後量子密碼學不僅僅是數學——它是一個硬體戰場。 SIMD 向量化劃分了一條明確的界線：某些方案可擴展，其他則停滯不前。 根據 @PrivacyScaling 的說法，CPU 架構如何影響 PQC 性能。🧵

@PrivacyScaling 後量子密碼學 (PQC) 需要效率和韌性。基於格的方案在這個領域中佔主導地位，因為它們與現代 CPU 優化，特別是 SIMD 向量化，具有結構上的兼容性。

@PrivacyScaling 向量化—SIMD（單指令，多數據）—使 CPU 能夠同時對多個數據點應用單一操作。這對於加速基於格的密碼學中的多項式運算至關重要。

@PrivacyScaling Lattice schemes 將加密操作表達為多項式環上的矩陣-向量乘法，例如 ℤ[x]/(xⁿ + 1)。這些可以通過數論變換（NTT）進行轉換，將複雜度從 O(n²) 降低到 O(n log n)。

@PrivacyScaling 多項式的加法、乘法和NTT都可以向量化。例如，可以使用256位寄存器和16位通道在兩條AVX2指令中處理64個係數。

@PrivacyScaling 基於同態的方案，則抵抗向量化。它們的核心原語——計算橢圓曲線之間的同態——無法分解為 SIMD 可並行化的結構。

@PrivacyScaling 基於同源性的加密學中的優化受到傳統橢圓曲線加密的啟發，包括蒙哥馬利約簡和反演、愛德華曲線，以及如基數-2²⁹表示法等域算術技術。

@PrivacyScaling 不過，在橢圓曲線運算中，SIMD 的增益是有限的——通常最多只有 9 條通道，而在格運算中則有 64 條以上。因此，格密碼學提供了更大的並行性和吞吐量。

@PrivacyScaling 性能偏向於格。儘管基於同態的方案仍然提供緊湊的密鑰/簽名大小。像 SQIsign 這樣的方案通過不揭示點影像來避免已知攻擊（例如，Castryck-Decru）。

@PrivacyScaling 判決：基於格的密碼學今天更適合用於 CPU 層級的優化。但性能與緊湊性之間的權衡為多種後量子密碼學（PQC）範式和採用路徑留出了空間。

@PrivacyScaling 隨著標準化的進展，硬體感知的加密設計將發揮關鍵作用。持續的基準測試和實施分析將決定現實世界的情況。