在“ Keccak和SHA-3标准化”(2013年2月6日)的第14页上说:



海绵功能的实例化

>置换KECCAK-f
7个置换:b→{25,50,100,200,400,800,1600}
使用相同置换的安全性-速度折衷,例如,

SHA-3实例:r = 1088和c = 512
排列宽度:1600
安全强度256:量子后足够量

轻量级实例:r = 40和c = 160
排列宽度:200
安全强度80:与SHA-1相同








(注意:重点是我的)

由于我认为量子密码学目前正在普及,在未来的几年中有很大的发展潜力,所以我只想问:确切的是KECCAK的基础声称256位的安全强度“足够后量子”?

评论

我猜他们的意思是“后量子足以使我们对量子技术有直接的了解”,当您想到它时,这是很合理的,与经典算法在“真正针对当前已知的密码分析是安全的”时被视为“安全”形成对比技术”。但是很难不猜测何时涉及量子密码学-没人能确定,也没有人使用量子密码,因此将其添加到列表中看起来很好。无论如何,我想这就是理由。

#1 楼

好吧,密码学家现在已经在考虑一个后量子世界了。

量子计算虽然在现实计算机中还处于起步阶段,但在理论上已经进行了相当多的研究。一会儿。 Shor的算法于19年前发布;格罗弗百货(Grover's),距今已有17年。我认为这是两种最著名的量子算法,但是该领域的发展远不止于此:根据Wikipedia的说法,该领域诞生于1980年代。

关键是,尽管量子计算尚未产生出可用的,有用的现实生活中的量子计算机,但它已经被考虑了很长时间了。因此,尽管仍然有可能取得巨大突破,但研究人员可能已经用尽了所有容易的攻击手段。此外,由于在过去的16年中似乎没有出现任何威胁密码学的新量子攻击(至少,据我所知没有),因此谈论后量子强度似乎相对安全。

更重要的是,后量子世界中对散列函数的真正威胁将是格罗弗的算法。使用Grover的算法,在$ n $位的随机预言机上进行强力原图像搜索的时间为$ O \ left(2 ^ {n / 2} \ right)$。

虽然渐近边界的直接应用是相当不精确的,但是对于256位(耐前像差)散列函数,这将导致前像前攻击时间$ 2 ^ {128} $。这仍然是安全的,我认为这就是作者说“量子后足够”时的意图。有关更多信息,请参阅问题Keccak为量子攻击(特别是Grover的算法)提供什么安全性?。

评论


$ \ begingroup $
还值得注意的是,用于量子搜索和碰撞发现的Grover算法和Brassard-Hoyer-Tapp算法本质上都是最优的,即它们与已知的渐近下界相匹配。
$ \ endgroup $
–塞缪尔·内维斯(Samuel Neves)
13年8月1日在15:03

$ \ begingroup $
按照您自己的链接,我感到印象深刻的是,对于基本的量子生日攻击而言,$ n / 3 $位是什么?您的答案暗示$ n / 2 $位安全
$ \ endgroup $
–密码学家
2014年2月4日14:14



$ \ begingroup $
@figlesquidge:请参阅Bernstein的这篇论文,特别是第三页。他认为,用于碰撞发现的BHT量子算法的成本将比Grover的成本更高。非常感谢Nightcracker,大约一个月前为我提供了此引用。
$ \ endgroup $
–里德
2014年2月4日14:40在

$ \ begingroup $
干杯-今天晚上看。在这种情况下,我是否建议您在答案中提及更重要的事实:)
$ \ endgroup $
–密码学家
2014年2月4日14:41

$ \ begingroup $
大卫·德意志(David Deutsch)于1984年发布(于1985年出版),是量子图灵机的第一个已知记录。 people.eecs.berkeley.edu/~christos/classics / ...
$ \ endgroup $
–地猫
17年4月20日在2:40