问题上做更多的初步工作。如果你不同意，也请告诉我！

Answer 1

对于经过身份验证/相互验证的密钥交换，您可以使用TLS的这一部分。TLS需要公钥加密和密钥交换的密钥派生功能(如果有必要，还需要PKI的签名算法)。有许多后量子加密功能和KDF通常是基于散列或MACs，这也是后量子。有一个用于TLS的RFC草案，它使用NTRU加密和签名(他们称之为NTRU_NSS)。所提供的安全性是非常基本的(没有PFS或高级属性)。

我希望在更先进的交换协议上有一些工作，并期待着其他答案。

Answer 2

回答我自己。

在后量子密码学中，现在有一个非常类似于Diffie-Hellman的替代方案：从超椭圆曲线等元到量子抗密码体制。

研究论文是非常新的，但如果结果是安全的，这是一个非常有竞争力的后量子密码体制的密钥协商方案。

Answer 3

您可以使用非对称加密完成密钥协商。任何非对称加密算法(后量子加密算法或非非对称加密算法)都可以用于密钥协商:只需选择一个随机密钥并对其进行加密。

密码认证密钥交换看起来更难，因为它不能应用于任何密钥交换或非对称加密方案。IPAKE框架可以应用于任何“陷门硬反转群同构”，但在NTRU或McEliece上的应用似乎并不是即时的。