filippo о PQ криптографии. PQ NIKE

https://words.filippo.io/crqc-timeline/
https://habr.com/ru/articles/1020444/
http://blog.cr.yp.to/20260405-votes.html
https://github.com/katzenpost/hpqc
https://ctidh.isogeny.org/
https://csidh.isogeny.org/
Автор age считает, что PQ уже наверняка не за горами и поэтому вообще
уже надо бы избавляться от традиционных асимметричных алгоритмов.

Я, как и большинство в CFRG рассылках, не согласны с тем, что надо
избавляться от гибридной криптографии. Да, традиционные алгоритмы
превращаются в тыкву с появлением квантовых компьютеров. Гибридные
из-за этого тоже становятся не нужны. Но они то "защищают" нас от
возможных провалов с реализациями именно пост-квантовых алгоритмов!
За последние года как-раз такие случаи уже были. Гибриды защищают в
том случае, если PQ (реализации, как минимум) обосрались, а квантовых
компьютеров ещё не сделали.

Со всякими *25519 -- это дёшево. Кто-то говорит, что Kyber даже быстрее
чем 25519 работает, поэтому относительно стоимость Kyber это не дёшево.
Но зашибись: вот раньше мы даже RSA использовали и как-то справлялись
мощностями, а теперь не может позволить уже и лишнее (если квантовые
появятся) 25519 сделать? И многие приводят аргумент: нужно думать не про
CPU, а про трафик, где на фоне Kyber-а 25519 выглядит как пылинка. В
общем, не согласен я тут с filippo совсем. Как и большинство, по
подсчётам DJB.

Но обратил внимание на его заявление, что нам пока придётся забыть про
NIKE, которых нет для PQ. Я точною помню, что когда возился с KEKS/CM,
то, действительно, обнаружил сей неприятный факт. Из-за чего
аутентифицированное шифрование для cm/encrypted делается только на
традиционном алгоритме (только часть связанная с аутентификацией). Решил
снова посмотреть: так ли всё плохо?

Невероятно (5aec058069c1d03823bd7eb9b4abacaf151b39ec), но поисковик меня
вывел на hpqc репозиторий, про который давно знал, где есть PQ NIKE
алгоритм. А именно CTIDH. В создании которого, а также CSIDH, принимали
участие и Tanja Lange и DJB. Где они как-раз и отмечают их возможность
использования для static<->static ключевого обмена, нужного для NIKE.
Надо будет ещё побольше почитать, но, похоже, что именно это я и добавлю
в KEKS/CM, закрывая проблему аутентифицированного шифрования в PQ мире.
filippo, видимо, говорил про отсутствие стандартизованных NIST-ом
решений. На что мне, чем дальше, тем больше совершенно насрать.
    [оставить комментарий]