Существует компромисс в схемах подписи постквантовой эпохи, который становится очевидным, как только вы начинаете рассуждать о том, как они ведут себя в реальных системах. Скорость, размер подписи и консервативность основных предположений безопасности, как правило, противоречат друг другу. Обычно вы можете добиться разумного результата по двум из этих параметров, но не получите все три сразу. Я называю это "Трилемма постквантовой подписи". Думать о постквантовых подписях как о находящихся внутри треугольника делает пространство проектирования гораздо более понятным. Разные схемы не лучше и не хуже в изоляции. Они делают разные выборы относительно того, какие затраты понести и где эти затраты проявляются. Как только вы это осознаете, становится легче сопоставить схему с системой, а не спорить абстрактно о том, какая из них "лучше". Я написал об этом более подробно ниже.