Det finns en avvägning i post-kvantsignaturscheman som blir uppenbar när man börjar resonera kring hur de beter sig i verkliga system. Hastighet, signaturstorlek och hur konservativa de underliggande säkerhetsantagandena är tenderar att dra mot varandra. Du kan oftast göra ett hyfsat jobb på två av dessa men du får inte alla tre samtidigt. Jag kallar detta för "Post-Quantum Signature Trilemma". Att tänka på post-kvantsignaturer som att de sitter inuti en triangel gör designutrymmet mycket lättare att resonera i. Olika system är varken bättre eller sämre i sig själva. De gör olika val om vilka kostnader de ska betala och var dessa kostnader dyker upp. När du är tydlig med det blir det lättare att matcha ett schema med ett system, istället för att abstrakt argumentera om vilket som är "bäst". Jag skrev detta mer detaljerat nedan.