Understanding lattice risks: Many differences between marketing and reality
12 days ago
- #cryptography
- #post-quantum
- #risk-analysis
- 文本批评了单独使用ML-KEM而非ECC+ML-KEM的辩护理由,指出了多个缺陷,包括将风险分析狭隘地局限于“已知”密码分析、忽略如定时攻击(例如KyberSlash)等软件漏洞,以及排除像归约的紧密性差距等问题。
- 它强调了术语误用,例如“密码分析”排除软件漏洞、“模块结构”忽视其他攻击面、“秩≥2”忽略理想格攻击,同时指出关于“无已知攻击优于通用格归约”的说法已被最新研究反驳。
- 作者认为,格问题的最坏情况到平均情况的归约是渐近的,与当前参数无关,而RSA和ECDLP也存在类似归约,并强调需要ECC+PQ作为抗PQ失效的安全层,同时批评IETF在标准化投票程序上的处理不当。