Iată A rezumatul situatiei:
Î1. Motivul principal pentru care unele sisteme de schimb de chei nu pot fi utilizate cu chei statice este atacuri alese-text cifrat. Tema generală este că clienții rău intenționați trimit mesaje manipulate de schimb de chei către un server, ceea ce le permite să extragă informații parțiale despre cheia secretă statică a serverului cu fiecare astfel de interogare.
Poate că cel mai cunoscut exemplu sunt atacurile cu curbe invalide asupra ECDH (prost implementat): aici, atacatorul trimite un punct ca cheie publică care nu se află de fapt pe curba corectă, iar rezultatul schimbului de chei false apoi scurge informații. despre cheia secretă (cum ar fi reziduul său modulo un prim mic). Acum, în ECDH, această problemă poate fi rezolvată de validarea cheilor publice înainte de a le procesa într-un schimb de chei (de exemplu, verificați dacă punctul dat se află pe curba intenționată), prin urmare, în prezent este considerat un bug de implementare dacă această vulnerabilitate există într-o bibliotecă criptografică.
Din păcate, potenţiale scurgeri de informaţii similare cu aceasta există pentru aproape toate paradigmele utilizate pentru a construi schimburi de chei post-cuantice; vezi de exemplu Aici sau Aici sau Aici (§2.4) și chiar mai mult, din păcate, evitarea acestei probleme este în general nu pe cât de ușor este pentru ECDH. De exemplu, se poate arăta că distingerea cheilor SIDH manipulate de cele generate sincer este la fel de greu ca să rupă schema (și presupun că argumente similare ar funcționa pentru construcții bazate pe zăbrele și cod, dar sunt mai puțin familiar cu acestea).
Soluția de soluționare utilizată de sistemele de schimb de chei post-cuantice tradiționale este Transformarea FujisakiâOkamoto (sau una dintre variantele sale). Practic, primul lucru pe care clientul îl trimite folosind materialul cheie proaspăt negociat este o criptare a cheii lor secrete care a fost folosit pentru schimbul de chei. Serverul recalculează apoi cheia publică corespunzătoare acelei chei secrete și anulează imediat conexiunea dacă cheia publică rezultată nu este egală cu cea primită de la client mai devreme.Prin urmare, comportamentul din perspectiva unui client necinstit este același în toate cazurile – conexiunea întrerupe – astfel încât nicio informație nu poate fi extrasă. Evident, deși acest lucru permite serverului să utilizeze o pereche de chei statică, clientul trebuie să genereze o nouă pereche de chei efemeră de fiecare dată, deoarece serverul ajunge să învețe secretul.
Cu alte cuvinte, primitivul obținut din transformarea FO este un CCA-secure KEM.
În rezumat, răspunsul la întrebarea dvs. este: cheile pot fi reutilizate dacă nu sunt posibile atacuri ale textului cifrat, fie prin aplicarea unei transformări asemănătoare FO, fie raționând altfel că sistemul nu este susceptibil.
Q2. CSIDH este similar cu ECDH prin aceea că poate sa distinge eficient cheile publice valide de cele invalide (și oarecum amuzant, procesul de verificare este aproape identic pentru ECDH și CSIDH). Prin urmare, cheile publice manipulate nu reprezintă o problemă și putem folosi acțiunea de grup unidirecțională CSIDH „vanilată” cu chei statice.
În schimb, toate celelalte scheme de schimb de chei pe care le-ați enumerat încorporează o variantă a transformării FO pentru a obține securitatea CCA, ceea ce implică faptul că unu partea poate folosi o pereche de taste statică, dar cealaltă nu poate. În general, presupunerea implicită pentru orice sistem cripto ar trebui să fie că atacurile cu text cifrat ales reprezintă o problemă, dacă nu au fost excluse.
