Hay un compromiso en los esquemas de firma post-cuántica que se vuelve obvio una vez que comienzas a razonar sobre cómo se comportan dentro de sistemas reales. La velocidad, el tamaño de la firma y cuán conservadoras son las suposiciones de seguridad subyacentes tienden a estar en conflicto entre sí. Por lo general, puedes hacer un trabajo razonable en dos de estos aspectos, pero no obtienes los tres a la vez. Estoy llamando a esto "El Trilema de la Firma Post-Cuántica". Pensar en las firmas post-cuánticas como si estuvieran dentro de un triángulo hace que el espacio de diseño sea mucho más fácil de razonar. Los diferentes esquemas no son mejores o peores en aislamiento. Están tomando diferentes decisiones sobre qué costos asumir y dónde aparecen esos costos. Una vez que eres explícito sobre eso, se vuelve más fácil emparejar un esquema con un sistema, en lugar de discutir abstractamente sobre cuál es el "mejor". Escribí esto con más detalle a continuación.