后量子密码技术在混合网中的分层加密

Question

我正在尝试使用后量子公钥密码实现一个混合网。在逐层删除加密层之前，每条消息最多可以被加密10层公钥。

这在RSA中传统上是可以实现的，因为密文仅比明文大，但在许多流行的后量子公钥密码系统(基于格型密码)中，例如NTRU，密文似乎比明文大一个数量级。因此，将一条消息封装在多个加密层是不可行的，因为密文不缩放。

是否有适合这一目的的量子后公钥交换方案？我看过开放式量子安全工程，但不确定那里的任何协议是否缓解了这个问题，还是已经足够成熟了。

Answer 1

我可以建议使用传统的混合密码技术来减少密文的增长吗？这是一种直接向前的方法，您不直接用公钥加密消息；相反，您选择一个随机对称(例如AES)密钥，用公钥加密对称密钥，然后使用对称密钥加密消息。

这样，消息扩展就是加密的对称密钥的大小(它是固定的，独立于消息大小)，以及由AES加密引起的消息扩展(它很小，可能是16个字节)。

如果我们估计一个加密的对称密钥大约是1K字节(NTRU大致是这样)，那么用10个公钥迭代这10次就会导致大约10千字节的扩展；当然是可以容忍的。

而且，这可以通过使用后量子对称加密(256位密钥)和后量子公钥加密算法(也就是说，我还没有为您解决这个问题)来完成。

Answer 2

加上一个答案，因为这是一个非常有趣的想法。在后量子密码实现方面的最新创新中，我们可以使用诸如纽霍普之类的解决方案来构造混合网。有趣的是，最近有一个关于使用格密码构造可验证和可审计的混合网的IACR研究出版物。