Estamos migrando de ECDH hacia un método post-cuántico. Esto implica el uso de la encapsulación de claves, y donde generamos una clave secreta que es encapsulada por una clave pública y luego desencapsulada por una clave privada asociada. Si bien ML-KEM es el método preferido en este momento, es probable que utilicemos un método híbrido, como ML-KEM768 y X25519.
X-Wing es una solución para esto, y está optimizada para usar X25519 y ML-KEM-768 [here][1]:
En general, el documento demuestra que X-Wing exhibe excelentes niveles de rendimiento y es seguro si X25519 o ML-KEM-768 son seguros. La principal diferencia entre X-Wing y el estándar X25519Kyber768 [here] es:
En la actualidad, X-Wing está siendo redactado por el IETF [here]:
Los pasos principales son:
sk,pk= ML-KEM-768.KeyGen_internal(z): Genera un par de claves determinista a partir de un valor de semilla de 32 bytes (z).
ss,ct = ML-KEM-768.Encaps(pk, w): Encapsula un secreto (ss) en el texto cifrado (ct) utilizando una clave pública (pk) y una semilla (w). El texto cifrado es determinista.
ss2= ML-KEM-768.Decap(ct sk): Recupera un secreto compartido (ss2) de un texto cifrado (ct) utilizando la clave privada (sk).
Esto se puede ilustrar con:
El código Golang para esto es [here]:
package main
import (
"fmt"
"math/rand"
"github.com/cloudflare/circl/kem/xwing"
)
func main() {
seed := make([]byte, 32)
rand.Read(seed)
sk, pk := xwing.DeriveKeyPairPacked(seed)
eseed := make([]byte, 64)
rand.Read(eseed)
ss, ct, _ :=xwing.Encapsulate(pk, eseed)
ss2 := xwing.Decapsulate(ct, sk)
fmt.Printf("Seed for keys %x\n\n", seed)
fmt.Printf("Seed for encapsulation %x\n\n", eseed)
fmt.Printf("PK (first 100 bytes) %.200x (size=%d bytes)\n\n", pk,len(pk))
fmt.Printf("SK %x (size=%d bytes)\n\n", sk,len(sk))
fmt.Printf("Cipher (first 100 bytes): %.200x (size=%d bytes)\n\n", ct,len(ct))
fmt.Printf("Shared secret (generated) %x\n\n", ss)
fmt.Printf("Shared secret (decapsulated) %x\n\n", ss2)
}
y una muestra de ejecución es [here]:
Seed for keys 443d6bf9fd37c9b3fbcb641206216662bbe188da987b87086e28e10f5899a1ee
Seed for encapsulation d429878feb6adbe4d20209c8dff8cb83ede58ef1b4c65ceb27a06d57baf8746a1faba4a85d020361e22956dc89251c6ed79b925618d89430122c55c97968d306
PK (first 100 bytes) 19dc2f25a48dd4f8520a97cbf0e48e805428a00364cbb63f06379a45
b53ba3b662029c8af5f12ba7a5bd68bb62971657cf33466ad295ca7557baf951486711e204c7
1e65622dc4761c5c723777c10b7051ed40bb6b23c46aea2a5f579e00938d1c2722268b2ee6847
14658b453b4bce7a844055c31ac962488445646bc91a67ac96c42ca304a70a719873836c2fe9
2422a2b564e1387cf622e51a1360f13c500c5c9bed92422627d7086462cc26a8d744dc330323
6549bb32a3ee0492a62d4239e73024ab8b3374b (size=1216 bytes)
SK 443d6bf9fd37c9b3fbcb641206216662bbe188da987b87086e28e10f5899a1ee (size=32 bytes)
Cipher (first 100 bytes): d0c62d70fc6e7ac9058edf6be7017df61a09d98146bee2f9469
76a45a3e7be57f4be5896139fd9ebb99cec7febad80ef4598297bd5a6b617a3aae07448e6083
e02820dcbcca0731ff5db2533894fe3629ad7642589eba33e5fe92535291d4c912230ff009d
f1c4442b16f3e8bc18bccb1f1baa23af3992a037d4aafb36a637653c7caf711eb09e33cfbbad
4633ffd3eb6f5b38b156d3a17615a371cf1d9607ef9fc5b7b624fc814636f88499230c1f9970
f4fbce0584b07680340d53c47ba922d18d69a2cf4338e9 (size=1120 bytes)
Shared secret (generated) 1be72faba7b4a6eea842d56e1d63229abdcb212b98defb46735a45aaaf81f4db
Shared secret (decapsulated) 1be72faba7b4a6eea842d56e1d63229abdcb212b98defb46735a45aaaf81f4db
En este caso, podemos ver que la clave pública tiene una longitud de 1.216 bytes, el texto cifrado tiene una longitud de 1.120 bytes y la clave privada solo tiene una longitud de 32 bytes (ya que se aplica un hash). Normalmente, en ML-768, la clave pública tiene una longitud de 1.184 bytes, la clave privada tiene una longitud de 2.400 bytes y el texto cifrado tiene una longitud de 1.088 bytes. Estos tamaños de clave se definen en el documento con [1]:
[1] Barbosa, M., Connolly, D., Duarte, J. D., Kaiser, A., Schwabe, P., Varner, K., & Westerbaan, B. (2024). X-wing: The hybrid kem you’ve been looking for. Cryptology ePrint Archive.