附录 B. 参数集安全性和大小 (Parameter Set Security and Sizes)
NIST 并未以典型方式使用不精确的安全位数概念定义量子算法强度, 而是通过选择一个参考方案来定义安全级别; 该参考方案预期可对量子攻击和经典攻击提供显著级别的抵抗能力.也就是说, 达到 NIST PQC 安全性的 KEM 算法, 在第 1, 3 和 5 级上, 攻破 IND-CCA 安全性所需的计算资源必须分别可比于或高于搜索 AES-128, AES-192 和 AES-256 密钥所需的计算资源.第 2 和第 4 级使用 SHA-256 和 SHA-384 的碰撞搜索作为参考.
+=======+===============+========+========+============+========+
| Level | Parameter Set | Encap. | Decap. | Ciphertext | Secret |
| | | Key | Key | | |
+=======+===============+========+========+============+========+
| 1 | ML-KEM-512 | 800 | 1632 | 768 | 32 |
+-------+---------------+--------+--------+------------+--------+
| 3 | ML-KEM-768 | 1184 | 2400 | 1088 | 32 |
+-------+---------------+--------+--------+------------+--------+
| 5 | ML-KEM-1024 | 1568 | 3168 | 1568 | 32 |
+-------+---------------+--------+--------+------------+--------+
表 1: NIST 安全级别, ML-KEM 参数集和以字节计的大小之间的映射.