La crittografia post-quantistica non è solo matematica: è un campo di battaglia hardware. La vettorizzazione SIMD traccia una linea netta: alcuni schemi scalano, altri si bloccano. Ecco come, secondo @PrivacyScaling, l'architettura della CPU influisce sulle prestazioni della PQC. 🧵

@PrivacyScaling La crittografia post-quantistica (PQC) richiede efficienza e resilienza. Gli schemi basati su reticoli dominano questo campo grazie alla loro compatibilità strutturale con le ottimizzazioni moderne delle CPU, in particolare la vettorizzazione SIMD.

@PrivacyScaling La vettorizzazione—SIMD (Single Instruction, Multiple Data)—consente alle CPU di applicare un'unica operazione a più punti dati simultaneamente. Questo è fondamentale per accelerare le operazioni polinomiali nella crittografia basata su reticoli.

@PrivacyScaling Gli schemi Lattice esprimono operazioni crittografiche come moltiplicazioni matrice-vettore su anelli polinomiali come ℤ[x]/(xⁿ + 1). Questi possono essere trasformati utilizzando la Trasformata Teorica dei Numeri (NTT), riducendo la complessità da O(n²) a O(n log n).

@PrivacyScaling L'addizione polinomiale, la moltiplicazione e l'NTT possono essere tutte vettorizzate. Ad esempio, 64 coefficienti possono essere elaborati in due istruzioni AVX2 utilizzando registri a 256 bit con corsie a 16 bit.

@PrivacyScaling Gli schemi basati su isogenia, al contrario, resistono alla vettorizzazione. Il loro primitivo fondamentale—il calcolo delle isogenie tra curve ellittiche—non si decompone in strutture parallelizzabili SIMD.

@PrivacyScaling Le ottimizzazioni nella crittografia basata su isogenia traggono ispirazione dalla crittografia tradizionale a curva ellittica, inclusi la riduzione e l'inversione di Montgomery, le curve di Edwards e tecniche di aritmetica nei campi come la rappresentazione radix-2²⁹.

@PrivacyScaling Tuttavia, i guadagni SIMD sono limitati nelle operazioni su curve ellittiche—di solito fino a 9 corsie contro 64+ nelle operazioni su reticoli. Pertanto, la crittografia a reticolo offre maggiore parallelismo e throughput.

@PrivacyScaling Le prestazioni favoriscono le reticoli. Tuttavia, gli schemi basati su isogenie offrono ancora dimensioni di chiave/firma compatte. Schemi come SQIsign evitano attacchi noti (ad es., Castryck-Decru) non rivelando le immagini dei punti.

@PrivacyScaling Verdicto: la crittografia basata su reticoli è meglio adatta per ottimizzazioni a livello CPU oggi. Ma i compromessi—prestazioni contro compattezza—lasciano spazio a molteplici paradigmi di PQC e percorsi di adozione.

@PrivacyScaling Con l'avanzare della standardizzazione, il design crittografico consapevole dell'hardware giocherà un ruolo cruciale. Il continuo benchmarking e l'analisi delle implementazioni determineranno il mondo reale.