如果我想了解量子抗性密码学,最好的资源是什么?我应该研究哪种类型的椭圆曲线?
#1 楼
后量子加密是一个非常年轻的领域,并且仍在迅速变化。如果您只是想通过阅读清单向您介绍这些主题,我建议您使用欧盟PQCrypto项目发布的2015年3月报告和NIST的2016年4月报告。今天,这是(不完整的)后量子密码学候选算法列表,并链接到我可以为每种材料找到的最佳阅读材料:现在一切都好了,您只需要对Grover搜索将输出大小加倍即可:
SHA-2 256和更高版本
SHA-3 256和更高版本(又名Keccak)
基于哈希的签名:
XMSS
Sphincs
对称加密:我们现在拥有的一切都很好,您只需要针对Grover搜索将密钥大小加倍即可:
AES 256
非对称加密(其中一些还包括签名方案,但是为什么当基于散列的sig可以这么好工作时呢?):
NTRU(基于格的加密)
McEliece(基于代码的加密)
带错误的环学习(R-LWE)(基于格的加密)
多元多项式(尚无特定算法)
超奇异椭圆曲线的同质性(尚无特定算法)
由于您特别询问了椭圆曲线,因此您将会注意到,当前形式的ECC不在此列表中。那是因为通过量子计算机上的Shor算法可以轻松解决椭圆曲线点乘法的离散对数问题。据推测,在经典曲线计算机和量子计算机上,一条曲线上的一个点到(可能)不同曲线上的一个点都很难反转。 :
与其他方法相比,键更小且运行速度更快。
其他方法都具有“做一些线性代数的方式,这对于Eve来说是可以反转的,因此会出现一些错误,Bob和Eve都必须猜测为了扩大它们之间的计算鸿沟,这种基本方法使我有点不安。在接下来的18个月中,通过类似竞赛的方式选择最佳的量子后加密原语。
评论
$ \ begingroup $
Keccak和AES-256也是Post Quantum。
$ \ endgroup $
– Biv
16年5月21日在11:11
$ \ begingroup $
@Biv与SHA2系列一样。很好,我将添加散列和对称密码。
$ \ endgroup $
–麦克·恩斯沃思(Mike Ounsworth)
16年5月21日在11:14
$ \ begingroup $
实际上,尽管同构确实具有较小的密钥和密文大小(NTRU在其中具有竞争力),但是从我的观察中,运行时间比其他方法要慢。从根本上讲,同构是基于一个问题,即(IMHO)根本没有得到很好的研究。对此信任很多似乎为时过早
$ \ endgroup $
–雨披
16年5月21日在13:54
$ \ begingroup $
@poncho是的,我当然还没有编写它的实现,但是我对研究很感兴趣。
$ \ endgroup $
–麦克·恩斯沃思(Mike Ounsworth)
16年5月21日在13:56
$ \ begingroup $
海绵结构不是从$ 2 ^ {n / 2} $减少到$ 2 ^ {n / 3} $吗?
$ \ endgroup $
–森林
18年5月20日在4:26
#2 楼
传统上我们称为椭圆曲线密码术(在有限域上的椭圆曲线上的点组中工作)容易受到运行Shor算法的量子计算机的攻击,因此不被视为量子安全或量子后加密算法。但是,存在一种真正的后量子密钥交换算法,该算法使用椭圆曲线的数学运算法则,并且到目前为止,已经研究过的专家认为它是安全的。这种密钥交换已被称为“超奇异基因Diffie-Hellman”。这是Microsoft研究人员最近进行的深入研究的主题。他们的工作可以在这里找到。
该算法适用于称为“同基因”的超奇异椭圆曲线之间的有理映射。该算法归因于DeFeo,Jao和Plut。交换的关键要素是超奇异椭圆曲线的等值线形成了一个NONABELIAN组(它阻止了Shor算法)。较早的基于异构的椭圆曲线是基于由普通椭圆曲线形成的ABELIAN组。但是,它遭受的是次指数攻击。
要直接回答您的问题,您应该查看超奇异椭圆曲线,以便有效地计算异构体。参考资料1提供了更多背景知识。
评论
$ \ begingroup $
请发表有关cacr.uwaterloo.ca/techreports/2014/cacr2014-24.pdf上的“用于计算超奇异椭圆曲线之间的同质性的量子算法”的评论?
$ \ endgroup $
–Vadym Fedyukovych
16 Nov 25'9:52
评论
您能找到一种更客观的方式询问您所追求的吗? (即一个具体的可回答问题。)这是非常主观的,开放式的,这些问题不在主题之列。我应该研究哪种类型的椭圆曲线? -量子电阻...都不是
“对公钥密码系统的量子攻击”
@RichieFrame呃,椭圆曲线确实在量子电阻中出现了……但是我们不是在它们上进行点乘法,而是在计算它们之间的同质性。具体来说,我们正在研究超奇异曲线。