Bugs happen: The easy way to compare solo PQ to ECC+PQ
8 days ago
- #Software Vulnerabilities
- #Post-Quantum Cryptography
- #ECC+PQ Security
- 建议采用ECC+PQ(混合)而非单独的PQ,因为单独的PQ会导致许多可利用的软件漏洞,引发即时的安全灾难。
- ML-KEM和ML-DSA的实现已经存在大量漏洞和时序泄漏问题(例如KyberSlash1、KyberSlash2),并且由于它们比ECC软件更新、测试更少,预计会出现更多漏洞。
- 即使PQ规范未被攻破,PQ库中的软件缺陷仍可能暴露密钥,而ECC层可以通过延迟攻击和限制损害来保护用户。
- 量子攻击最初将昂贵且规模有限,因此ECC提供额外保护,延迟攻击直至量子计算机普及且成本可负担。
- 在PQ自身成本面前,添加ECC的成本微不足道(例如,X25519仅增加32字节,而ML-KEM超过800字节),且部署实例(如Cloudflare)显示ECC+PQ已能无延迟运行。
- 支持单独PQ的人使用了有缺陷的论点,例如夸大复杂性或成本,并忽视了ECC在缓解软件漏洞和延迟量子攻击方面的价值。