Этот вопрос потенциально имеет отношение к стандартам постквантовой криптографии NIST, включая криптосистемы на основе кода, такие как McEliece, BIKE и HQC.
Для этих криптосистем кажется, что злоумышленник может использовать стратегию «декодирования одного из многих», как описано здесь расшифровать один из списка $n$ шифротекстов по цене около $\sqrt{n}$ раз меньше, чем стоимость атаки одного шифротекста.
я не думаю определение безопасности, данное в NIST CFP явно охватывает этот сценарий. Тем не менее, кажется, что если вы беспокоитесь о $2^{64}$ запросы расшифровки от противника CCA, кажется разумным беспокоиться о $2^{64}$ целевые шифротексты.
Насколько следует беспокоиться по этому поводу? Насколько необходима защита от подобных атак?
(Обратите внимание, что приведенная выше статья цитируется в спецификациях BIKE и HQC, но только в контексте оценки потери безопасности из-за использования квазициклических матриц, а не в контексте оценки потери безопасности из-за множественных зашифрованных текстов. классическим МакЭлисом в смысле атаки с использованием нескольких зашифрованных текстов.)
Этот вопрос размещен на Форум ПКК.
