Вот а итог ситуации:
Q1. Основная причина, по которой некоторые системы обмена ключами нельзя использовать со статическими ключами, заключается в следующем. атаки с выбранным зашифрованным текстом. Общая идея заключается в том, что вредоносные клиенты отправляют на сервер обработанные сообщения об обмене ключами, что позволяет им извлекать частичную информацию о статическом секретном ключе сервера при каждом таком запросе.
Возможно, наиболее известным примером являются атаки с использованием недействительной кривой на (плохо реализованную) ECDH: здесь злоумышленник отправляет точку в качестве своего открытого ключа, который на самом деле не находится на правильной кривой, а результат фиктивного обмена ключами затем приводит к утечке информации. о секретном ключе (например, о его остатке по модулю малого простого числа). Теперь в ECDH эту проблему можно решить с помощью проверка открытых ключей перед их обработкой при обмене ключами (например, проверьте, что данная точка лежит на намеченной кривой), поэтому в настоящее время считается ошибкой реализации, если эта уязвимость существует в криптографической библиотеке.
К сожалению, потенциальные утечки информации, подобные этой, существуют почти для всех парадигм, используемых для построения постквантового обмена ключами; см. например здесь или же здесь или же здесь (§2.4), и, что еще более печально, избегать этого вопроса, как правило, нет так же просто, как и для ECDH. Например, можно показать, что отличить обработанные ключи SIDH от честно сгенерированных ключей очень сложно. так сложно, как сломать схему (и я полагаю, что аналогичные аргументы будут работать для конструкций на основе решетки и кода, но я менее знаком с ними).
Обходной путь, используемый основными постквантовыми системами обмена ключами, заключается в следующем: Преобразование Фудзисаки — Окамото (или один из его вариантов). По сути, первое, что отправляет клиент, используя только что согласованный ключевой материал, это шифрование их секретного ключа который использовался для обмена ключами. Затем сервер повторно вычисляет открытый ключ, соответствующий этому секретному ключу, и немедленно прерывает соединение, если полученный открытый ключ не равен полученному от клиента ранее.Таким образом, поведение недобросовестного клиента одинаково во всех случаях: соединение обрывается, поэтому никакая информация не может быть извлечена. Очевидно, что хотя это и позволяет серверу использовать статическую пару ключей, клиенту по-прежнему необходимо каждый раз генерировать новую эфемерную пару ключей, потому что сервер узнает секрет.
Другими словами, примитив, полученный из преобразования FO, является CCA-защищенным. КЭМ.
Таким образом, ответ на ваш вопрос таков: ключи можно использовать повторно, если атаки с выбранным зашифрованным текстом невозможны, либо путем применения преобразования, подобного FO, либо путем рассуждения о том, что система невосприимчива.
Q2. CSIDH похож на ECDH тем, что может эффективно отличать действительные открытые ключи от недействительных (и несколько забавно, что процесс проверки почти идентичен для ECDH и CSIDH). Следовательно, манипулирование открытыми ключами не является проблемой, и мы можем использовать «ванильное» одностороннее групповое действие CSIDH со статическими ключами.
Напротив, все другие перечисленные вами схемы обмена ключами включают в себя некоторый вариант преобразования FO для обеспечения безопасности CCA, что подразумевает, что один сторона может использовать статическую пару ключей, а другая — нет. В общем, по умолчанию для любой криптосистемы следует исходить из того, что атаки с выбранным зашифрованным текстом представляют собой проблему, если только они не исключены.
