Il y a un compromis dans les schémas de signature post-quantique qui devient évident une fois que vous commencez à réfléchir à leur comportement dans des systèmes réels. La vitesse, la taille de la signature et le degré de prudence des hypothèses de sécurité sous-jacentes tendent à s'opposer les uns aux autres. Vous pouvez généralement faire un travail raisonnable sur deux de ces aspects, mais vous ne pouvez pas obtenir les trois en même temps. J'appelle cela "Le Trilemme des Signatures Post-Quantiques". Penser aux signatures post-quantiques comme étant à l'intérieur d'un triangle rend l'espace de conception beaucoup plus facile à appréhender. Différents schémas ne sont pas meilleurs ou pires isolément. Ils font des choix différents sur les coûts à payer et sur l'endroit où ces coûts apparaissent. Une fois que vous êtes explicite à ce sujet, il devient plus facile d'associer un schéma à un système, plutôt que de débattre de manière abstraite sur lequel est le "meilleur". J'ai écrit cela plus en détail ci-dessous.