Перейти к навигации Перейти к поиску
В криптографии NewHope - это протокол согласования ключей , разработанный Эрдемом Алкимом , Лео Дукасом, Томасом Пёппельманном и Питером Швабе, который предназначен для защиты от атак квантового компьютера . [1] [2]
NewHope основан на математической задаче, известной как кольцевое обучение с ошибками (RLWE), которую, как полагают, трудно решить. NewHope был выбран в качестве круглого два участника в NIST Post-Quantum Cryptography стандартизации конкуренции, [3] и был использован в Google «s CECPQ1 эксперимента как квантово-безопасный алгоритм, наряду с классическим X25519 алгоритма. [4] [5]
Выбор дизайна [ править ]
Разработчики NewHope сделали несколько вариантов при разработке алгоритма: [6]
- Биномиальная выборка : хотя выборка для высококачественного дискретного распределения Гаусса важна в схеме компактной подписи на основе постквантовой решетки, такой как Falcon (парадигма хеширования и подписи в стиле GPV) и BLISS ( парадигма Fiat-Shamir в стиле GLP ), предотвратить утечку информации о закрытом ключе подписи, в противном случае это не так важно для схем обмена ключами. Автор выбрал выборку векторов ошибок из биномиального распределения .
- Согласование ошибок : NewHope отличается от своих предшественников методом согласования ошибок. Предыдущее кольцевое обучение со схемами обмена ошибочными ключами исправляло ошибки по одному коэффициенту за раз; где NewHope исправляет ошибку 2 или 4 коэффициента за раз на основе геометрии большой размерности. Это позволяет снизить частоту сбоев дешифрования и повысить безопасность.
- Генерация базового вектора : авторы NewHope предложили вывести базовый «генераторный» вектор (обычно обозначаемый как A или ) из выходных данных функции XOF SHAKE-128 , чтобы предотвратить использование «скрытых» значений, что может произойти. с традиционным Диффи-Хеллманом через атаку затора .
- Уровни безопасности : В ранних версиях статей, описывающих NewHope, авторы предложили использовать полином 1024 степени для 128-битного «постквантового» уровня безопасности и полином 512 градусов в качестве «игрушечного» экземпляра для задачи криптоанализа. [7] В версии, представленной в NIST, версия с 512-градусной кодировкой кодифицирована для обеспечения 128-битного «классического» уровня безопасности.
См. Также [ править ]
Ссылки [ править ]
- ^ "NewHope Пост-квантовая инкапсуляция ключей" .
- ^ «Chrome: запретить будущим компьютерам взламывать текущее шифрование» . CNET .
- ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (3 января 2017 г.). «Подача заявок на второй раунд - Постквантовая криптография - CSRC» . Csrc.nist.gov . Дата обращения 14 ноября 2019 .
- ^ «Эксперименты с постквантовой криптографией» . security.googleblog.com . 7 июля 2016 . Дата обращения 14 ноября 2019 .
- ^ «Результаты CECPQ1 (28 ноября 2016 г.)» . Адам Лэнгли, сотрудник службы безопасности Google.
- ^ Оригинальный документ с предложением
- ^ «Постквантовый обмен ключами - новая надежда» . eprint.iacr.org . 10 ноября 2016 . Дата обращения 14 ноября 2019 .
Внешние ссылки [ править ]
- Эталонная реализация