后量子密码学不仅仅是数学——它是一个硬件战场。 SIMD 向量化划定了一条明确的界限：一些方案可以扩展，另一些则停滞不前。 根据 @PrivacyScaling 的说法，CPU 架构如何影响 PQC 性能。🧵

@PrivacyScaling 后量子密码学（PQC）要求高效和韧性。基于格的方案在这一领域占主导地位，因为它们与现代CPU优化，特别是SIMD向量化，具有结构兼容性。

@PrivacyScaling 向量化——SIMD（单指令，多数据）——使CPU能够同时对多个数据点应用单个操作。这对于加速基于格的密码学中的多项式运算至关重要。

@PrivacyScaling 格子方案将密码操作表示为多项式环上的矩阵-向量乘法，例如 ℤ[x]/(xⁿ + 1)。这些可以通过数论变换（NTT）进行转换，将复杂度从 O(n²) 降低到 O(n log n)。

@PrivacyScaling 多项式加法、乘法和NTT都可以向量化。例如，可以使用256位寄存器和16位通道在两个AVX2指令中处理64个系数。

@PrivacyScaling 基于同态的方案，相比之下，抵抗向量化。它们的核心原语——计算椭圆曲线之间的同态——无法分解为SIMD并行化结构。

@PrivacyScaling 基于同态密码学的优化受到传统椭圆曲线密码学的启发，包括蒙哥马利约简和反演、爱德华曲线，以及如基数-2²⁹表示法等域算术技术。

@PrivacyScaling 然而，在椭圆曲线运算中，SIMD 的增益是有限的——通常最多为 9 条通道，而在格运算中则超过 64 条。因此，格密码学提供了更大的并行性和吞吐量。

@PrivacyScaling 性能偏向于格。然而，基于同态的方案仍然提供紧凑的密钥/签名大小。像 SQIsign 这样的方案通过不揭示点图像来避免已知攻击（例如，Castryck-Decru）。

@PrivacyScaling 裁决：基于格的密码学更适合今天的 CPU 级优化。但权衡——性能与紧凑性——为多种后量子密码学范式和采用路径留出了空间。

@PrivacyScaling 随着标准化的推进，硬件感知的密码设计将发挥关键作用。持续的基准测试和实施分析将决定现实世界的情况。