展望后量子密码学时，基于辫子的密码学被证明是不安全的吗？

#1 楼

我相信，共轭搜索问题已被概率攻击所打破（请参阅第7章）。我不确定这是否完全结束了编织密码学，因为编织组中还有其他困难的问题尚未得到广泛研究。

#2 楼

我不认为基于辫子的密码学已经死了，因为目前正在研究并最近提出了将辫子组应用于密码学的新方法。实际上，最近的研究人员已经观察到编织物如何用于可逆电路模糊处理。辫子，由Alagic，Jeffery和Jordan解释，如何使用辫子组模糊可逆电路，从而模糊所有形式的经典计算。本文甚至进一步解释了如何将辫子也用于混淆量子计算。这种混淆方法不依赖于辫子的共轭问题之一的困难。

基于辫子的混淆背后的数学

代数结构$（X，*如果$（X，*）$满足标识$ x *（y * z）=（x * y）*（x * z）$，则将$）称为LD系统。换句话说，LD系统满足自分配身份。通过让$ L_ {a}（x）= a * x $为X $中的每个$ a \定义一个映射$ L_ {a}：X \ rightarrow X $。机架是LD系统$（X，*）$，其中每个映射$ L_ {a} $是双射的。例如，如果$ G $是一个组，而$ * $是在$ x $ y = xyx ^ {-1} $定义的$ G $上的共轭运算，则$（G，*）$是一个机架。 br />
如果$（X，*）$是机架，则编织组$ B_ {n} $通过让
$（x_ {1}来作用于$ X ^ {n} $ ，...，x_ {n}）\ sigma_ {i} =（x_ {1}，...，x_ {i} * x_ {i + 1}，x_ {i}，x_ {i + 2}， ...，x_ {n}）$。

应该考虑$ \ sigma_ {i} $对$（x_ {1}，...，x_ {n}）$的作用通过可逆门$（a，b）\ mapsto（a * b，a）$运行元素$（x_ {i}，x_ {i + 1}）$。因此，应该将编织字在$（x_ {1}，...，x_ {n}）$上的作用视为通过运行$（x_ {1}，...，x_ {n}）$

原来，在LD系统$（A_ {5}，*）$上用于编织字作用的可逆电路对于可逆计算是通用的。

因此，为了模糊可逆电路，首先我们将可逆电路表示为编织词$ w $。然后让$ w'$是与$ w $等价但以某种常规形式等效的唯一编织字。然后，编织字$ w'$代表一个模糊的可逆电路，其计算结果与$ w $相同。

不幸的是，1中的经典电路混淆器是不安全的，因为基于长度的攻击对其起作用。但是，对于量子混淆器不安全的安全性知之甚少。

#3 楼

作为一个数据点：SecureRF公司有一个基于辫子组的方案，他们称为“组理论密码学”（真的是伙计们吗？可能更通用吗？）。 [请参阅他们的已发表论文和演示文稿列表]

这不是我的专业领域，但是我相信他们可以从称为e乘法的活板结构中获得安全性，而不是来自共轭问题。 >
我相信他们正计划参加NIST的“量子后”竞赛，这样可以回答您的问题“是的，有一些编织群构造被认为是完整的且量子安全的”。