<div dir="ltr">When you say for "certificates", do you mean for use in TLS? If that's the case, there aren't many good options right now: the ones with relatively short signatures are shaky, and the ones that are actually solid have relatively large signatures.<div><br></div><div>SPHINCS is a nice option aside from the fact signatures are 41kB:</div><div><br></div><div><a href="https://sphincs.cr.yp.to/">https://sphincs.cr.yp.to/</a><br></div><div><br></div><div>I think post-quantum signatures are a bit less pressing than post quantum encryption/key exchange though. We can always go back and resign things. Once a ciphertext hits a wire though, anyone who observed it can keep it around and decrypt it retroactively.</div><div class="gmail_extra"><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>