Існує компроміс у постквантових схемах підпису, який стає очевидним, коли починаєш розмірковувати про те, як вони поводяться в реальних системах. Швидкість, розмір підпису та консервативність базових припущень про безпеку часто взаємодіють одне з одним. Зазвичай можна зробити непогану роботу з двома з них, але не отримаєш усі три одночасно. Я називаю це «Трилемою постквантового підпису». Уявлення про постквантові підписи як про розміщення всередині трикутника значно полегшує простір для роздумів. Різні схеми не кращі чи гірші в ізоляції. Вони роблять різні рішення щодо того, які витрати платити і де ці витрати відображаються. Коли ви чітко це пояснюєте, стає легше поєднати схему з системою, ніж абстрактно сперечатися, яка з них «найкраща». Я описав це детальніше нижче.