我对辫子组的其他攻击知之甚少,但是它们肯定会结束辫子在密码学上的任何应用吗?如果我们可以突出显示与椭圆曲线的双线性配对类似的辫子的特性,并允许在后量子世界中使用一些相关的高级协议,它们是否会变得更有趣,或者对于加密术来说它们肯定太弱了吗?
编辑:
请注意,我的问题并不是要说“还有人对辫子感兴趣吗”,而是“我们是否知道针对(与我无关)对共轭相关问题的攻击?将它们明确标记为“不适合加密”的辫子”。我肯定不是在寻找(或期望)
作为回答它们有多有趣的任何看法。
#1 楼
我相信,共轭搜索问题已被概率攻击所打破(请参阅第7章)。我不确定这是否完全结束了编织密码学,因为编织组中还有其他困难的问题尚未得到广泛研究。#2 楼
我不认为基于辫子的密码学已经死了,因为目前正在研究并最近提出了将辫子组应用于密码学的新方法。实际上,最近的研究人员已经观察到编织物如何用于可逆电路模糊处理。辫子,由Alagic,Jeffery和Jordan解释,如何使用辫子组模糊可逆电路,从而模糊所有形式的经典计算。本文甚至进一步解释了如何将辫子也用于混淆量子计算。这种混淆方法不依赖于辫子的共轭问题之一的困难。基于辫子的混淆背后的数学
代数结构$(X,*如果$(X,*)$满足标识$ x *(y * z)=(x * y)*(x * z)$,则将$)称为LD系统。换句话说,LD系统满足自分配身份。通过让$ L_ {a}(x)= a * x $为X $中的每个$ a \定义一个映射$ L_ {a}:X \ rightarrow X $。机架是LD系统$(X,*)$,其中每个映射$ L_ {a} $是双射的。例如,如果$ G $是一个组,而$ * $是在$ x $ y = xyx ^ {-1} $定义的$ G $上的共轭运算,则$(G,*)$是一个机架。 br />
如果$(X,*)$是机架,则编织组$ B_ {n} $通过让
$(x_ {1}来作用于$ X ^ {n} $ ,...,x_ {n})\ sigma_ {i} =(x_ {1},...,x_ {i} * x_ {i + 1},x_ {i},x_ {i + 2}, ...,x_ {n})$。
应该考虑$ \ sigma_ {i} $对$(x_ {1},...,x_ {n})$的作用通过可逆门$(a,b)\ mapsto(a * b,a)$运行元素$(x_ {i},x_ {i + 1})$。因此,应该将编织字在$(x_ {1},...,x_ {n})$上的作用视为通过运行$(x_ {1},...,x_ {n})$
原来,在LD系统$(A_ {5},*)$上用于编织字作用的可逆电路对于可逆计算是通用的。
因此,为了模糊可逆电路,首先我们将可逆电路表示为编织词$ w $。然后让$ w'$是与$ w $等价但以某种常规形式等效的唯一编织字。然后,编织字$ w'$代表一个模糊的可逆电路,其计算结果与$ w $相同。
不幸的是,1中的经典电路混淆器是不安全的,因为基于长度的攻击对其起作用。但是,对于量子混淆器不安全的安全性知之甚少。
#3 楼
作为一个数据点:SecureRF公司有一个基于辫子组的方案,他们称为“组理论密码学”(真的是伙计们吗?可能更通用吗?)。 [请参阅他们的已发表论文和演示文稿列表]这不是我的专业领域,但是我相信他们可以从称为e乘法的活板结构中获得安全性,而不是来自共轭问题。 >
我相信他们正计划参加NIST的“量子后”竞赛,这样可以回答您的问题“是的,有一些编织群构造被认为是完整的且量子安全的”。
评论
$ \ begingroup $
到2015年底,SecreRF的代数橡皮擦处于多个中断/修复周期的中断状态,并且人们提出的驳斥最后一个中断的论点颇有疑问;看到这个和答案。
$ \ endgroup $
–fgrieu♦
17年7月24日在18:40
$ \ begingroup $
Schneier的博客文章很棒的@fgrieu LOL。好吧,我将避免从他们那里购买任何东西,并让我的爆米花让他们的NIST提交撕成碎片。
$ \ endgroup $
–麦克·恩斯沃思(Mike Ounsworth)
17年7月24日在18:47
$ \ begingroup $
我做了2017-07更新; SecureRF勉强地接受了一些拟议的代数橡皮擦标准是易受攻击的,并推出了Ironwood,看起来像是替代品。最新的说法较为谦虚(参数化的Ironwood不再作为成熟的非对称身份验证和密钥协商协议提供),似乎可以解决较早的攻击。另一方面,这是一个非常新的协议,并且没有正式降低安全性,这与过去20年来现代加密的趋势相反。
$ \ endgroup $
–fgrieu♦
17年7月25日在11:19
$ \ begingroup $
@fgrieu是的,这与SecureRF在最近一次会议上提出的内容更加一致。我也喜欢安全性证明,但是随着量子威胁越来越近,并且越来越明显的是许多带有形式证明的方案具有不可用的大数据结构,我看到越来越多的方案被提出而没有证明-例如在最近的PQCrypto2017会议上。
$ \ endgroup $
–麦克·恩斯沃思(Mike Ounsworth)
17年7月25日在13:49
$ \ begingroup $
对于错过的人来说,快进到2019年:同时,他们的提交经历了多个中断/修复周期,没有进入NIST第二轮比赛。
$ \ endgroup $
– yyyyyyy
19年9月12日在0:50