C'è un compromesso nei sistemi di firma post-quantum che diventa ovvio una volta che inizi a ragionare su come si comportano all'interno di sistemi reali. La velocità, la dimensione della firma e quanto siano conservative le assunzioni di sicurezza sottostanti tendono a contrastarsi tra loro. Di solito puoi fare un lavoro ragionevole su due di questi aspetti, ma non ottieni tutti e tre contemporaneamente. Chiamo questo "Il Trilemma della Firma Post-Quantum". Pensare alle firme post-quantum come se fossero all'interno di un triangolo rende lo spazio di design molto più facile da ragionare. I diversi schemi non sono migliori o peggiori in isolamento. Stanno facendo scelte diverse su quali costi sostenere e dove questi costi si manifestano. Una volta che sei esplicito su questo, diventa più facile abbinare uno schema a un sistema, piuttosto che discutere in modo astratto su quale sia il "migliore". Ho scritto questo in modo più dettagliato qui sotto.