这篇 PDF 是对 lattice-based cryptography(基于格的密码学)的入门介绍,而它是 post-quantum cryptography(PQC,后量子密码学)里最重要的一条路线之一。评论里有人把重点放在 ML-KEM(NIST 标准化、源自 Kyber 的密钥封装机制)和 ML-DSA(源自 Dilithium 的数字签名方案)上,并给出多篇从多项式、线性代数到 NTT 的辅助读物。讨论还涉及 NTT(Number Theoretic Transform,数论变换)在实现中的位置:它主要提升性能,但会影响互操作和 wire format,所以不是可忽略的小技巧。另一个背景是量子计算威胁与现网部署,浏览器和 TLS 生态已经开始使用 X25519MLKEM768 这类 hybrid key agreement 来抵御 harvest-now-decrypt-later 攻击。
有人分享了按 spec 手工实现 ML-KEM(基于 Kyber 的 NIST 标准密钥封装机制)的经历,并把几篇补数学基础的文章当作“读懂公式”的捷径,包括多项式、线性代数和 NTT 的入门材料。另一条评论强调,NTT(Number Theoretic Transform,数论变换)主要是性能优化,作用有点像 RSA 里的 Montgomery form。概念上可以不用 NTT 直接实现 ML-KEM,只是会慢很多。更关键的是,真正的 wire format 会涉及 NTT 形式,所以想做到互操作时它并不只是可选加速器。
讨论很快从“这是什么”转到“现在要不要用”。有人说哪怕只是为了防未来的 cryptographically relevant quantum computers(CRQC),现在学习这些也值得;也有人补充,担心的不只是“量子机何时到来”,而是今天收集、未来解密的 harvest-now-decrypt-later 风险。评论里直接举了浏览器例子:Chrome 和 Firefox 已经默认支持 X25519MLKEM768 这种 hybrid key agreement。后续还指出,CRQC 会不会“很快”有争议,但“终究可能出现”并不算离谱,因此提前部署 PQC 有现实意义。
有评论把这篇入门重新拉回到大学数学/密码学的感觉上,认为 lattice-based cryptography 正是 post-quantum crypto 的核心内容之一,值得趁现在补课。另一个直觉是:lattice 和 error-correcting codes 看起来很接近,但在教材和讨论中往往被分开处理。评论者因此猜测两者之间也许存在更深的 reductions 或结构联系,只是还没有被像公理化那样清楚地整理出来。这个角度更偏研究味道,而不是工程实现。
除了 PDF 本身,评论也在互相补充更轻量的学习材料。有人推荐了一段很短的 Chalk Talk 视频,适合先建立直觉,再回头啃公式。还有人注意到这类较新的 LaTeX 排版风格会明显提高阅读意愿,让技术文档看起来不那么像“论文墙”。这说明对入门型密码学材料来说,内容深度之外,呈现方式也会直接影响理解成本。
ML-KEM: NIST 标准化的密钥封装机制,源自 Kyber,用于在后量子时代建立共享密钥。
NTT: Number Theoretic Transform(数论变换),常用于加速多项式乘法,在格密码实现中主要提升性能。
PQC: post-quantum cryptography(后量子密码学),旨在抵御量子计算机攻击的密码体系。
CRQC: cryptographically relevant quantum computer,指足以威胁现有公钥密码体系的量子计算机。
harvest-now-decrypt-later: 先把今天的加密流量收集起来,等未来有能力时再解密的攻击策略。
X25519MLKEM768: 一种 X25519 与 ML-KEM 结合的 hybrid key agreement,用于在现有协议中引入后量子保护。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。