Новая надежда

В криптографии NewHope - это протокол согласования ключей , разработанный Эрдемом Алкимом , Лео Дукасом, Томасом Пёппельманном и Питером Швабе, который предназначен для защиты от атак квантового компьютера . ^[1]^[2]

NewHope основан на математической задаче, известной как кольцевое обучение с ошибками (RLWE), которую, как полагают, трудно решить. NewHope был выбран в качестве круглого два участника в NIST Post-Quantum Cryptography стандартизации конкуренции, ^[3] и был использован в Google «s CECPQ1 эксперимента как квантово-безопасный алгоритм, наряду с классическим X25519 алгоритма. ^[4]^[5]

Выбор дизайна [ править ]

Разработчики NewHope сделали несколько вариантов при разработке алгоритма: ^[6]

Биномиальная выборка : хотя выборка для высококачественного дискретного распределения Гаусса важна в схеме компактной подписи на основе постквантовой решетки, такой как Falcon (парадигма хеширования и подписи в стиле GPV) и BLISS ( парадигма Fiat-Shamir в стиле GLP ), предотвратить утечку информации о закрытом ключе подписи, в противном случае это не так важно для схем обмена ключами. Автор выбрал выборку векторов ошибок из биномиального распределения .
Согласование ошибок : NewHope отличается от своих предшественников методом согласования ошибок. Предыдущее кольцевое обучение со схемами обмена ошибочными ключами исправляло ошибки по одному коэффициенту за раз; где NewHope исправляет ошибку 2 или 4 коэффициента за раз на основе геометрии большой размерности. Это позволяет снизить частоту сбоев дешифрования и повысить безопасность.
Генерация базового вектора : авторы NewHope предложили вывести базовый «генераторный» вектор (обычно обозначаемый как A или ) из выходных данных функции XOF SHAKE-128 , чтобы предотвратить использование «скрытых» значений, что может произойти. с традиционным Диффи-Хеллманом через атаку затора . ${\ displaystyle a}$
Уровни безопасности : В ранних версиях статей, описывающих NewHope, авторы предложили использовать полином 1024 степени для 128-битного «постквантового» уровня безопасности и полином 512 градусов в качестве «игрушечного» экземпляра для задачи криптоанализа. ^[7] В версии, представленной в NIST, версия с 512-градусной кодировкой кодифицирована для обеспечения 128-битного «классического» уровня безопасности.

См. Также [ править ]

Ссылки [ править ]

^ "NewHope Пост-квантовая инкапсуляция ключей" .
^ «Chrome: запретить будущим компьютерам взламывать текущее шифрование» . CNET .
^ Отдел компьютерной безопасности, Лаборатория информационных технологий (3 января 2017 г.). «Подача заявок на второй раунд - Постквантовая криптография - CSRC» . Csrc.nist.gov . Дата обращения 14 ноября 2019 .
^ «Эксперименты с постквантовой криптографией» . security.googleblog.com . 7 июля 2016 . Дата обращения 14 ноября 2019 .
^ «Результаты CECPQ1 (28 ноября 2016 г.)» . Адам Лэнгли, сотрудник службы безопасности Google.
^ Оригинальный документ с предложением
^ «Постквантовый обмен ключами - новая надежда» . eprint.iacr.org . 10 ноября 2016 . Дата обращения 14 ноября 2019 .

Внешние ссылки [ править ]

Эталонная реализация

[cf-1] "NewHope Пост-квантовая инкапсуляция ключей" .

[cnet-2] «Chrome: запретить будущим компьютерам взламывать текущее шифрование» . CNET .

[3] Отдел компьютерной безопасности, Лаборатория информационных технологий (3 января 2017 г.). «Подача заявок на второй раунд - Постквантовая криптография - CSRC» . Csrc.nist.gov . Дата обращения 14 ноября 2019 .

[4] «Эксперименты с постквантовой криптографией» . security.googleblog.com . 7 июля 2016 . Дата обращения 14 ноября 2019 .

[results-5] «Результаты CECPQ1 (28 ноября 2016 г.)» . Адам Лэнгли, сотрудник службы безопасности Google.

[6] Оригинальный документ с предложением

[7] «Постквантовый обмен ключами - новая надежда» . eprint.iacr.org . 10 ноября 2016 . Дата обращения 14 ноября 2019 .

[1]