La cryptographie post-quantique n'est pas seulement une question de mathématiques, c'est un champ de bataille matériel. La vectorisation SIMD trace une ligne nette : certains schémas évoluent, d'autres stagnent. Voici comment, selon @PrivacyScaling, l'architecture CPU façonne la performance de la cryptographie post-quantique. 🧵

@PrivacyScaling La cryptographie post-quantique (PQC) exige efficacité et résilience. Les schémas basés sur des réseaux dominent cet espace en raison de leur compatibilité structurelle avec les optimisations modernes des CPU, en particulier la vectorisation SIMD.

@PrivacyScaling La vectorisation—SIMD (Single Instruction, Multiple Data)—permet aux CPU d'appliquer une seule opération à plusieurs points de données simultanément. Cela est central pour accélérer les opérations polynomiales dans la cryptographie basée sur les réseaux.

@PrivacyScaling Les schémas de Lattice expriment les opérations cryptographiques comme des multiplications matrice-vecteur sur des anneaux polynomiaux tels que ℤ[x]/(xⁿ + 1). Ceux-ci peuvent être transformés en utilisant la Transformée Numérique Théorique (NTT), réduisant la complexité de O(n²) à O(n log n).

@PrivacyScaling L'addition polynomiale, la multiplication et la NTT peuvent toutes être vectorisées. Par exemple, 64 coefficients peuvent être traités en deux instructions AVX2 en utilisant des registres de 256 bits avec des lanes de 16 bits.

@PrivacyScaling Les schémas basés sur l'isogénie, en revanche, résistent à la vectorisation. Leur primitive de base—le calcul des isogénies entre courbes elliptiques—ne se décompose pas en structures parallélisables SIMD.

@PrivacyScaling Les optimisations dans la cryptographie basée sur l'isogénie s'inspirent de la cryptographie traditionnelle par courbe elliptique, y compris la réduction et l'inversion de Montgomery, les courbes d'Edwards, et des techniques d'arithmétique de champ telles que la représentation en radix-2²⁹.

@PrivacyScaling Cependant, les gains SIMD sont limités dans les opérations sur les courbes elliptiques—généralement jusqu'à 9 voies contre 64+ dans les opérations de réseau. Ainsi, la cryptographie par réseau offre un plus grand parallélisme et un meilleur débit.

@PrivacyScaling La performance privilégie les réseaux. Pourtant, les schémas basés sur l'isogénie offrent toujours des tailles de clés/signatures compactes. Des schémas comme SQIsign évitent les attaques connues (par exemple, Castryck-Decru) en ne révélant pas les images des points.

@PrivacyScaling Verdict : la cryptographie basée sur des réseaux est mieux adaptée aux optimisations au niveau du CPU aujourd'hui. Mais les compromis—performance contre compacité—laissent place à plusieurs paradigmes de cryptographie post-quantique et voies d'adoption.

@PrivacyScaling À mesure que la normalisation progresse, la conception cryptographique consciente du matériel jouera un rôle crucial. L'analyse continue des benchmarks et des mises en œuvre déterminera le monde réel.