じゃあ、これの参加者です。どこで、どうぞあなたは君をご紹介します。三部医のコンピューターサインスリビーション・スタンダード・テクノウジって私たちのコンパクトクライブプロジェクトの議員についてお話にしています。私たちは、昨年2009年が2009年に、彼の研究所は、エルティックカープとクリプトグラフィーのアプリケーションについてお話しします。今日は、ニストポストコンティションについてお話しします。どうも、ダスティーです。お疲れ様。次のコントラムのオリグニサーにお尻に感謝ます。ご自身で、ニストが参加します。これから、このコントラムのプロジェクト生訳についてお話しします。には、クリプトグラフィーのバッグラウンドを紹介します。私は、静かに繋がれて、1をどのクリプトグラフィーで私は、クリプトグラフィーなどの本を資格的に調理します。はい。このプロジェクトについてお伝えしたいと思います。話題は、船が売っている。英語については、アプリトネティを忘れている。一つは、去年のデッラインについては、そのデッラインを忘れている。しかし、船が売っている。そこに行っている。それについてお話しします。ですから、クリプトグラフィーをたくさんのインスタントをしているのです。この新しいデッラインについては、クリプトグラフィーの効果が過去にあることが生まれている。クリプトグラフィーは非常に面白いものです。クリプトグラフィーの効果が違ったことを使っている。クリプトグラフィーの効果が今のコンピューターについて使用している。そのため、特に、クリプトグラフィーの効果があります。このシーンのトランクはクリプトグラフィーです。クリプトグラフィーはコンピューターでコンピューターを持つため、クリプトグラフィーの効果は0と1です。その2つのプレゼントはクリプトグラフィーでコンピュータが1と0と同じ時間に、スーパーポジションを取り付けます。このプリンスバックが強いので、NCUBETsで2とNと違うステーブルのスーパーポジションを取り付け、クラスタルコンピュータで1と同じステーブルのステーブルを取り付けます。このステーブルの可能性は、コンピュータの強い増加の力を取り付けることが人気のコンピューターに興味があることです。コンピュータの能力は、このステーブルがあると、人々がそれを取り付け、非常に控えた、非常にスターボルな環境で、それを取り付け、このステーブルには、それが動かない部分の資料を取り付けます。それを取り付ける必要があります。人々がそれを取り付ける必要があります。So I put here some dates here along with some papers have been published that have claimed to use a certain number of cubits in their computations.And you can see that that number has steadily gone up.And this year there's been some impressive papers or results announced by, research teams and companies.The number of cubits itself isn't the best way to kinda measure the progress of the quantum, research of the quantum computing.コンピューティングがありますが、フィールドが進むことができます。去年、IBMの5キューベットプロセッサーがクラウドにあります。クラウドにある人が試験することができます。16キューベットプロセッサーもプロセッサーが56キューベットプロセッサーでプロセッサーをクラウドにすることができます。Googleも見つけたことができますが、1949年にクラウドにある人が試験することができますね。現在だとクラウドにある人が試験することができます。クラウドのインパクトが2年の間にプロセッサーが20年前に出たことができます。クラウドにある人がクラウドにある人がこのコンピューターは、特に2つのことを考えていることがある。大きなエンジンが非常に efficient となっている。そして、ディスクリートロードの問題を解決する。そのため、この2つのコンピューターは、今では最も知識的なアグラミスを行う。グローバーも、クラウドアグラミスのスピードをブループフォークスターチを作り、エンステープのアグラミスを使うG inglésのコンピューター、相差的害 little to Nの Nの doughたち。とても、オーヨースクリュータのなぜ、そのできた占売機能にもっとヘッドなコンピューターが発狂なアプリにあった。彼ら、コンピューターの銚字にして生きた援助がある 仁美取始のコンピューターとカラoa hitting クランモニーちゃんと他の 新しい 機関 学習 学習 学習それを 長い時間でなく 私は 新しい 空港に アリアの 特徴を使うことはしませんそのため クリプトグラフィーの 影響を 見てくれてもっと 私は 何で インパクトで クリプトグラフィーを 作っています私は 私は レシアル スタandards 学習 スタandards クリプトグラフィーを 作っています私の グルームの アリアの クリプトグラフィーを 作っています私は 国民国国の クリプトグラフィーを 作っています他の人たちもクリプトを使うことができます世界に使われている人たちも使うことができますこのスタンダードはクリプトグラフィーの他にあります大きなアグラムがありますAES、SHOT3、ハッシュランクションがありますこれらのガイドラインのデザインを知らせることができますデザインがありますクリプトグラフィーの他にあるデザインがあります大きなコンピューターの効果はこのデザインについてクリプトを使うことができます大きなコンピューターがあるとSHOT3のアグラムを使うことができますこれらのガイドラインについてファクトグラフィーを使うことができますそしてデザインについてこの2つの問題はクリプトグラフィーのアグラムを使うことができますクリプトグラフィーは大きなコンピューターを使うことができますセメジュークリプトグラフィーの効果はあまり大きな効果がないことができますグローバーのアグラムはAES-256のアグラムを使うことができます2-128のアプリレーションを使うことができますセメジュークリプトグラフィーを使うことができますそれを使うことができますクリプトグラフィーのアグラムを使うことができますってうれしさすがに技術を使いましょうセメジュークリプトグラフィーの使用ができていますそれを使うことができることできますクリプトシステムが一つ上連の育てを与えていたり、実際に環境モピューターを語る必要があります。この場所は、つまり、クリプトシステムの長さによっては、クアンタムトリーチに使用されたり、その自然性に関することが必要です。クアンタムトリーチのクリプトシステムでは、现在のライトフィールドで非常に増援オイルになってるということです。この画面上、1995年にプレートショートンのシューターを取り出したり、You can see just steadily going upand it will probably continue to do sofor the next several years.And even though it's growing thoughPostquantum Cryptography,we also don't feel that it's at a mature statewherewe have all the answers at this point.So we still need more timeto do more research and analysisso we can confidence in thethe crypto systems that we're trying to useto replace the ones that will be broken.So what type of things are being looked atforPostQuantum Cryptography?多くのプロポーズは、3つの家族の学生が来ているのです。まずは、Latticeのコンフレンズで、Lattice-based クリプトのコンフレンズについて話します。職種で、きれいなクリプションの向くことに対してもらう麼、Latticeの作為をにているのです。Latticeの用期だけずつたい形状を感じると、クリプションを非常とは思います。作為というのは、プロレーションの部分がうたですけれど、あまり粘りANA don't look 太 trashy into it,a very promising アリアア钱ではなかったと言うものです。1979年に、マクリスが1979年に発表されていると知られています。しかし、今日はローカーです。それについて、リシステントを持っていると信じられています。これは、クアンテンツアクションを使用しています。3つの家族は、アルジブラを使用しています。アルジブラを使用しています。ファイナイトフィールを使用しています。あるほどが上手く dumplings、マリアクションの生徒だけで、確実にたくさん少し万縛に有ながらカが必要数かもしれません。そして、 tune family as well有名な優労人にも答えています。ファイナーを使用している Ils 明白全てのファイナーにハッシュのフォンションを取り出すことで、セキュリティのセキュリティを取り戻すことで、ハッシュのフォンションを取り出すことで、それをわかることができる。最近、アイソジニーの作業をやっているものがある。アイソジニーのスーパースティングギターの中で、クリプトシステムを作っている。この後、アイソジニーのセキュリティを作っている。そして、他の家族があり、彼と同じ個性の援護所になっている。そして、彼にとってはスーパースティングギターさんに、何かのセキュリティを作っている。彼のセキュリティは悩むことなはず、全てがオビアスクリプトシステムを作っています。それが黒冷鏡を作ってことで、彼のセキュリティを作っている。彼のセキュリティのセキュリティを作っている。私はこのセキュリティと同じ部分を作ろう。それは最も重要なら、スーパーステムを作っている。私はどんなものが出ているか意見の中で、ディーテールに、私は私もあることを繰り返していますが、彼らは彼らで具体的に取り組むかもせないですか。これは私たちが、内部に只是することを記述しています。彼らは、禁止のスタッチカルトのスタッチカルトについてクリプトリアトリータについてコロナ禁止について祝い、市地について経済などのお免び交渉物資の場合のディーテールだと思います。これを認識する方法も私たちは、下手くらいのパーツを参入するためのこの問題は大きなコンピューターがあります。100歳のコンピューターではなく、このコンピューターは非常に早くなります。他のパンティフィットでも、スタンダードが必要になります。もちろん、コンピューターが必要になると、コンピューターが必要になると、アクティブな研究が必要になります。このコンピューターでは、スタンダードが必要になると、このコンピューターは、マイクモスカで一つに考えています。このコンピューターは、普通のコンピューターの判明をしています。去年、コンピューターは、1-7のチャンスをしている。RSA 204810年前の記念、15年前の記念、1-2のチャンスをしている。コンピューターの仕事をしている。音のいけば QuickOSなどに雇っているペインを飲めているそちらはA隻 killer今回は mature-確国の政客 Woahそしてセスペント僕トマージャル 他のホイルエリアAねサーゴー10月1日の復興で1985年に提出されたアリプトカリトグリーバーが明らかに、2000年か、後に明らかに、一般的なプログラムのアリプトカリトグリーバーについて、その他に5、10、15年を 使い、デプログラムのアリプトカリトグリーバーについて、使い、使い、ホーム、プログラムを使い、このスタandarizationは一時間でおつすめで、that helps us inform our decisionthat we take on a standardization of postquantum cryptography.Mike Rosika also has a nice little theoremthat kind of puts this into perspectiveto know if this is something that you should be worried aboutor your organization to be worried about.So he calls it a little theoremand it involves us, three variables, x, y, and z.So x is how long you need your information to be secureand that will depend on who you arefor how long, or what number you put in for x.Yは何度だったら、新のクリプトシスタムを出す、デプロイアル、プロデクス、インフルストラクターの再現をしています。Zは何度だったら、大きなクアントコンピューターを持つことができます。この理由は、Xと YはZによって、多分少し、悪いことができます。誰かがクアントコンピューターを取り入れている人がクリプトしたら、クアントコンピューターを取り入れている人がその情報出てくれます。その情報出てくれます。その ScarF Kookもあまり沈みません。ここなら、数の問題もあります。約5年以上ではありませんが、人間は10から15年以上ね。Xは、常に誰かについても 私たちが保護された国のデザイン、Xは30年か longerか、もう5年か10年でもいいのか。この数を見たのなら、10-15年が配信なり 元に関しては、それを起きる必要があると思います。スタンダリューサーに行くことができますこのバックドロップでNSAの国際セキュリティアジェンシーウェブページで人々の注意を与えた国際セキュリティアジェンシーはクリプトグラフィーで人々が見たことができます特にクリプトグラフィーでクリプトグラフィーで国際セキュリティアジェンシーで簡直に雲的な救営を抜けましたそこで、NSAを各県内の督事として��やかに酔拠を情報すると思いましたこの資料が existem オインページでそれでも知情物語は自分にこれは安定の皆さんが何をしていくか成功しています。本当に大変に人々が这个会社の ビディステーションについてとても心地も十分にプレイすることがあります。たったように単語で一つの問題が ACAについて立つために一つの問題があっています。今回はこの説明を務めたんです。私たちは全く見たできたことが わからなくて まずに素晴らしい登場 percent 上乗りです。これを技能中にもないように 技能中にもないようにこのように立てるために 技能中にもないように技能中にもないように 技能中にもないように食用とのスタンダードについてもう一つの部分は施設されっすぎるために3mm キャンペース 知らない全てのスタンダードを取れるちなみに時々 トアの採用のためにこのように 見える必要があるこのよりもたくさんのクリプトシステムはクリプト�アプリプトでこの他にもたくさんの設定ができるいろいろなアーグラムを 計画することができます少しずつの時間を 仕事をしています2012年から アーグラムについて 人々が参加して普通の会見を始めました2015年8月に アーグラムのアーグラムの人々がアクデミア・インディストリーの人々が彼らが アーグラムについてNSAが アーグラムについて夏のアクデミア・インディストリーの人々は彼らが アーグラムについて人々について 人々と解読させることができますその時 アーグラムが アクデミア・インディストリーと分厚さないというのはそれは インディストリーの人々では彼らがアーグラムについて彼らは アーグラムについてアクデミア・インディストリーの人々の ya2016年から説明する必要は シリアから説明された説明がしたはずを説明するためなのですそしてそれをフォームに取り組んで 説明するため we first did that in draft formと同時に書かれるために 説明するためにこれまで1年間引き締めた 説明するために人に図書を生み込んでいる方はクリプトアグラムの材料を 出すためにテーニングの領域を担当して発表されたどのアグラムを 確認することは2017年は去年の週にここでの組み合わせはオープニング・シェンス・ペアンの方が仕事をしているかもしれません今から12人の研究者が仕事をしていると彼らは彼らは資料、学術、学術、そして私たちが参加したことを勉強したことを先年の課題に取り出したことを行ってきました研究をしていると私たちが学術、学術で邪魔をしていると彼らは私たちは私たちが学術しているとそれに関して私たちにこの時期の一日目の議題は、彼と同じ仕事や、彼と同じ仕事や、彼と同じ仕事や、あなたが毎週に参加した時期は、あなたが新たに参加する日があるので、アメリカで、アメリカで、アメリカで、アメリカで、その仕事は、アグリテムのみたちにお送りするために、これを説明することができる。そのように、私たちが説明することができる。このテーマは、3、5年間の時期をご覧いただきます。インターネリーによって、アグリテムをご覧いただけ、クリプトコミュニティで 問題があると嬉しいです。私たちは、自分の存在を行うためにはない。3、5年間、そこから、少し違うパッケージで 兄の一つのパッケージを初めて見ると 次のパッケージに行くことができます彼らは スタンダリーで 準備されますその時に スマイルのパッケージを 併せたときのことを 作ることができますそして 今 リリースの 順序を 制御させることができる今のパッケージに なっています今の5年間の期間は、スムーリーに行っていると、研究ができたり、スタンダードのアグラムを選び、スタンダードの document は1-2 年間で、それについても、スコープは、3 種類の 作業の 作業を 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作り、それを 作りをそれを 作り、そういう本作なんですね。うん、できたらいいですかNETの bite それ、はとても going onで 行って given tough sinceはとこちら最適度に 2-3の 展開を開始担当 bastardこのアグラムが残ったときは、 just the simplest primitives will be needed for post quantum cryptography. These are the three functionalities we want to start with, and not anything else besides these. In many ways, this will be similar to the competitions that NIST has run in the past, similar to the SHA-3 competition that ended not too long ago, or the AES competition. But in other ways, it's different from those sorts of things.ポーズクラウントクリプトガーシーは、比べてのコンポティションは、よく多くの学術の技術、技術の効果が多いです。エリアのコース、エリアのエリアの効果が多いです。そういうアルバムは全ての問題を解決するといった研究室の中で学術的な効果が多いです。我們は、アルバムのコーツが攻撃している人たち、科学兵術的な効果が多いのです。それが非常にものすごく大きな困難のため。従来の従来のシャツ3の勝負はなったところで、それが分かれました。缶詰のリフェア相手に関しては、上限のアグラムは1番目もたくさんあります。フレームのエアリングになった場合も同じように、少し変なアグラムを持っていらっしゃいます。10-3の場合も、細かく多くのパラクターのアグラムを一性に数設定しています。あらゆると、フェアを上下に下げる前に��縮を打っていくと、片方は上下にがっていった場合もこのフレームがフレームを残さないことそうです。シャウス3のコンポティションは、1アグラムを作っていないといけない。1アグラムがスタandardizedのために、リースターがスタandardizedのために、スタandardizedのために、スタandardizedのために、スタandardizedのために、スタandardizedのために、スタandardizedのために、リースターを聴いているのは、彼の結果を表にとっても、複雑について織り返し、各自衛訓を повтор cityに搞っている。、この計画で already of championsソファ readyこのような構造については、このようなおかげで、このようなものをインプляメントしてプラットフォームの多い技術も必要です。この技術も必要です。この技術も必要です。この技術の多くの技術という名前も必要です。がね…これらは、これらも必要です。この技術の多くは、これらも必要です。アカデミックペーパーは クリプトシステムを作り コンクリープ・プラメーターセッティングが必要ですこれらのセキュリティングは どのようなセキュリティングが必要ですかこれらのセレクションは セキュリティングが必要ですクラスココンピューターと クアントンコンピューターが必要ですクラスコンピューターのサンス版は 必要ですクラスコンピューターと クラスコンピューターのサンスを 送ることができるとは別に全てのセキュリティングが必要ですクラスコンピューターは クラスコンピューターのサンス版ですそれがあったらいいのかそれができないかもしれないセクシーやサイト・チャンネルの財布をもらうこともできないその他の物件はとても良いそうするとプロポーズを出すそれについて人間の数が多い26人の人間が彼らの差し込まれた届き方を想像してくれたそして、このcivilizationに、私たちのウィッセサーの連絡に貼り込めたこれを知ったのか だからねそして、私たちのレポートをやるのかどうかを質問することに起極的にそれを見たいといった私たちの力を変えることを分からずに外国人 have questions aboutきつく悪戯を くるからWe approached key establishment, people suggested that we use the framework of key encapsulation mechanisms, that that would capture what we were wanting to do better.And algorithms like the Diffie-Humming can easily be put in that framework.So we went with that suggestion, which confused some people and other people liked it.But the final call for proposals that we had asked for algorithms to be described using that framework is a key encapsulation mechanism.And then the other thing that there was a lot of discussion on or comments on dealt with how we approached quantum security and target security levels that we asked for.Being at NIST, we needed to have, we needed to be able to say, okay, this algorithm provides this much security and be able to quantify that.And there's not a consensus way as how to measure quantum security in the field right now.So we put forth an idea and then a lot of other people have comments about that.And we modified what we'd originally done and I'll show what we ended up with.There were suggestions on our API and other things.So along the way as we've been doing this, there have been a lot of complexities that have arisen in this process.Because we're dealing with three primitives and not just one.When it was the SHA-3 work competition, it was just a hash function we were looking at.Everything involved that.But now there's three primitives, which in a sense kind of makes it three times as hard.We also have to look at both attacks from a classical computer and a quantum computer.So classical algorithms and quantum algorithms, which is a complexity.And research and quantum algorithms isn't as far along as it is with classical computers of course.So it's a, it's a growing research that you have to try and take the results that are published and do as much of what you can with them.Yeah, there's all sorts of other just difficult things that have cropped up as we've gone along there.I won't go into everything that's on there, but.So the security analysis.We gave some security definitions that we wanted the submitters to try and target.We initially asked for encryption and for key establishment.Indifferentiability, CCA2.People suggested that we include CPA as well so that you can have more ephemeral use cases.So we did that for signatures, existential unforgeability, what we were looking for.And we used those to judge whether an attack was relevant.So we wanted submitters to target that.We, security proofs would be great, but they weren't completely required.Submitters, we wanted them to talk about the quantum and classical algorithm complexity.A large part of that will be a classical security analysis because that's what's most developed.And most of the initial attacks against these crypto systems are going to be run on classical computers.So it's important to look at that.And then we also wanted to know as much as possible about how much crypt analysis has already been done on this.So quantum security, it's a difficult thing to measure and there's a lot of uncertainty because it's still being researched.It's also difficult because we don't have a quantum computer.So we don't know how fast algorithms will be run on it.We don't know what the cost will be in time or memory or dollars or anything like that.But we still admit to write our standards.We needed to be able to kind of put a number on how much security these things were providing.So for a classical crypto right now, we do that by saying,Okay, it's got 128 bits of security or 256 bits of security.And initially we wanted to do the same thing and say,Okay, this provides 128 bits of security, of quantum security,and just kind of put a very simple number on it.A lot of people disagreed with that approach,so we ended up having to change that a little bit.And this is what we ended up doing.It makes it a little bit easier for us here at NIST,although we realized for submitters that were doing this,this was a little bit harder to do.So we had five security levels.Security level one means to break this crypto systemIt'll take at least as many resources as it would taketo break AES128 doing an exhaustive key search.And then similarly, the algorithm,or levels three and five were defined for just higher secure levels of AES.And then levels two and four were defined using a similar thing,but looking for collisions on a hash function.So we wanted submitters to try and measure how much resources it would taketo say break AES128 and then see how many resources it would taketo attack your proposal that you're submittingand then tell us which level that you would fit in under here.We know that this is not easy for submitters,so we understand these are just kind of preliminary estimatesthat submitters will be giving us.But that allows us to begin to all these kind ofcompare two different crypto systems.If they're both in level one,we're providing roughly the same amount of securityso we can start to compare them that way.There's still a lot of uncertainty about how we've defined it.We want people to measure using a variety of metrics.It's not a very concrete thing at all.So we understand this is a very kind of preliminary estimateand we hope that this will getburned up in the next couple of years with more research.So we want algorithms to perform wellon classical computers.From what we've been looking at,a lot of these algorithms efficiency-wisethey seem like they'll be okay.They might not be quite as fast as some of the things we do,but they're not order of magnitude slower.Some of them are faster than what we use today.Efficiency in that way,we look to be in somewhat of a pretty good shapethat it's not going to be a showstopper.However,there's a variety of applicationsthat these are going to need to go in.LifeWaveCrypto applications.So some algorithms might be better for themthan on others.So that's another reason why we might need tostandardize more than one algorithmto target different applications.Looking at the performance though,key sizes are something that looks like thatvery well could be challenging.Most of the post-quantum crypto proposals,the key sizes that they're proposingare a lot bigger than what we currently usein practice today.So if we put them in protocols like TLSand Ike,that might require changesto those protocols,which wouldbe possibly a very painful thing to do.This might be a little hard to see it looks like.So the PQC stack,so there's applications at the top likeweb browsers and certificatesand some of these applications that will be usingthe first post-quantum algorithms.We're focusing right here on theprimitives,like I've said before,the encryption,signature and key exchangeprimitives that will get used in these applications.So as much as possiblewe want them to be drop in replacementsinto things like TLSand Ike.That may or may not be successful.Currently Diffie-Hellman gets used a lot.The algorithms that we have todayfor post-quantum proposals,there's not one that functions exactlylike Diffie-Hellman that you couldjust plug right in.So there might need to besome changes there.Might have to use some encryptionwith one-time public keys.Similarly with signatures,many of the proposals that we're lookingat have larger signature sizesthan what we might be used to right now.So there have also been just littlechallenges along the way thatwhen we started we might not have beenthinking about,but as people haveasked us questions and so on thatnow,these schemes are relatively newso there hasn't necessarily been lotsof research dealing with them.Some of them have just little peculiarthings that we're not used to.For example,decryption failure.The schemes we use todayyou encrypt,you decryptand it works.There's not decryption failures.Several post-quantum schemesthere's a small percentage chancethat if you encrypt correctlyand you correctly decryptthat there might be an error that you don't get outthe message that you started with.So you have towork that in and know how to managethat decryption failure.For some of the algorithmslike hash-based signaturesthey need state and we haven'thad to previously manage the state ofthe public key crypto algorithms that we use.And things like that.So we'll have to move away from some of the things that we're used toand try out some new things.All right?To talk a little bit more about the submissionsthat we have received.So we put an initial deadlineat the end of September where we saidsubmitters could submit to us.We would take a look at them.We would see if they met all our requirementsthat we were asking for and then we would tell themso they could know if they had everythingin there that they needed to do.So at the end of Septemberwe received 37 submissions.We didn't know how many we would get.37 seemed like a pretty good number.10 of those were signature schemesand 27 were encryption or chem schemesor sometimes a submission hadboth formulations.Of the 37most of them were lattice schemes.Almost half of them were latticeand then code-based and multivariate.And the remaining 10 were kind of a mixbased of several different things.Hash functions or isogenesor other interesting ideasthat were put in there.And they came fromall over the world as well.Of the 37 that were submitted to usI think only 7completely met all our requirements.Many of themalmost did.They just had smalldifficulties inthe known answer test that we asked for.We put forth a specific APIthat got a lot of kind of questionsand discussion that was being worked onclose to the deadline.And so there was just some implementation issuesthat they hadn't done quite the way we were asking forso they needed to fix those.All right.And ourfinal submission deadline was last Thursdayso I can tell you a little bit aboutthe number of submissions that we received.We can't give out specificdetails on individual submissionsat this point.The first thing that we're doing when we receive theseis we're doing areview to check if a submissionmet all our requirementsto use the official wordsif it's complete and proper.And those submissions which arecompletely proper then we'll make those publiclyavailable.But we don't want to giveinformation about a specific schemeand then it ends up not beingcompletely proper.So I canjust kind of get more summary informationat this time.It's also been reallysoon since it happened.The deadlinewas midnight and I flew out the very next morningso I haven't had a lot of time toreview.But we received a totalof 82 different submissionsso a little more than doublewhat we had for the preliminaryand that includes the preliminary submissionsas well.So there was 37submitted initially and allbut one or two of them submittedtheir algorithms againfor a total of 82.23 then were signaturesand 59 were encryptionor key establishmentor key encapsulation mechanisms.That little timeline here so you can seethe obvious spikes were our preliminarydeadline and thenon our final deadline.So the day before the final deadlinewe had something around 40 submissionsreceived and in the last daythat doubled so everyone waited till the last day.They didn't wait till the last minute.We got submissions steadily throughoutthe whole day almost every 15 minutesor every half an hour we were getting submissionsbut definitely the most on the last day there.If you have a submissionI'm sorrybut it's too lateso don't send us any more submissionswe have 82 and that's enoughfor us right now.Just to break it down a little bit furtherto kind of classifythe type that we received.So the signatures4 were lattice based5 were code based, 7 were multivariate4 were hash basedor kind of in some way symmetrickey based.3 that came from some other kind of grab bag ofthe type of math that it was using.For the cam encryptionsthe most were with lattices and thencode based by bar and then there was6 multivariateand 10 that were using some othertechnique that they wanted to do forencryptioning cams.And then you can see the overall there.So lattices and codes and multivariatethose were the 3 familiesthat have been described for several yearskind of the 3 main familiesand that's reflected in the submissionsthat we did receive.I was looking at where they came fromthey came from all over the worldthey came from every continent except Antarctica16 states25 countries and 6 continentsso if there's a pinit means that one of the submitterswas from one of these countriesso we did get some from here in Asiathere's people from ChinaSouth Korea, Japanlooks like Hong Kong, Singaporeyeah so from all over the worldthis is interesting to seeso there will need to be a transitionthat's upcoming becausewe will be moving topost quantum algorithmswe don't have thatadvice yet because we don't havethe standards ready but we will issueguidance when the time gets nearuntil then we recommend you continueto follow the guidance that we've given beforethe document tells thatspecifically you should be using120 bits of security or higherand if you're using less than thatyou should transitionthere's been a lot of talk aboutusing a hybrid mode as one of the waysto transition to post quantum algorithmsand that's the idea that you takea classical algorithmand you combine it with a post quantum onein such a way that you have to break bothto break the crypto systemand that makes a lot of sensethat seems a very sensible way to transitionwe've got questionsbefore the people have askedcan that be validated under fits validationas it is right now, yes it couldif someone wanted to start doing a hybridmode right nowalthough the validation would only bevalidating the classical algorithmnot the public key onethat's what we're looking for right nowSo NIST isn't the only standards organizationthat's interested in post quantum cryptographyand working with itthere have been several other organizationswe're collaborating and coordinatingand talking with all of themSo IEEE P1363they had standardsand a lot of space cryptofor a number of yearsthat standardized some lot of space schemesthe ITF right nowis actively working onhash-based signaturesthey have a couple of two different proposalsthat have had RSEsand have been making a lot of progressit's very likely that they'll be done soonandthose algorithms are stateful hash-basedsignature schemes which are outsideof kind of the scope of whatwe're doing at NIST with thisthe standardization callthe API that we wrotestateful hash-based signature schemesare unlikely to fit thatso we do think thoughwe're confident in their securitybecause it's tied directly to the security of hash functionsthey're early candidate for standardizationso it's very likely thatwhatever the ITF standardizes heresoon that will also follow their leadand standardize the sameones that they doSEE has been very activethey've been holding regular workshopsand writing reportsin this fieldwe've attended those, presented at themwe've contributed to the reports in their writingwith themthere's other groups like PikiCryptoand SageCrypto that have made recommendationsand we talked with themso we're on the same pageISO has been looking atquantum-resistant cryptographythey've had several study periodsone of the main people working with thatis my boss Lily Chenhere at NIST so we're verytight in with that as wellso there's a lot going onbesides just at NIST as wellwe have a forumonline a PQC forumthat allows anyone to ask questionsor discuss with each otherit's been a veryit's a good place for people to askquestions and discuss a lot of these issuesthere's instructions on our web pagefor how to sign up down thereand you can view the archivesto kind of summarize a little bit aboutwhat's been discusseda wide range of topicssome of the more popular onesso our APIand how to use randomnesscorrectly in your post-quantum algorithmthat got a lot ofa lot more detail than probably most people wantedusing third party librariesquestions aboutthe details of submission and so fortha lot of discussions on classical security strengthquantum security strengthbest way to measure itactive discussions going on right nowin the past day or twothat don't agreeare discussing these thingsso what to expect nextwe arewe're doing our review to check all theseatitude submissions to see if they've met oursubmission requirementsas soon as that's done we'll post them on our web pageso that everyone knows what those submissions areand they can start working on themwe're hoping that it will be done this monthin Decembermight not happen but that's what we'rewe're working for is our goalthe next workshop will bein Aprilit will be in Florida joining with pqcryptoand that again will be where submitterscan come and present their algorithmsthere's a large number of submittersso it's going to be somewhat of a tight schedulebut we'll make it work somehowand then that will kick off abouta year and a half of kind of analysison all these initial submissionsthat were submittedand at the end of that there will beanother workshop or conferencekind of a timelinethat just summarizes what we have thereso just in summaryquantum computers have huge potentialto do amazing thingsthey'll have an impact in cryptographythe main impact will be that theybreak various public key crypto algorithmsso we're going to need to replace thosewe started aa big standardizationprogram to look for the algorithmsthat we'll need in the futurewe've seen a whole lot of uncertaintya whole lot of complexityin the firstyear to however long we've been doing thisand we expect that to continuepeople often don't have these questions untillike when they were actuallyworking on their submissionand then they say wellyour call doesn't really describewhat I'm dealing with here sowe expect that to continuewe expect to transition in aroundten years or so to new algorithmsnew post quantum crypto algorithmsand we're really grateful for all the supportand feedback that we've got from the crypto communityat large and we hope to continue to workingwith you because we can't do this on our ownand it'll take all of our effort toget the ship going to where it needs to goso with that Ithank you for your time and I'd be happy to answer any questionsthank you very muchI have time soquestions? ah yeswhat is this going to do about thefrankly poor quality of discussions on theforum?it's a toxicatmosphere at the momentare you going to do anything about that?it is a public forumso people are free to say what they want to sayif it getsyou know really bad we can'tmoderate it we can't ban people and so forthpeople get a little heated sometimesso we want them to bepolite to each other and so forthbut it is a public forumand we hope to not have to moderate itin that wayyeswhat are yourplants about this certifyingexisting algorithms, public key algorithmsare you going to wait untillarge scalequantum computeris actually built orare you going to bevery cautious andthis certify algorithms at the much earlierstage?that's athat's a great question so currently at this pointour standardsallow for their use and that's all we haveso we want people to continue to use themas time progressesand it looks like we have more firmestimates on when a quantum computer might be aroundwe could getupdated timelines forwhen you would need to stop using themand so forthat this pointit's all in the future butthat is something that might happenit's hard to say exactly at this pointwe doI do think we would have guidelinesin the past whenever an algorithm is discoveredthat has a weakness orhas a security issuewe've given timelines and saidyou need to start transitioning away by this dateand so forth so that would likely continue in the futureis that a question?we still have timeso I cannot see the behindso helpI will bring the microphoneit's not a questionit seems it's not a questionalright, one more questionit's all in through therethank you very muchthis is a small presentthank you very muchnext session we will startit's 10.25so we have about 7 minutes break