https://github.com/noiseprotocol/noise_hfs_spec
https://eprint.iacr.org/2022/539
Откладывал я чтение PQNoise предложения. А тут вот обнаружил, что
PQNoise действительно буквально заменяет традиционные алгоритмы на PQ.
Причём KEM не может заменить DH -- его API иной. И они используют
статический ключевой материал в качестве random во время KEM операции,
позволяя как бы делать всякие ee/es/ss операции. Тако вот хак. И вот
как-то это мне не нравится всё -- типа уже ощутимое отхождение от очень
консервативных подходов классического Noise.
Но также я обнаружил и документ от самого создателя Noise, предлагающий
KEM-based hybrid forward secrecy. А вот это уже штука по мне: просто
навсего в handshake подмешивается передача эфемерных публичных ключей
KEM, и выполнение KEM операции, штатно подмешивая получающийся ключ к ck
state. Чисто гибридная криптография, где даже мне понятно, что она, как
минимум, не менее безопасна, чем чистый Noise.
Более того, github.com/katzenpost/noise Go библиотека содержит fork
github.com/flynn/noise, в котором как-раз и добавлен hfs cipher suite.
Но только с Kyber1024 вариантом. Заюзал в VoRS -- будет PQ-friendly.