Разбираем байты постквантовой ML-KEM на примере «браузерного» TLS

[@jhoag]

атаковать завершившуюся аутентификацию из будущего не выйдет

Что, конечно, не касается RSA. Любопытно взглянуть на сравнение производительности TLS с и без ML-KEM.

[@vened]

Что, конечно, не касается RSA.

Тут речь вот о чём: сломав RSA, конечно, можно извлечь ключи, можно подделать подписи сервера; однако на уже случившуюся двадцать лет назад успешную аутентификацию TLS-сервера клиентом это же не повлияет - завершившаяся аутентификация не перестанет быть успешной, если таковой была.

Любопытно взглянуть на сравнение производительности

alex@garlic-crusher:~$ docker run -it openquantumsafe/oqs-ossl3 openssl speed X25519 mlkem768
[...]
                               keygen    encaps    decaps keygens/s  encaps/s  decaps/s
                     X25519 0.000036s 0.000082s 0.000041s   27909.2   12144.5   24412.5
                   mlkem768 0.000019s 0.000017s 0.000016s   53712.2   58722.1   63748.5

По браузерам сказать сложно, нужно измерять. Но ML-KEM, благодаря NTT-умножению, быстрый. В примере из реализации OQS (выше) ML-KEM существенно быстрее X25519, соответственно, падение производительности будет небольшим, так или иначе (даже если учитывать прирост размера ключей).

[@jhoag]

Здорово. Спасибо за бенчмарк.
Про RSA имел в виду взлом с расшифровкой перехваченного двадцать лет назад трафика. Или это тоже страшилки?

[@vened]

Записанный трафик вполне можно будет прочитать, да.