我们需要对称密码系统吗？

Question

今天我在密码考试中必须回答的一个问题是：

我们需要对称密码系统吗？

就目前情况而言，这可能是一个值得商榷的问题，因此我想将其重新表述为：

是否存在对称密码系统在没有严重缺点的情况下不能被非对称密码系统取代的情况？

在这里，我没有考虑与性能相关的问题；相反，我正在寻找在不对称模型中不可能实现的东西，或者至少需要极其复杂或昂贵的实现。

我很想听到任何答案，因为我的老师似乎暗示我遗漏了什么，但他不愿说什么(这是口头考试)。

这是我个人的想法和答案：

我倾向于说对称密码并不是绝对必要的，因为：

• 对于两方通信，使用两个非对称密钥对就足以在没有对称密码的情况下完成任务。
• 一般化为广播或两方以上的通信，发送者需要为所有接收者提供密钥，但这应该足够了。
• 签名应该能够模仿MAC (要求每个共享MAC密钥的组成员现在都需要每个组成员的公钥)
• 对于个人使用的数据加密(一方)，不对称加密应该是可以的。

在没有可信方的情况下，我能想到的唯一困难是公钥的分配:在设计的环境中，Alice可以安全地向Bob发送数据，但Bob不能安全地回复，Alice可以发送对称密钥用于随后的交换，而在完全不对称的情况下，Bob无法可靠地将他的公钥发送给Alice。但这听起来像是一个有些人为的例子，我毫不怀疑它们是规避这个问题的好方法(例如，Alice可以为Bob生成一个密钥对，并将其发送给他)。

我能想到的其他弱点是加密和解密速度，以及对假想的量子计算机的抵抗，因为当前的对称系统只需要将密钥长度加倍以保持安全性，而基于保理的非对称系统则会屈服。但是，我们又有了基于格的密码学，所以这并不是需要对称系统的确切原因。

Answer 1

是的，出于许多原因，我们需要对称密码系统；要给出其中的三个：

1. 我们需要一个哈希函数来保证大多数非对称密码系统的安全性(例如，我们根本没有一个基于RSA的安全签名系统，没有哈希)，而当前的哈希函数是(或由)对称密码系统构建的。
2. 所有非对称加密密码系统都必须输出比明文更大的密文，而且在某些情况下，这是一个主要缺点(例如，批量磁盘加密)。
3. 我们现有的最好的非对称加密密码系统是比最先进的对称加密系统慢/更耗能的数量级；如果我们想要通过使用巨大的参数来最小化密文扩展率，那么这种情况就会严重恶化。

注意:第1点看起来足以证明我的断言，但它在某种程度上是有争议的:也许在这个问题中，我们只想要大局，而忽略了现有的所有非对称密码系统的对称内部；和/或也许我们可以设计基于非对称的散列(尽管它们将是变相的对称密码系统)。

另外:如果没有3，我们可以和2一起生活，这最终是真正的杀手。