Kryptografia postkwantowa to nie tylko matematyka— to pole bitwy sprzętowej. Wektoryzacja SIMD wyznacza wyraźną granicę: niektóre schematy skalują się, inne utknęły w martwym punkcie. Oto jak, według @PrivacyScaling, architektura CPU kształtuje wydajność PQC. 🧵

@PrivacyScaling Kryptografia postkwantowa (PQC) wymaga efektywności i odporności. Schematy oparte na siatkach dominują w tej dziedzinie dzięki swojej strukturalnej kompatybilności z nowoczesnymi optymalizacjami CPU, szczególnie wektoryzacją SIMD.

@PrivacyScaling Wektoryzacja—SIMD (Jedna Instrukcja, Wiele Danych)—umożliwia procesorom CPU zastosowanie jednej operacji do wielu punktów danych jednocześnie. To jest kluczowe dla przyspieszenia operacji wielomianowych w kryptografii opartej na kratkach.

Schematy Lattice @PrivacyScaling wyrażają operacje kryptograficzne jako mnożenia macierzy przez wektory w pierścieniach wielomianowych, takich jak ℤ[x]/(xⁿ + 1). Można je przekształcić za pomocą Transformacji Teoretycznej Liczby (NTT), co redukuje złożoność z O(n²) do O(n log n).

@PrivacyScaling Dodawanie wielomianów, mnożenie i NTT mogą być wektoryzowane. Na przykład, 64 współczynniki mogą być przetwarzane w dwóch instrukcjach AVX2 przy użyciu rejestrów 256-bitowych z 16-bitowymi pasmami.

Schematy oparte na izogenii, w przeciwieństwie do tego, opierają się na wektoryzacji. Ich podstawowy element—obliczanie izogenii między krzywymi eliptycznymi—nie rozkłada się na struktury możliwe do równoległego przetwarzania SIMD.

@PrivacyScaling Optymalizacje w kryptografii opartej na izogenii czerpią inspirację z tradycyjnej kryptografii krzywych eliptycznych, w tym redukcji Montgomery'ego i inwersji, krzywych Edwardsa oraz technik arytmetyki pól, takich jak reprezentacja radix-2²⁹.

@PrivacyScaling Jednakże zyski SIMD są ograniczone w operacjach na krzywych eliptycznych — zazwyczaj do 9 ścieżek w porównaniu do 64+ w operacjach na siatkach. W związku z tym kryptografia siatkowa zapewnia większy poziom równoległości i przepustowości.

@PrivacyScaling Wydajność sprzyja siatkom. Niemniej jednak schematy oparte na izogenii nadal oferują kompaktowe rozmiary kluczy/podpisów. Schematy takie jak SQIsign unikają znanych ataków (np. Castryck-Decru) poprzez niewyjawianie obrazów punktów.

@PrivacyScaling Werdykt: kryptografia oparta na siatkach jest lepiej dostosowana do optymalizacji na poziomie CPU dzisiaj. Jednak kompromisy — wydajność vs. kompaktowość — pozostawiają miejsce na wiele paradygmatów PQC i ścieżek adopcji.

@PrivacyScaling W miarę postępu standaryzacji, projektowanie kryptograficzne uwzględniające sprzęt odegra kluczową rolę. Kontynuowane testy porównawcze i analiza wdrożeń określą rzeczywiste zastosowanie.