问后量子算法与侧信道攻击

EN

为什么经典的密码分析方法-algebraic，数学攻击等-比后量子算法更有效的经典算法？

我觉得这对一些优秀的数学工作来说有点不公平。诸如饱和和筛分等格子算法的最新进展(例如，见Alberecht等人"格网约简中的通用筛核与新记录“)；使用非线性方程求解恢复Goppa结构(见Faugere等人”紧凑型密钥McEliece格式的结构密码分析“)和最近在UOV MVQ系统(见Buellens "UOV和彩虹密码分析的改进")方面的工作表明，”经典“密码分析在分析这些算法中具有很强的作用。

后量子算法是否有任何特性，使它们更容易受到侧通道攻击？

某些后量子算法(特别是带有错误问题的基于格的学习)固有的噪声。这导致在解密过程中包含一定可容忍的故障率的设计，必须确保该设计不会导致密钥信息的泄漏。特别是，如果主动攻击者可能导致解密失败，这可能会导致密钥泄漏(早期工作请参阅Proos "不完全解密与NTRU加密方案的攻击“)。同样，对于格签名，在选择短暂的“噪声”时必须非常小心，以免聚合签名泄露签名的关键信息(例如，参见Ducas "格子签名与双峰高斯s“)。基于代码的自行车提案也有一个解密过程，可能失败，并需要采取类似的注意。这些特性可以与侧通道方法紧密结合。

我注意到几乎所有的第三方密码分析文件都是侧通道攻击。

当然，也有一些论文研究了这些后量子算法的强度，以及它们所基于的困难问题的难度--在这一点上，它们可能是少数。

问题的一部分是可发表性；目前，大多数密码分析结果都是否定的，人们通常不会写“我尝试过这种攻击，但失败了”的论文。另一方面，如果您尝试对一个不是为防止侧通道而构建的实现进行侧通道攻击，您通常会发现一些东西。

后量子算法是否有任何特性，使它们更容易受到侧通道攻击？

你有一点最近的偏见--如果你看20年前的文献，有很多论文讨论对RSA和AES的侧通道攻击。