http://blog.cr.yp.to/
20251004-weakened.html
Согласен с ним: не имеет смысла не оставлять традиционные алгоритмы при
использовании пост-квантовых. В контексте KEM-ов. Оставлять только PQ,
банально даже временем не проверенные, чтобы потом внезапно оказалось
как с SIKE? Это буквально саботаж. А влияние АНБ, NIST велико, особенно
в насквозь коррумпированной стране.
А вот SLH-DSA/SPHINCS+ для подписи вполне себе можно использовать, даже
нужно. Там безопасность, так сказать, очевидна, как и бесполезность
"траидиционных" алгоритмов.