Đây là một tóm tắt tình hình:
Q1. Lý do chính khiến một số hệ thống trao đổi khóa không thể sử dụng được với khóa tĩnh là tấn công bản mã được chọn. Chủ đề chung là các máy khách độc hại gửi các thông báo trao đổi khóa đã bị thao túng đến một máy chủ, cho phép chúng trích xuất một phần thông tin về khóa bí mật tĩnh của máy chủ với mỗi truy vấn như vậy.
Có lẽ ví dụ nổi tiếng nhất là các cuộc tấn công theo đường cong không hợp lệ trên ECDH (được triển khai kém): Tại đây, kẻ tấn công gửi một điểm làm khóa công khai của anh ta mà không thực sự nằm trên đường cong chính xác và kết quả của việc trao đổi khóa giả sau đó làm rò rỉ thông tin về khóa bí mật (chẳng hạn như phần dư của nó modulo một số nguyên tố nhỏ). Bây giờ trong ECDH, vấn đề này có thể được khắc phục bằng cách xác thực khóa công khai trước khi xử lý chúng trong một trao đổi khóa (ví dụ: kiểm tra xem điểm đã cho có nằm trên đường cong dự định hay không), do đó, ngày nay nó được coi là lỗi triển khai nếu lỗ hổng này tồn tại trong thư viện mật mã.
Thật không may, khả năng rò rỉ thông tin tương tự như thế này tồn tại đối với hầu hết các mô hình được sử dụng để xây dựng trao đổi khóa hậu lượng tử; xem ví dụ đây hoặc đây hoặc đây (§2.4), và thật không may, việc tránh vấn đề này nói chung là không phải dễ dàng như đối với ECDH. Ví dụ: người ta có thể chỉ ra rằng việc phân biệt các khóa SIDH bị thao túng với các khóa được tạo trung thực là khó như phá vỡ kế hoạch (và tôi cho rằng các đối số tương tự sẽ hoạt động đối với các cấu trúc dựa trên mạng và mã, nhưng tôi ít quen thuộc hơn với các cấu trúc đó).
Giải pháp thay thế được sử dụng bởi các hệ thống trao đổi khóa hậu lượng tử chính thống là Biến đổi FujisakiâOkamoto (hoặc một trong các biến thể của nó). Về cơ bản, điều đầu tiên mà khách hàng gửi bằng cách sử dụng tài liệu khóa mới được thương lượng là mã hóa khóa bí mật của họ đã được sử dụng để trao đổi khóa. Sau đó, máy chủ sẽ tính toán lại khóa chung tương ứng với khóa bí mật đó và nó sẽ ngay lập tức hủy kết nối nếu khóa chung kết quả không bằng khóa nhận được từ máy khách trước đó.Do đó, hành vi từ quan điểm của một khách hàng không trung thực là giống nhau trong mọi trường hợp—kết nối bị ngắt————do đó không thể trích xuất thông tin. Rõ ràng, trong khi điều này cho phép máy chủ sử dụng cặp khóa tĩnh, thì máy khách vẫn cần tạo một cặp khóa tạm thời mới mỗi lần vì máy chủ phải tìm hiểu bí mật.
Nói cách khác, giá trị gốc thu được từ phép biến đổi FO là giá trị bảo mật CCA KEM.
Tóm lại, câu trả lời cho câu hỏi của bạn là: Có thể sử dụng lại các khóa nếu không thể tấn công bản mã đã chọn, bằng cách áp dụng một biến đổi giống như FO hoặc bằng lý do khác rằng hệ thống không dễ bị ảnh hưởng.
Q2. CSIDH tương tự như ECDH ở chỗ nó có thể phân biệt một cách hiệu quả các khóa công khai hợp lệ và không hợp lệ (và hơi buồn cười, quy trình xác minh gần như giống hệt nhau đối với ECDH và CSIDH). Do đó, các khóa công khai bị thao túng không phải là vấn đề và chúng ta có thể sử dụng hành động nhóm một chiều "vanilla" CSIDH với các khóa tĩnh.
Ngược lại, tất cả các sơ đồ trao đổi khóa khác mà bạn đã liệt kê đều kết hợp một số biến thể của biến đổi FO để đạt được bảo mật CCA, điều này ngụ ý rằng một bên có thể sử dụng cặp khóa tĩnh, còn bên kia thì không. Nói chung, giả định mặc định đối với bất kỳ hệ thống mật mã nào là các cuộc tấn công vào bản mã được chọn là một vấn đề trừ khi chúng đã bị loại trừ.
