其实我的知识来自springer出版社的密码学入门,至于你说的一堆东西暂时没能理解透彻。之所以说PQC算法还没尘埃落定,学术权威会给所有人著书立传留下自己的大名。个人最喜欢的一本书:《Understanding Cryptography》Understanding Cryptography: A Textbook for Students and Practitioners | SpringerLink
还没来得及看比利时数学家 :Joan Daemen, Vincent Rijmen所著《 The Design of Rijndael》The Design of Rijndael: The Advanced Encryption Standard (AES) | SpringerLink 更详尽的介绍 AES算法。
而不是维基百科撰写的二手信息,当然图个新鲜快速也没什么问题毕竟搞ChatGPT那群家伙给了0.7的权重。
当年IBM提交了DES(Data Encryption Standard)草案,NSA(美国国安局)修改了IBM的草案,最终成为DES。外界不理解为何这样修改,直到二十年后发现了差分攻击,二十年后才知道NSA这样修改IBM草案是为了避免这个差分攻击,说明NSA还是领先了二十年。现在我觉得还是可以相信NSA的。一些密码学家建议把传统的加密方式ECC(椭圆曲线)结合Kyber,就是 Hybrid Mode,但是NSA认为光光Kyber就够了。NSA发表的 https://media.defense.gov/2022/Sep/07/2003071836/-1/-1/0/CSI_CNSA_2.0_FAQ_.PDF 明确了态度:
Q: What is NSA’s position on the use of hybrid solutions?
A: NSA has confidence in CNSA 2.0 algorithms and will not require NSS developers to use hybrid certified products for security purposes.
根据之前NSA修改IBM草案并发布DES的例子,NSA至少领先二十年,提前预测了针对IBM草案的差分攻击,NSA修改过的DES免疫这个差分攻击(NSA后来回应,由于保密协议不能公开差分攻击,2013年斯诺登违反保密协议公开了棱镜计划)。看来直接使用Kyber足矣,无需使用Hybrid Mode。
那是HMAC,pqt后续更新内容主要是 oilel/pqt 重大变化,包括换成MIT许可证 换成MIT许可证,暂时无法保证兼容32位平台(我手头也没有32位CPU),建议用64位平台。既然是HMAC消息验证码,那么有已知明文攻击的可能,GFW可能把已知的敏感网站域名hash一下,若明文发送HMAC(消息验证码),只要对照已知敏感网站域名的hash就知道是否访问敏感网站;或者不看域名,看发送什么数据。因此HMAC也要加密。已知明文攻击要防范的,不得不加密 @sd222