当年IBM提交了DES(Data Encryption Standard)草案,NSA(美国国安局)修改了IBM的草案,最终成为DES。外界不理解为何这样修改,直到二十年后发现了差分攻击,二十年后才知道NSA这样修改IBM草案是为了避免这个差分攻击,说明NSA还是领先了二十年。现在我觉得还是可以相信NSA的。一些密码学家建议把传统的加密方式ECC(椭圆曲线)结合Kyber,就是 Hybrid Mode,但是NSA认为光光Kyber就够了。NSA发表的 https://media.defense.gov/2022/Sep/07/2003071836/-1/-1/0/CSI_CNSA_2.0_FAQ_.PDF 明确了态度:
Q: What is NSA’s position on the use of hybrid solutions? A: NSA has confidence in CNSA 2.0 algorithms and will not require NSS developers to use hybrid certified products for security purposes.
根据之前NSA修改IBM草案并发布DES的例子,NSA至少领先二十年,提前预测了针对IBM草案的差分攻击,NSA修改过的DES免疫这个差分攻击。看来直接使用Kyber足矣,无需使用Hybrid Mode。