Această întrebare este potențial relevantă pentru standardele de criptografie post-cuantică NIST, care implică criptosisteme bazate pe cod, cum ar fi McEliece, BIKE și HQC.
Pentru aceste criptosisteme, se pare că un atacator poate folosi o strategie de „decodare a unuia din multe” așa cum este descris Aici pentru a decripta unul dintr-o listă de $n$ texte cifrate, pentru un cost de aproximativ $\sqrt{n}$ ori mai mic decât costul atacului unui singur text cifrat.
nu cred definiția de securitate dată în NIST CFP acoperă în mod explicit acest scenariu. Cu toate acestea, se pare că ești îngrijorat $2^{64}$ interogări de decriptare de la un adversar CCA, pare rezonabil să vă faceți griji $2^{64}$ texte cifrate țintă.
Cât de îngrijorat ar trebui să fie cineva de acest lucru? De câtă siguranță aveți nevoie împotriva unor astfel de atacuri?
(Rețineți că lucrarea de mai sus este citată în specificațiile BIKE și HQC, dar numai în contextul evaluării pierderilor de securitate din cauza utilizării matricelor cvasiciclice, nu în contextul evaluării pierderii de securitate din cauza mai multor texte cifrate. Lucrarea este citată de către Classic McEliece în sensul unui atac multicifrat.)
Această întrebare este postată încrucișat pe Forumul PQC.
