9.1.3. Post-Quantum Security (Sicurezza post-quantistica)

9.1.3. Sicurezza post-quantistica

Tutti [CS01], [HPKEAnalysis] e [ABHKLR20] sono basati su modelli e ipotesi di sicurezza classici e non considerano avversari capaci di calcolo quantistico. Una prova completa di sicurezza post-quantistica dovrebbe tenere conto di modelli e ipotesi di sicurezza appropriati, oltre a utilizzare semplicemente un KEM post-quantistico. Tuttavia, i teoremi di composizione da [ABHKLR20] per la modalità Auth di HPKE fanno solo ipotesi standard (cioè nessuna ipotesi di oracolo casuale) che si prevede reggano contro avversari quantistici (sebbene con limiti leggermente peggiori). Pertanto, questi teoremi di composizione, in combinazione con un KEM autenticato post-quantistico sicuro, garantiscono la sicurezza post-quantistica della modalità Auth di HPKE.

In lavori futuri, l'analisi da [ABHKLR20] può essere estesa per coprire le altre modalità di HPKE e le proprietà di sicurezza desiderate. La proprietà di resistenza quantistica ibrida descritta sopra, che si ottiene utilizzando la modalità PSK o AuthPSK, non è provata in [HPKEAnalysis] perché questa analisi richiede il modello di oracolo casuale; in un contesto quantistico, questo modello necessita di adattamento, ad esempio, al modello di oracolo casuale quantistico.