From 9b24de876d253f0c1fc8287445924fc2c643d1c9 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Thu, 29 May 2025 22:37:21 +0300
Subject: [PATCH] Noise hfs, PQNoise
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://github.com/noiseprotocol/noise_hfs_spec
https://eprint.iacr.org/2022/539
Откладывал я чтение PQNoise предложения. А тут вот обнаружил, что
PQNoise действительно буквально заменяет традиционные алгоритмы на PQ.
Причём KEM не может заменить DH -- его API иной. И они используют
статический ключевой материал в качестве random во время KEM операции,
позволяя как бы делать всякие ee/es/ss операции. Тако вот хак. И вот
как-то это мне не нравится всё -- типа уже ощутимое отхождение от очень
консервативных подходов классического Noise.

Но также я обнаружил и документ от самого создателя Noise, предлагающий
KEM-based hybrid forward secrecy. А вот это уже штука по мне: просто
навсего в handshake подмешивается передача эфемерных публичных ключей
KEM, и выполнение KEM операции, штатно подмешивая получающийся ключ к ck
state. Чисто гибридная криптография, где даже мне понятно, что она, как
минимум, не менее безопасна, чем чистый Noise.

Более того, github.com/katzenpost/noise Go библиотека содержит fork
github.com/flynn/noise, в котором как-раз и добавлен hfs cipher suite.
Но только с Kyber1024 вариантом. Заюзал в VoRS -- будет PQ-friendly.
-- 
2.51.0