Es gibt einen Kompromiss bei post-quantum Signaturschemata, der offensichtlich wird, sobald man darüber nachdenkt, wie sie sich in realen Systemen verhalten. Geschwindigkeit, Signaturgröße und wie konservativ die zugrunde liegenden Sicherheitsannahmen sind, tendieren dazu, gegeneinander zu wirken. In der Regel kann man bei zweien von diesen einen angemessenen Job machen, aber man bekommt nicht alle drei auf einmal. Ich nenne das "Das Post-Quantum Signatur-Trilemma". Darüber nachzudenken, dass post-quantum Signaturen in einem Dreieck sitzen, macht den Designraum viel einfacher zu durchdenken. Verschiedene Schemata sind nicht isoliert besser oder schlechter. Sie treffen unterschiedliche Entscheidungen darüber, welche Kosten zu tragen sind und wo diese Kosten auftreten. Sobald man das explizit macht, wird es einfacher, ein Schema mit einem System abzugleichen, anstatt abstrakt darüber zu streiten, welches "das Beste" ist. Ich habe das weiter unten detaillierter ausgeführt.