2015級計算機 網絡工程7班 ?梁格 20152100168
1.文章主要思想和工作:
摘要:
本文主要討論后量子RSA。
首先,本文提出RSA參數
(1)密鑰生成,加密,解密,簽名和驗證是可行的。
(2)所有已知的攻擊都是不可行的,即使是高度可擴展的量子計算機也是如此。
其次,本文介紹了一種新的量子分解算法,它比Shor的算法快得多,比預量子分解算法快得多。
評價和比較后量子 RSA。
關鍵詞:
后量子密碼,RSA可擴展性,Shor算法,ECM,Grover算法,RSA再次成功
內容:
? Shor算法的1994年出版引起了普遍的說法,定量計算機將會破壞密碼學,或者至少是公鑰密碼學。然而,這些說法遠遠超出了Shor算法的實際限制,對量子密碼分析的后續研究幾乎沒有縮小差距。量子計算機將殺死RSA和ECC,但不會殺死基于哈希的密碼學,基于代碼的密碼學,基于格子的密碼學或多元二次方程式密碼學。傳統的看法是Shor算法將RSA公鑰考慮在內幾乎和合法的RSA用戶一樣可以解密, 其實,今天在互聯網上,所有已知的量子攻擊算法在加密時都是不可行的,解密仍然可行。
? 本文的重點在于加快RSA的標準技術,當被推到極端時,用戶的成本和攻擊者的成本在合法之間造成更大的差距。具體而言,對于本文的RSA版本,攻擊代價在使用成本上基本上是二次的。這些極端情況需要仔細分析量子因子分解算法。
? 本文還介紹了使用量子的GEECM(Grover plus EECM)計算機如下加速相同的EECM計算。與傳統計算機的搜索算法相比,Grover算法在量子搜索算法上有二次方的提速。我們不確定Grover算法是否有實際意義,若有,則將密鑰規模增大一倍即可保證安全。此外,指數級提速的搜索算法已經被證明不可能存在,故在量子時代對稱密碼算法和散列函數仍然是可用的。GEECM結果是后量子RSA參數選擇的主要制約因素之一。
? 關于后量子因子分解,對于RSA的每個現代變體,包括本文中考慮的變體,已知的最好的攻擊是分解算法。本節分析后整數分解的量子復雜度。有兩個重要的分解算法類。 第一類由算法組成在尋找小素數方面特別快速。第二類由同余組合算法組成。
? 后量子RSA 3推導出一種新的算法來生成大批獨立的均勻隨機數,比任何已知算法更有效地生成這樣的素數。RSA參數的初始實施結果很大,足以將所有已知的量子攻擊推到2100 qubit操作以上。 這些結果包括成功完成后期量子RSA中最昂貴的操作,即生成1TB的公鑰。
評估:后量子RSA不符合安全,老式的安全定義需要漸進的安全性多項式時間對手。 然而,后量子RSA似乎提供了一個合理的具體安全水平。
比較兩個機制:三重加密與基于代碼的密碼學,基于格子的密碼學和后量子對于負擔得起的用戶,RSA提供了更高的信心。后量子RSA在允許后量子加密,簽名和更高級的加密功能方面也是非常不尋常的。
?
建議:我們的批量生成算法建議,以幫助減少能源消費和保護環境,RSA的所有用戶 - 包括用戶,傳統的預量子RSA應該將他們的密鑰生成計算委托給NIST或另一個可信的第三方。允許用戶更頻繁地生成新的RSA密鑰并擦除舊的RSA密鑰,限制了重點盜竊的危害。
2、相關技術
量子加密技術:是量子通信科學發展的成果之一,又被稱為量子密鑰分發(QuantumKey Distribution)。依靠包括疊加態、量子糾纏和不確定性等在內的量子物理獨特性質,量子密鑰分發技術能夠實現傳統密鑰交換的功能,并且可以檢測和規避竊聽企圖。但這種方案也面臨著包括成本和傳播距離等因素在內的限制,而且攻擊者還能夠通過拒絕服務式攻擊嚴重削弱量子密鑰分發的效率。盡管上述兩種加密手段目前都處于發展階段,依然存在諸多問題需要解決,但是未來量子安全措施必然包含這些解決方案的恰當組合。
后量子密碼:后量子密碼(post-quantumcryptography),又被稱為抗量子密碼(quantum-resistantcryptography),是被認為能夠抵抗量子計算機攻擊的密碼體制。此類加密技術的開發采取傳統方式,即基于特定數學領域的困難問題,通過研究開發算法使其在網絡通信中得到應用,從而實現保護數據安全的目的。后量子密碼的應用不依賴于任何量子理論現象,但其計算安全性據信可以抵御當前已知任何形式的量子攻擊。盡管大數分解、離散對數等問題能夠被量子計算機在合理的時間區間內解決,但是基于其他困難問題的密碼體制依然能夠對這種未來威脅形成足夠防御能力。更為重要的是,它們還可以與當前網絡系統實現較高程度的兼容,從而會減小當前密碼系統向后量子密碼遷移可能面臨的阻力。
舒爾算法(Shor's algorithm):以應用數學家彼得·舒爾(Peter Williston Shor)命名,針對整數分解問題的量子算法 (在量子計算機上面運作的算法)。
RSA可擴展性:很明顯,后量子RSA公鑰n需要相當大抵御第2節中描述的攻擊。本節分析的可擴展性,可用于RSA密鑰生成,加密,解密,簽名生成和簽名驗證。在最初的RSA文件[43]中,e是一個隨機數,有很多位作為n。拉賓在[42]建議,而不是使用一個小常數e,并說e = 2是“幾百倍”。拉賓的加速因子增長為Θ(lg n),這對本文所考慮的大尺寸的n值尤其重要。
3、相關算法偽代碼
Shor算法:
將暫存器初始化成x從0到Q ? 1。所以這一個初始態是Q 個狀態的疊加。
建立量子函式版本的f(x) ,并且應用于上面的疊加態, 得到 .這里仍舊是Q個狀態的疊加。
對輸入暫存器進行量子傅立葉變換。這個變換(操作于二的冪次--Q = 2q個疊加態上面) 使用一個Qth單位根例如將任意給定態的振幅平均分布在所有Q個態上。另一個方法是對于每個不同的x: 。由此得到最終狀態: .這是一個遠多過Q個狀態的疊加態,但是遠低過Q2個。雖然在和中有Q2項,但只要x0 和 x的值相同,態就可被提出來。令 為 Qth 的一個單位根,r 為 f 的周期,x0為一個產生相同 f(x) 的 x 的集里面的最小元素(我們已經有x0 < r),以及b在0到之間使得。那么則是復平面的一個單位向量(是一個單位根,r 和 y 是整數),而在最終狀態下的系數則為 。這一求和的每一項代表一個獲得相同結果的不同路徑,而量子干涉發生。在單位向量幾乎與復平面指向同一方向(要求指向正實數軸)時,干涉將是相長的。
進行測量。我們由輸入寄存器取得結果y,由輸出寄存器取得。 而既然f 是周期,對某對y和 進行測量的概率則由 給出。 分析顯示這個概率越高,單位向量就越接近正實數軸,或者yr/Q就越接近一個整數。除非r是2的乘方,否則它不會是Q的因子。
對y/Q進行連分數展開來計算其近似值,并生成滿足下列兩個條件的c/r′: A: r′
檢查f(x) = f(x + r′) 。 如果成功了,我們就完成了。
否則,以接近y左右的數值作為r的候選,或者說多取幾個r′. 如果任何候選成功了,我們就完成了。
否則,回到第一步驟(也就是全部重新作一次)。
?
?
Grover算法:
RSA算法:
4、發展方向
除量子公鑰密碼外,后量子公鑰密碼都是基于不能轉換成離散傅立葉變換的數學難題而建立,主要有以下幾種類型。
(1)基于hash算法構造的Merkle型簽名算法基于hash算法構造的簽名體制,最經典的是Merkle hash樹簽名體制[6],由傳統的hash函數和任意的一次性簽名算法,共同構造出一個完全二叉樹來實現數字簽名。
(2) 基于編碼的公鑰算法基于編碼理論構造的公鑰體制,其理論基礎是解碼問題的困難性,即僅在已知生成矩陣的情況下,在碼空間中尋找一個碼字與已知碼的Hamming距離最短。
(3) 基于格的公鑰算法基于格的公鑰密碼是指在大維數的格上,基于最短向量問題(S V P)和最近向量問題(CVP)等數學難題而構造的公鑰密碼體制。
(4)基于多變量的公鑰算法多變量公鑰密碼體制(M u l t i v a r i a t e-q u a d r a t i c-p o l y n o m i a l s P u b l i c K e y Cryptosystem,簡稱MQ或MPKC)是一大類各具特色的公鑰密碼算法的統稱,也是近年來后量子公鑰密碼的研究熱點。這類體制主要基于有限域上的多元二次多項式方程組的難解性。與RSA、DH、ECC相比,多變量公鑰密碼的安全性很難被證明等價于一個已知的可簡單表述的數學難題,因而也被認為是很難找到相應量子攻擊算法的難題,從而被看成具有抗量子計算的性能。
? 值得一提的是,除了上述幾種公鑰算法外,國內也由管海明、張煥國等在多變量體制的基礎上自主提出了基于有理分式的公鑰算法。3后量子公鑰密碼研究新的特點目前,國際上關于后量子公鑰密碼的研究趨勢有以下幾個明顯的特點。一是研究步伐逐步加快。這從近幾年召開的后量子密碼會議可見一斑。2006年,在比利時的Leuven召開了第一屆國際后量子密碼學會議,2008年在美國的Cincinnati召開了第二屆,2010年在德國的Darmstadt召開了第三屆,基本上是兩年一屆。但今年,將在中國臺北召開第四屆,且以后將每年一屆,時間節奏明顯加快。二是更加注重相關基礎研究。例如對近年提出的后量子算法的數學理論基礎有了更多的探討,加強了對算法的安全性分析,對與抗量子性能相關的量子復雜性理論的研究也越來越多。三是更加注重算法的有效性與可用性。因為可實用的量子計算機的問世已越來越迫近,可用性與效率都是無法回避的問題。四是各國政府的支持力度也越來越大。表面上看,后量子密碼的研究屬于學術領域,但背后往往有政府的參與,因為這是涉及未來若干年國家安全的重大學術問題 。
