ポスト量子暗号は単なる数学ではなく、ハードウェアの戦場です。 SIMDベクトル化は、いくつかのスキームがスケールし、他のスキームが失速するという明確な線を引きます。 @PrivacyScalingによると、CPUアーキテクチャがPQCパフォーマンスをどのように形作るかは次のとおりです。🧵

@PrivacyScaling 耐量子計算機暗号(PQC)には、効率性とレジリエンスが求められます。格子ベースのスキームは、最新のCPU最適化、特にSIMDベクトル化との構造的な互換性により、このスペースを支配しています。

@PrivacyScalingベクトル化(SIMD(Single Instruction, Multiple Data))により、CPUは1つの演算を複数のデータポイントに同時に適用できます。これは、格子ベースの暗号化における多項式演算を高速化するための中心的な要素です。

@PrivacyScaling格子スキームは、暗号演算を Z[x]/(xⁿ + 1) のような多項式環上の行列ベクトル乗算として表現します。これらは、Number Theoretic Transform(NTT)を使用して変換でき、複雑さをO(n²)からO(n log n)に削減できます。

@PrivacyScaling 多項式の加算、乗算、NTTはすべてベクトル化できます。たとえば、16ビットレーンの256ビットレジスタを使用して、2つのAVX2命令で64の係数を処理できます。

対照的に、@PrivacyScaling Isogenyベースのスキームはベクトル化に抵抗します。そのコア プリミティブ (楕円曲線間の同系性の計算) は、SIMD 並列化可能な構造に分解されません。

@PrivacyScaling 同種ベースの暗号における最適化は、モンゴメリー縮約と反転、エドワーズ曲線、基数-2²⁹表現などの場算術技術を含む従来の楕円曲線暗号から着想を得ています。

@PrivacyScaling ただし、楕円曲線演算では SIMD ゲインは制限されます (通常は最大 9 レーンであるのに対し、格子演算では 64+ です)。したがって、格子暗号は、より大きな並列性とスループットをもたらします。

@PrivacyScaling パフォーマンスは格子を好みます。それでも、同系ベースのスキームは、依然としてコンパクトなキー/署名サイズを提供します。SQIsignのようなスキームは、ポイント画像を公開しないことで、既知の攻撃(Castryck-Decruなど)を回避します。

@PrivacyScaling評決:格子ベースの暗号化は、今日のCPUレベルの最適化により適しています。しかし、パフォーマンスとコンパクトさのトレードオフにより、複数のPQCパラダイム、つまり採用パスの余地が残されています。

@PrivacyScaling 標準化が進むにつれて、ハードウェアを意識した暗号設計が重要な役割を果たすようになります。継続的なベンチマークと実装分析により、現実世界が決定されます