主要观点：

• 介绍了 IETF 邮件列表中的一个线程，讨论了 ML-KEM 密钥生成中使用种子替代 NIST 定义格式的问题，引出密码学中的误绑定概念。
• 详细阐述了误绑定的相关理论，包括不同的攻击者模型（诚实、泄露、恶意）以及在 AEAD 和 KEM 中的应用。
• 讲解了 Fujisaki-Okamoto 变换，它将仅在各方行为良好时安全的非对称加密方案转换为允许攻击者自适应选择密文的封装方案。
• 分析了 ML-KEM 中基于 Fujisaki-Okamoto 变换的误绑定攻击，包括利用公共密钥哈希和拒绝秘密的两种攻击方式。
• 提出了避免 ML-KEM 私钥被操纵的缓解措施，即使用生成密钥对的种子作为私钥，并证明了使用该种子的 KEM 具有特定的绑定属性。
• 比较了不同类型 KEM（如 RSA-KEM、ECIES-KEM）的绑定属性，指出经典 KEM 在误绑定方面存在弱点，而使用种子作为私钥是一个简单有效的解决方法。

关键信息：

• 介绍了thread及相关内容。
• 定义了误绑定、各种攻击者模型及相关概念。
• 详细说明了 Fujisaki-Okamoto 变换的原理和步骤。
• 阐述了 ML-KEM 的误绑定攻击及缓解措施。
• 比较了不同 KEM 的绑定属性。

重要细节：

• 隐形蝾螈示例用于解释误绑定概念。
• 详细描述了 FO.KeyGen、FO.Encaps、FO.Decaps 函数的实现及作用。
• 说明了 ML-KEM 中私钥的组成及两种误绑定攻击的具体过程。
• 提及 NIST 标准中 ML-KEM 封装方法的细节及 Kyber 团队的相关决策。
• 讨论了缓解措施中使用种子作为私钥的情况及相关问题。