NTRU提供完美的前向保密吗？

Question

如果世界将其用于HTTPS连接，NTRU是否提供了完美的前向保密？

Answer 1

正确地说，前向保密是协议的一种属性。如果长期密钥的妥协不允许攻击者破译任何过去的通信，则该协议是向前保密的。

(有时会对此和完美的前向保密进行区分，后者是安全的，攻击者也知道其他所有会话密钥。)

您可以构建密钥交换协议，该协议从任何经过身份验证的公钥加密(包括NTRU)中提供前向保密：

1. 假设双方已经交换了长期钥匙。
2. A生成一个短暂的密钥对，并使用长期密钥进行身份验证，将公钥发送给B。
3. B生成会话密钥，对A的临时密钥进行加密，并将其发送给A。
4. 在解密会话密钥后，删除短暂密钥对。

但是，如果您的意思是在前面的答案中链接的旧议定书草案 i，那么，不。除非我遗漏了什么，那个协议只是使用长期密钥来加密一个随机的秘密。这并没有提供向前保密的规定。

Answer 2

对于NTRU的量子后安全(如果您认为NTRU是安全的)，有一种非常简单的方法来获得完美的前向保密。然而，这需要两次信息交流。

在Exchange 1期间，双方都生成和交换短暂的NTRU密钥。

在Exchange 2期间，双方都生成随机数，并使用另一方的临时公钥加密它们的随机数，并将结果密码发送到另一方。

然后，每一方解密接收到的消息，从而产生另一方的随机数。他们将随机数相加或加到一起，产生了一个具有完美的前向保密和量子安全的共享密钥。

因此，您可以使用NTRU获得PFS，但代价是额外的交换。其他的后量子算法，如Peikert的环形LWE方案或Defeo的超等元算法，都可以在一次交换中实现量子安全性和PFS。

Answer 3

是。我不知道为什么别人会说“不”。前向保密通常是通过为每个连接创建短暂的密钥来完成的。因此，您只需为每个连接设置一个不同的NTRU键区。

另一个相关的问题是“NTRU键盘生成的速度有多快？”由于前向保密需要频繁地创建临时密钥，这应该是一种有效的操作。根据一个基准的说法，一些参数集在现代的4核i5处理器上每秒生成大约7000个键盘。那似乎足够快了。