Post-quantum RSA 閱讀報告

文章主要介紹RSA如何加強使得能使得所有已知的量子攻擊算法都是不可行的,而加密和解密仍然可行。

對于文中的RSA參數:(1)加密,解密,簽名和驗證是可行的;(2)所有已知的攻擊是不可行的。包括高度可擴展的量子計算機的攻擊。

性能分析部分:本文介紹了一種新的算法來生成一批素數。?

攻擊分析部分,本文介紹了一種新的量子分解方法GEECM,通常比Shor的算法快得多,并且比預量子分解算法快得多。?

一、歸納文章主要思想與工作

問題:RSA參數是否可以調整,使得所有已知的量子攻擊算法都是不可行的,而加密和解密仍然可行。

文章圍繞“量子計算機是否真的會殺死RSA?”展開。在量子計算機被建立,qubit操作作為一種廉價操作的假設下,Shor的算法很容易破壞RSA。Shor的算法用RSA公鑰n進行解密幾乎和合法的RSA用戶解密一樣快。當Shor算法使用量子冪模n。 Shor算法只多一些小的開銷,這些開銷在解密成本和分解成本之間只產生一個非常小的差距。 本文將加速RSA的標準技術在被推到極限時,合法RSA用戶成本和攻擊者成本之間會造成更大的差距。對于文中的RSA,攻擊代價在使用成本上基本上是二次的。這些情況需要仔細分析整數分解的量子算法。文章介紹了量子分解算法GEECM。GEECM成為Post-quantum RSA參數選擇的主要限制之一。這些情況還需要仔細分析基本RSA操作的算法。所以文章引入了一種新的算法來生成大量的獨立的均勻隨機素數。

二、討論相關技術

(一)Post-quantum factorization:GEECM(量子環算法,比Shor算法和所有預量子分解算法快得多。更高效的方法是采用最好的預量子算法來尋找小素數,并使用量子技術來加速這些算法。)

ECM……在標準猜想下,ECM使用環操作2^((lgy)^(1/2+o(1)))找到素數p≤y。在對o(1)進行更詳細的分析的基礎上得出截斷值在2^30以下。

EECM……ECM的最新變體。EECM選擇Edwards curve:x^2+y^2=1+d^2y^2超過Q,或者選擇具有已知非扭轉點P的扭曲Edwards曲線;EECM也選擇一個較大的整數s,并使用Edwards加法定律來計算曲線上P的倍數,特別是用整數的一小部分表示的x坐標x(sP)。環算法的輸出是這個分數的分子。總的來說,計算需要(7+o(1))lgs乘法(超過半數是平方)和相當數量的加、減法。

GEECM……量子計算機使用以加速相同的EECM計算。Grover的方法加速搜索函數的根:如果函數f的輸入是概率為1/R的f的根,則經典搜索執行R的R評估,而Grover的方法是執行關于√R量子評估f。函數f的輸入是EECM曲線的選擇結果,并且當該曲線選擇的EECM結果具有與n相同的非平凡因子時,其輸出恰好為0。EECM通過經典搜索找到f的根;GEECM通過Grover的方法找到了f的根。如果選擇s和z,那么f的輸入就是f的概率為1/L^(1/2c+o(1))的根,所以GEECM只使用L^(1/4c+o(1))量子估計的f,總的L^(c+1/4c+o(1))量子環運算。對于c=1/2,表達式c+1/4c取其最小值1;那么總的成本就是L^(1+o(1))環操作。GEECM將環操作從L^(√2+o(1))減少到L^(1+o(1)),其中L=exp(logyloglogy)^(1/2)。對于相同數量的操作,GEECM將logy增加了2+o(1),幾乎是可以找到的素數的兩倍。

(二)RSA可擴展性

后量子RSA公鑰n需要相當大才能抵抗上述后量子分解算法中描述的攻擊。文章有可用于RSA密鑰生成、加密、解密、簽名生成和簽名驗證的最佳算法的可擴展性的分析。

(1)選用小指數。RSA公鑰運算是計算一個n次方的模。文章取e=3。計算n次模n,然后取n個模n和一個常數乘nn。每個步驟都使用標準的快速乘法技術來進行(lgn)^(1+o(1))位操作。

(2)多素數。RSA密鑰操作是計算eth根模n。

該文章的重點是多重RSA如何擴展到更大的模數n。量子計算機誕生后,最主要的威脅是GEECM和Shor算法。因此RSA密鑰生成、解密和簽名生成,采取(lgn)^(1+o(1))位操作。

(3)密鑰生成。k-prime指數-3RSA公鑰n是k個與2模3相同的不同的素數p的乘積。

(4)加密。Shoup的“RSA-KEM”等最新的機制簡單地使用RSA對隨機數據的n位進行加密,對隨機數據進行散列,得到一個密鑰,用密鑰對用戶的消息進行加密和認證,并且不需要任何填充。

(5)解密。在后量子RSA的情況下,加密的速度比加速解密要慢得多。

(6)簽名生成和驗證。

三、指出未來的研究方向、未解決的難題等

1.有一系列的工作表明,大規模的秘密可以防止惡意軟件限制數量的旁路攻擊和有限數量的漏洞。一個TB級只需要幾個小時的時間就可以通過一個千兆以太網鏈路進行傳輸,但是這個工作的基本思想是有時候會限制旁通道和出口通道的時間和/或帶寬,這些限制可能會停止攻擊者從提取所需的秘密。分析Post-quantum RSA 中的秘密提供這種保護的程度是很有意思的。然而,要小心,系統的其他部分可能會損害正面的回答,而這些部分并沒有把注意力放在擴展數據上。

2.安全問題及成本:我們的批量生成算法表明,為了幫助降低能耗和保護環境,RSA的所有用戶(包括傳統的前量子RSA的用戶)都應該將他們的密鑰生成計算委托給NIST或另一個可信的第三方。這種速度的提高還可以使用戶生成新的RSA密鑰,并更頻繁地刪除舊的RSA密鑰,從而限制了密鑰盜竊的危害。然而,所有可信的第三方協議都會引發安全問題,并且所有已知技術安全地分配或委托RSA計算的成本都很高。

3.將后量子RSA集成到標準互聯網協議(如TLS)中。這種集成在概念上很簡單,但需要解決許多系統級的挑戰,例如對加密庫允許的RSA密鑰大小的各種限制。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容