跳到主要内容

附录 B. 参数集安全性和大小 (Parameter Set Security and Sizes)

NIST 并未使用 "bits of security" 这种不精确概念来定义量子算法强度, 而是通过选择参考方案来定义安全级别. 这些参考方案预期能够对量子攻击和经典攻击提供显著级别的抗性. 具体而言, 达到 NIST 后量子密码学 (Post-Quantum Cryptography, PQC) 安全性的 KEM 算法, 其破解 IND-CCA2 安全性所需的计算资源必须分别与针对 Level 1, 3 和 5 的 AES-128, AES-192 和 AES-256 密钥搜索所需资源相当或更多. Level 2 和 Level 4 使用针对 SHA-256 和 SHA-384 的碰撞搜索作为参考.

    +=============+=======+==========+==========+============+========+
| Parameter | Level | Encap. | Decap. | Ciphertext | Shared |
| Set | | Key Size | Key Size | Size | Secret |
| | | | | | Size |
+=============+=======+==========+==========+============+========+
| ML-KEM-512 | 1 | 800 | 1632 | 768 | 32 |
+-------------+-------+----------+----------+------------+--------+
| ML-KEM-768 | 3 | 1184 | 2400 | 1088 | 32 |
+-------------+-------+----------+----------+------------+--------+
| ML-KEM-1024 | 5 | 1568 | 3168 | 1568 | 32 |
+-------------+-------+----------+----------+------------+--------+

Table 2: ML-KEM parameter Sets, NIST Security Level, and Sizes
in Bytes