Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Постквантовая криптография отличается от квантовой криптографии , которая относится к использованию квантовых явлений для достижения секретности и обнаружения подслушивания.

Пост-квантовая криптография (иногда называют квантово-доказательством , квантом-безопасным или квантом-резистентным ) относится к криптографическим алгоритмам ( как правило , с открытым ключом алгоритмов) , которые , как считаются, безопасными против криптоаналитической атаки с помощью квантового компьютера . По состоянию на 2020 год это не относится к наиболее популярным алгоритмам с открытым ключом, которые могут быть эффективно взломаны достаточно сильным квантовым компьютером. Проблема в настоящее время популярных алгоритмов является то , что их безопасность зависит от одной из трех жестких математических задач: задачи целочисленной факторизации , в задачах дискретного логарифмированияили проблема дискретного логарифмирования эллиптической кривой . Все эти проблемы легко решаются на достаточно мощном квантовом компьютере, работающем по алгоритму Шора . [1] [2] Несмотря на то, что нынешним, широко известным экспериментальным квантовым компьютерам не хватает вычислительной мощности для взлома любого реального криптографического алгоритма, [3] многие криптографы разрабатывают новые алгоритмы, чтобы подготовиться к тому времени, когда квантовые вычисления станут угрозой. Эта работа привлекла повышенное внимание ученых и промышленности с помощью серии конференций PQCrypto с 2006 года, а в последнее время - нескольких семинаров по квантовой безопасной криптографии, организованных Европейским институтом стандартов электросвязи.(ETSI) и Институт квантовых вычислений . [4] [5] [6]

В отличие от угрозы, которую квантовые вычисления представляют для текущих алгоритмов с открытым ключом, большинство современных симметричных криптографических алгоритмов и хеш-функций считаются относительно безопасными против атак квантовых компьютеров. [2] [7] Хотя квантовый алгоритм Гровера действительно ускоряет атаки на симметричные шифры, удвоение размера ключа может эффективно блокировать эти атаки. [8] Таким образом, постквантовая симметричная криптография не должна существенно отличаться от современной симметричной криптографии. См. Раздел о подходе с симметричным ключом ниже.

Алгоритмы [ править ]

В настоящее время исследования постквантовой криптографии в основном сосредоточены на шести различных подходах: [2] [5]

Криптография на основе решеток [ править ]

Основная статья: криптография на основе решеток

Этот подход включает в себя криптографические системы , такие как обучение с ошибками , обучения кольца с ошибками ( кольцо-LWE ), [9] [10] [11] кольцо обучения с ошибками обменом ключами и кольцо обучения с ошибками подписью , старшим NTRU или GGH схемы шифрования, а также новые подписи NTRU и BLISS . [12] Некоторые из этих схем, такие как шифрование NTRU, изучались в течение многих лет, но никто не нашел подходящей атаки. Другие, такие как алгоритмы кольцевого LWE, имеют доказательства того, что их безопасность сводится к проблеме наихудшего случая.[13] Исследовательская группа постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле – Штейнфельда для стандартизации, а не алгоритм NTRU. [14] [15] В то время NTRU все еще был запатентован. Исследования показали, что NTRU может иметь более безопасные свойства, чем другие алгоритмы на основе решеток. [16]

Многовариантная криптография [ править ]

Основная статья: Многомерная криптография

Сюда входят криптографические системы, такие как схема «Радуга» ( несбалансированное масло и уксус ), которая основана на сложности решения систем многомерных уравнений. Различные попытки построить безопасные схемы шифрования многомерного уравнения потерпели неудачу. Однако схемы многовариантной подписи, такие как Rainbow, могут стать основой для квантовой безопасной цифровой подписи. [17] Существует патент на схему подписи радуги.

Криптография на основе хеша [ править ]

Основная статья: Криптография на основе хэша

Сюда входят криптографические системы, такие как подписи Лампорта и схема подписи Меркла, а также новые схемы XMSS [18] и SPHINCS [19] . Цифровые подписи на основе хеша были изобретены в конце 1970-х годов Ральфом Мерклом.и с тех пор изучались как интересная альтернатива теоретико-числовым цифровым подписям, таким как RSA и DSA. Их основной недостаток заключается в том, что для любого открытого ключа на основе хэша существует ограничение на количество подписей, которые могут быть подписаны с использованием соответствующего набора закрытых ключей. Этот факт снизил интерес к этим сигнатурам, пока интерес не возродился из-за стремления к криптографии, устойчивой к атакам квантовых компьютеров. Похоже, что на схему подписи Меркла нет патентов [ необходима цитата ], и существует множество незапатентованных хэш-функций, которые можно было бы использовать с этими схемами. Схема подписи на основе хэшей с отслеживанием состояния XMSS, разработанная группой исследователей под руководством Йоханнеса Бухманна , описана вRFC 8391 . [20] Обратите внимание, что все вышеперечисленные схемы являются одноразовыми или ограниченными по времени подписи, Мони Наор и Моти Юнг изобрели хеширование UOWHF в 1989 году и разработали подпись на основе хеширования (схема Наор-Юнга) [21], которая может быть неограниченной. -время использования (первая такая сигнатура, не требующая свойств лазейки).

Криптография на основе кода [ править ]

Это включает в себя криптографические системы, которые полагаются на коды с исправлением ошибок , такие как алгоритмы шифрования Мак- Элиса и Нидеррайтера и связанную с ними схему подписи Куртуа, Финиаса и Сендриера . Оригинальная подпись Мак- Элиса с использованием случайных кодов Гоппа выдерживала тщательную проверку более 30 лет. Однако многие варианты схемы Мак-Элиса, которые стремятся внести больше структуры в код, используемый для уменьшения размера ключей, оказались небезопасными. [22] Исследовательская группа постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала систему шифрования с открытым ключом Мак-Элиса в качестве кандидата для долгосрочной защиты от атак квантовых компьютеров. [14]

Криптография изогении суперсингулярной эллиптической кривой [ править ]

Основная статья: Суперсингулярный обмен ключами изогении

Эта криптографическая система полагается на свойства суперсингулярных эллиптических кривых и суперсингулярных графов изогении для создания замены Диффи-Хеллмана с прямой секретностью . [23] Эта криптографическая система использует хорошо изученную математику суперсингулярных эллиптических кривых для создания обмена ключами типа Диффи-Хеллмана, который может служить простой устойчивой к квантовым вычислениям заменой методов обмена ключами Диффи-Хеллмана и Эллиптической кривой, которые являются широко используется сегодня. Поскольку он работает так же, как существующие реализации Диффи – Хеллмана, он предлагает прямую секретность, которая считается важной как для предотвращения массового наблюдения.правительствами, но и для защиты от компрометации долгосрочных ключей в результате сбоев. [24] В 2012 году исследователи Sun, Tian и Wang из Китайской государственной лаборатории ключей для сетей с интегрированным сервисом и Xidian University расширили работу Де Фео, Джао и Плут на создание квантовых безопасных цифровых подписей на основе суперсингулярных изогений эллиптических кривых. [25] На эту криптографическую систему нет патентов.

Квантовое сопротивление симметричного ключа [ править ]

При условии использования ключей достаточно больших размеров криптографические системы с симметричным ключом, такие как AES и SNOW 3G , уже устойчивы к атакам со стороны квантового компьютера. [26] Кроме того, системы и протоколы управления ключами, которые используют криптографию с симметричным ключом вместо криптографии с открытым ключом, такие как Kerberos и структура аутентификации мобильной сети 3GPP , также изначально защищены от атак со стороны квантового компьютера. Учитывая его широкое распространение в мире, некоторые исследователи рекомендуют более широкое использование Kerberos-подобного симметричного управления ключами в качестве эффективного способа получения постквантовой криптографии сегодня. [27]

Снижение безопасности [ править ]

В исследованиях криптографии желательно доказать эквивалентность криптографического алгоритма и известной сложной математической задачи. Эти доказательства часто называют «снижением безопасности» и используются для демонстрации сложности взлома алгоритма шифрования. Другими словами, безопасность данного криптографического алгоритма сводится к безопасности известной трудной проблемы. Исследователи активно ищут способы снижения безопасности в перспективах постквантовой криптографии. Текущие результаты представлены здесь:

Криптография на основе решеток - подпись Ring-LWE [ править ]

Дополнительная информация: Кольцевое обучение с обменом ключами ошибок

В некоторых версиях Ring-LWE есть сокращение безопасности до задачи кратчайшего вектора (SVP) в решетке в качестве нижней границы безопасности. SVP, как известно, NP-сложен . [28] Конкретные кольцевые LWE-системы, которые имеют доказуемое снижение безопасности, включают вариант кольцевых LWE-подписей Любашевского, определенных в статье Гюнесу, Любашевского и Пёппельманна. [10] Схема подписи GLYPH является вариантом подписи Гюнесу, Любашевского и Пёппельманна (GLP), которая учитывает результаты исследований, которые были получены после публикации подписи GLP в 2012 году. Другой подписью Ring-LWE является Ring-TESLA . [29]Также существует «дерандомизированный вариант» LWE, называемый обучением с округлением (LWR), который дает «улучшенное ускорение (за счет устранения небольших ошибок выборки из гауссовского распределения с детерминированными ошибками) и пропускную способность». [30] В то время как LWE использует добавление небольшой ошибки, чтобы скрыть младшие биты, LWR использует округление для той же цели.

Криптография на основе решеток - NTRU, BLISS [ править ]

Считается, что безопасность схемы шифрования NTRU и подписи BLISS [12] связана с проблемой ближайшего вектора (CVP) в решетке , но не может быть сведена к ней . CVP известен как NP-жесткий . Исследовательская группа постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле-Штейнфельда, который имеет снижение безопасности, для долгосрочного использования вместо исходного алгоритма NTRU. [14]

Многовариантная криптография - несбалансированное масло и уксус [ править ]

Дополнительная информация: многомерная криптография

Несбалансированные схемы подписи Oil и Vinegar - это асимметричные криптографические примитивы, основанные на многомерных полиномах над конечным полем . Булыгин, Петцольдт и Бухманн продемонстрировали редукцию типичных многомерных квадратичных систем UOV к NP-трудной задаче решения многомерных квадратичных уравнений . [31]

Криптография на основе хеша - схема подписи Меркла [ править ]

Дополнительная информация: криптография на основе хэша и схема подписи Меркла

В 2005 году Луис Гарсиа доказал, что безопасность подписей хэш-дерева Меркла снизилась до уровня безопасности базовой хеш-функции. Гарсия показал в своей статье, что если существуют вычислительные односторонние хеш-функции, то подпись дерева хешей Меркла доказуемо безопасна. [32]

Следовательно, если бы кто-то использовал хеш-функцию с доказуемым снижением безопасности до известной трудной проблемы, то можно было бы получить доказуемое уменьшение безопасности подписи дерева Меркла до этой известной трудной проблемы. [33]

Сообщение Quantum Cryptography Study Group под эгидой Европейской комиссией рекомендовала использовать схемы подписи Merkle для долгосрочного обеспечения безопасности в отношении квантовых компьютеров. [14]

Криптография на основе кода - МакЭлис [ править ]

Дополнительная информация: криптосистема Мак-Элиса

Система шифрования Мак-Элиса имеет снижение безопасности для проблемы декодирования синдрома (SDP). SDP, как известно, является NP-трудным [34] . Исследовательская группа постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать эту криптографию для долгосрочной защиты от атак квантового компьютера. [14]

Криптография на основе кода - RLCE [ править ]

В 2016 году Ван предложил схему шифрования случайным линейным кодом RLCE [35], которая основана на схемах Мак- Элиса. Схема RLCE может быть построена с использованием любого линейного кода, такого как код Рида-Соломона, путем вставки случайных столбцов в базовую матрицу генератора линейного кода.

Криптография изогении суперсингулярной эллиптической кривой [ править ]

Дополнительная информация: суперсингулярный обмен ключами изогении

Безопасность связана с проблемой построения изогении между двумя суперсингулярными кривыми с одинаковым числом точек. Самое последнее исследование сложности этой проблемы, проведенное Делфсом и Гэлбрейтом, указывает на то, что эта проблема настолько сложна, насколько предполагают изобретатели обмена ключами. [36] Нет никакого снижения безопасности к известной NP-сложной проблеме.

Сравнение [ править ]

Одной общей характеристикой многих алгоритмов постквантовой криптографии является то, что они требуют большего размера ключа, чем обычно используемые «доквантовые» алгоритмы с открытым ключом. Часто приходится идти на компромисс между размером ключа, вычислительной эффективностью и размером зашифрованного текста или подписи. В таблице перечислены некоторые значения для различных схем на 128-битном постквантовом уровне безопасности.

АлгоритмТипОткрытый ключЗакрытый ключПодпись
NTRU Encrypt [37]Решетка6130 В6743 B
Оптимизированный НТРУ ПраймРешетка1232 млрд
Радуга [38]Многомерный124 КБ95 КБ
СФИНКЫ [19]Хэш-подпись1 КБ1 КБ41 КБ
СФИНКЫ + [39]Хэш-подпись32 млрд64 млрд8 КБ
БЛИСС- IIРешетка7 КБ2 КБ5 КБ
Подпись GLP-варианта GLYPH [10] [40]Кольцо-LWE2 КБ0,4 КБ1,8 КБ
Новая надежда [41]Кольцо-LWE2 КБ2 КБ
МакЭлис из Гоппы [14]На основе кода1 МБ11,5 КБ
Шифрование на основе случайного линейного кода [42]RLCE115 КБ3 КБ
Квазициклический MDPC на основе Мак-Элиса [43]На основе кода1232 млрд2464 B
SIDH [44]Изогения751 млрд48 млрд
SIDH (сжатые ключи) [45]Изогения564 млрд48 млрд
3072-битный дискретный журналне PQC384 млрд32 млрд96 млрд
256-битная эллиптическая криваяне PQC32 млрд32 млрд65 млрд

Практическое рассмотрение выбора постквантовых криптографических алгоритмов - это усилие, необходимое для отправки открытых ключей через Интернет. С этой точки зрения алгоритмы Ring-LWE, NTRU и SIDH обеспечивают размер ключей до 1 КБ, открытые ключи с хэш-подписью составляют менее 5 КБ, а МакЭлис на основе MDPC занимает около 1 КБ. С другой стороны, для схем Rainbow требуется около 125 КБ, а МакЭлис на основе Goppa требует ключа размером около 1 МБ.

Криптография на основе решеток - обмен ключами LWE и обмен ключами Ring-LWE [ править ]

Дополнительная информация: Кольцевое обучение с обменом ключами ошибок

Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университет Цинциннати в 2011 году Джинтаем Дингом. Основная идея исходит из ассоциативности умножения матриц, а ошибки используются для обеспечения безопасности. Статья [46] появилась в 2012 г. после подачи предварительной заявки на патент в 2012 г.

В 2014 году Пайкерт [47] представил ключевую транспортную схему, следуя той же базовой идее Динга, где также используется новая идея отправки дополнительного однобитового сигнала для округления в конструкции Динга. Для несколько более 128 битов безопасности Сингх представляет набор параметров, которые имеют 6956-битные открытые ключи для схемы Пайкерта. [48] Соответствующий закрытый ключ будет примерно 14 000 бит.

В 2015 году на выставке Eurocrypt 2015 [49] был представлен обмен аутентифицированным ключом с доказуемой прямой безопасностью в соответствии с той же базовой идеей, что и у Динга, [49] который является расширением конструкции HMQV [50] в Crypto2005. В документе представлены параметры для различных уровней безопасности от 80 до 350 бит, а также соответствующие размеры ключей. [49]

Криптография на основе решеток - шифрование NTRU [ править ]

Дополнительная информация: NTRUEncrypt

Для 128-битной защиты в NTRU Хиршхорн, Хоффштейн, Ховгрейв-Грэм и Уайт рекомендуют использовать открытый ключ, представленный в виде полинома 613 степени с коэффициентами . В результате получается открытый ключ длиной 6130 бит. Соответствующий закрытый ключ будет иметь длину 6743 бита. [37]

Многовариантная криптография - Радужная подпись [ править ]

Дополнительная информация: многомерная криптография

Для 128-битной защиты и наименьшего размера подписи в многомерной схеме подписи с квадратичным уравнением Rainbow Петцольдт, Булыгин и Бухманн рекомендуют использовать уравнения с размером открытого ключа чуть более 991000 бит, закрытым ключом чуть более 740 000 бит и цифровым подписи длиной 424 бита. [38]

Криптография на основе хеша - схема подписи Меркла [ править ]

Дополнительная информация: криптография на основе хэша и схема подписи Меркла

Чтобы получить 128 бит безопасности для подписей на основе хэша для подписи 1 миллиона сообщений с использованием метода фрактального дерева Меркла Наора Шенхава и Вула, размеры открытого и закрытого ключей составляют примерно 36000 битов. [51]

Криптография на основе кода - МакЭлис [ править ]

Дополнительная информация: криптосистема Мак-Элиса

Для 128-битной защиты в схеме Мак-Элиса Исследовательская группа по постквантовой криптографии Европейской комиссии рекомендует использовать двоичный код Гоппа длиной не менее и не менее размера , способный исправлять ошибки. С этими параметрами открытый ключ для системы Мак-Элиса будет систематической образующей матрицей, неидентификационная часть которой принимает биты. Соответствующий закрытый ключ, состоящий из кодовой поддержки с элементами из и порождающего полинома с коэффициентами из , будет иметь длину 92 027 бит [14]

Группа также изучает возможность использования квазициклических кодов MDPC с длиной не менее и размером не менее , способных исправлять ошибки. С этими параметрами открытый ключ для системы Мак-Элиса будет первой строкой систематической матрицы генератора, неидентификационная часть которой принимает биты. Закрытый ключ, квазициклическая матрица проверки на четность с ненулевыми элементами в столбце (или вдвое больше в строке), занимает не более чем биты, когда он представлен как координаты ненулевых элементов в первой строке.

Barreto et al. рекомендуют использовать двоичный код Гоппы длиной не менее и размером не менее , способный исправлять ошибки. С этими параметрами открытый ключ для системы Мак-Элиса будет систематической образующей матрицей, неидентификационная часть которой принимает биты. [52] Соответствующий закрытый ключ, который состоит из кодовой поддержки с элементами из и порождающего полинома с коэффициентами из , будет иметь длину 40 476 бит.

Криптография изогении суперсингулярной эллиптической кривой [ править ]

Дополнительная информация: суперсингулярный обмен ключами изогении

Для 128-битной защиты в методе суперсингулярной изогении Диффи-Хеллмана (SIDH) Де Фео, Джао и Плут рекомендуют использовать суперсингулярную кривую по модулю 768-битного простого числа. Если используется сжатие точек эллиптической кривой, открытый ключ должен иметь длину не более 8x768 или 6144 бит. [53] В марте 2016 г. в статье авторов Азардерахша, Джао, Калача, Козила и Леонарди было показано, как сократить количество передаваемых битов вдвое, что было улучшено авторами Костелло, Джао, Лонга, Нехриг, Ренес и Урбаник, что привело к версия протокола SIDH со сжатым ключом с размером открытых ключей всего 2640 бит. [45] Это делает количество передаваемых битов примерно эквивалентным неквантовой безопасности RSA и алгоритму Диффи-Хеллмана на том же классическом уровне безопасности. [54]

Криптография на основе симметричного ключа [ править ]

Как правило, для 128-битной защиты в системе с симметричным ключом можно безопасно использовать размер ключа 256 бит. Лучшая квантовая атака против обычных систем с симметричными ключами - это применение алгоритма Гровера , которое требует работы, пропорциональной квадратному корню из размера ключевого пространства. Чтобы передать зашифрованный ключ на устройство, обладающее симметричным ключом, необходимым для расшифровки этого ключа, также требуется примерно 256 бит. Ясно, что системы с симметричным ключом предлагают наименьшие размеры ключей для постквантовой криптографии.

Прямая секретность [ править ]

Система с открытым ключом демонстрирует свойство, называемое совершенной прямой секретностью, когда она генерирует случайные открытые ключи за сеанс для целей согласования ключей. Это означает, что компрометация одного сообщения не может привести к компрометации других, а также что нет единого секретного значения, которое могло бы привести к компрометации нескольких сообщений. Эксперты по безопасности рекомендуют использовать криптографические алгоритмы, которые поддерживают прямую секретность, а не те, которые этого не делают. [55] Причина в том, что прямая секретность может защитить от компрометации долговременных закрытых ключей, связанных с парами открытого / закрытого ключей. Это рассматривается как средство предотвращения массового наблюдения со стороны спецслужб.

Как обмен ключами Ring-LWE, так и обмен ключами суперсингулярной изогении Диффи-Хеллмана (SIDH) могут поддерживать прямую секретность в одном обмене с другой стороной. Как Ring-LWE, так и SIDH также можно использовать без прямой секретности, создав вариант классического варианта шифрования Эль-Гамаля по алгоритму Диффи-Хеллмана.

Другие алгоритмы в этой статье, такие как NTRU, не поддерживают прямую секретность как есть.

Любая аутентифицированная система шифрования с открытым ключом может использоваться для создания обмена ключами с прямой секретностью. [56]

Открыть проект Quantum Safe [ править ]

Проект Open Quantum Safe [57] [58] (OQS) был запущен в конце 2016 года и направлен на разработку и создание прототипа квантовой криптографии. Он нацелен на интеграцию текущих постквантовых схем в одну библиотеку: liboqs . [59] liboqs - это библиотека C с открытым исходным кодом для квантово-устойчивых криптографических алгоритмов. liboqs изначально фокусируется на алгоритмах обмена ключами. liboqs предоставляет общий API, подходящий для постквантовых алгоритмов обмена ключами, и собирает вместе различные реализации. liboqs также будет включать средства тестирования и процедуры тестирования для сравнения производительности постквантовых реализаций. Кроме того, OQS также обеспечивает интеграцию liboqs в OpenSSL . [60]

По состоянию на апрель 2017 года поддерживаются следующие алгоритмы обмена ключами: [57]

АлгоритмТип
BCNS15 [61]Кольцевое обучение с ошибками обмен ключами
Нью-Хоуп [62] [41]Кольцевое обучение с ошибками обмен ключами
Фродо [63]Обучение с ошибками
НТРУ [64]Криптография на основе решеток
SIDH [65] [66]Обмен ключами суперсингулярной изогении
Макбитс [67]Коды с исправлением ошибок

Реализация [ править ]

Одной из основных проблем постквантовой криптографии считается внедрение потенциально безопасных квантовых алгоритмов в существующие системы. Были проведены тесты, например, Microsoft Research, реализующие PICNIC в PKI с использованием аппаратных модулей безопасности . [68] Тестовые реализации алгоритма Google NewHope также были выполнены поставщиками HSM .

См. Также [ править ]

  • Идеальная решеточная криптография - кольцевое обучение с ошибками - один из примеров идеальной решеточной криптографии
  • Постквантовая стандартизация криптографии - NIST
  • Квантовая криптография - для криптографии, основанной на квантовой механике

Ссылки [ править ]

  1. ^ Питер В. Шор (1997). "Полиномиальные алгоритмы простой факторизации и дискретных логарифмов на квантовом компьютере". SIAM Journal on Computing . 26 (5): 1484–1509. arXiv : квант-ph / 9508027 . Bibcode : 1995quant.ph..8027S . DOI : 10,1137 / S0097539795293172 . S2CID  2337707 .
  2. ^ a b c Дэниел Дж. Бернштейн (2009). «Введение в постквантовая криптография» (PDF) . Постквантовая криптография .
  3. ^ «Новый контроль над кубитом - хороший предзнаменование для будущего квантовых вычислений» . Phys.org .
  4. ^ «Криптографы берут на себя квантовые компьютеры» . IEEE Spectrum . 2009-01-01.
  5. ^ a b «Вопросы и ответы с исследователем пост-квантовых вычислений по криптографии Цзиньтаем Дином» . IEEE Spectrum . 2008-11-01.
  6. ^ "Семинар ETSI по квантовой безопасной криптографии" . ETSI Quantum Safe Cryptography Workshop . ETSI. Октябрь 2014. Архивировано из оригинала 17 августа 2016 года . Проверено 24 февраля 2015 года .
  7. Дэниел Дж. Бернштейн (17 мая 2009 г.). «Анализ затрат на хэш-коллизии: сделают ли квантовые компьютеры SHARCS устаревшими?» (PDF) . Цитировать журнал требует |journal=( помощь )
  8. ^ Дэниел Дж. Бернштейн (2010-03-03). «Гровер против МакЭлиса» (PDF) . Цитировать журнал требует |journal=( помощь )
  9. ^ Peikert, Крис (2014). «Решеточная криптография для Интернета» . МАКР. Архивировано из оригинального (PDF) 31 января 2014 года . Проверено 10 мая 2014 .
  10. ^ a b c Güneysu, Тим; Любашевский, Вадим; Пёппельманн, Томас (2012). «Практическая криптография на основе решеток: схема подписи для встроенных систем» (PDF) . INRIA . Дата обращения 12 мая 2014 .
  11. ^ Чжан, цзян (2014). «Обмен ключами с аутентификацией от идеальных решеток» . iacr.org . МАКР. Архивировано 17 августа 2014 года из оригинального (PDF) . Проверено 7 сентября 2014 года .
  12. ^ а б Дука, Лео; Дурмус, Ален; Лепуин, Танкред; Любашевский, Вадим (2013). "Решеточные подписи и бимодальные гауссианы" . Проверено 18 апреля 2015 . Цитировать журнал требует |journal=( помощь )
  13. ^ Любашевский, Вадим; = Пайкерта; Регев (2013). «Об идеальных решетках и обучении с ошибками через кольца» . МАКР. Архивировано из оригинального (PDF) 22 июля 2013 года . Проверено 14 мая 2013 года .
  14. ^ a b c d e f g Аугот, Даниэль (7 сентября 2015 г.). «Первоначальные рекомендации долгосрочных безопасных постквантовых систем» (PDF) . PQCRYPTO . Проверено 13 сентября 2015 года .
  15. ^ Stehlé, Дэмиен; Стейнфельд, Рон (1 января 2013 г.). «Обеспечение безопасности NTRUEncrypt и NTRUSign в качестве стандартных задач наихудшего случая по сравнению с идеальными решетками» . Цитировать журнал требует |journal=( помощь )
  16. ^ Easttom, Чак (2019-02-01). «Анализ ведущих основанных на решетке асимметричных криптографических примитивов». Анализ ведущих асимметричных криптографических примитивов на основе решеток . С. 0811–0818. DOI : 10.1109 / CCWC.2019.8666459 . ISBN 978-1-7281-0554-3. S2CID  77376310 .
  17. ^ Дин, Цзиньтай; Шмидт (7 июня 2005 г.). "Радуга, новая схема многомерной полиномиальной подписи". В Иоаннидис, Джон (ред.). Третья международная конференция, ACNS 2005, Нью-Йорк, штат Нью-Йорк, США, 7–10 июня 2005 г. Материалы . Конспект лекций по информатике. 3531 . С. 64–175. DOI : 10.1007 / 11496137_12 . ISBN 978-3-540-26223-7.
  18. ^ Бухманн, Йоханнес; Дахмен, Эрик; Хюлсинг, Андреас (2011). «XMSS - Практическая схема прямой безопасной подписи, основанная на минимальных предположениях безопасности». Постквантовая криптография. PQCrypto 2011 . Конспект лекций по информатике. 7071 . С. 117–129. CiteSeerX 10.1.1.400.6086 . DOI : 10.1007 / 978-3-642-25405-5_8 . ISSN 0302-9743 .  
  19. ^ a b Бернштейн, Дэниел Дж .; Хопвуд, Дайра; Хюлсинг, Андреас; Ланге, Таня ; Нидерхаген, Рубен; Папахристодулу, Луиза; Шнайдер, Майкл; Швабе, Питер; Уилкокс-О'Хирн, Зуко (2015). Освальд, Элизабет ; Фишлин, Марк (ред.). SPHINCS: практические подписи на основе хешей без сохранения состояния . Конспект лекций по информатике. 9056 . Springer Berlin Heidelberg. С. 368–397. CiteSeerX 10.1.1.690.6403 . DOI : 10.1007 / 978-3-662-46800-5_15 . ISBN  9783662467992.
  20. ^ "RFC 8391 - XMSS: Расширенная схема подписи Меркла" . tools.ietf.org .
  21. ^ Мони Наор, Моти Юнг: Универсальные односторонние хеш-функции и их криптографические приложения. STOC 1989: 33-43
  22. ^ Овербек, Рафаэль; Сендриер (2009). Бернштейн, Даниэль (ред.). Криптография на основе кода . Постквантовая криптография . С. 95–145. DOI : 10.1007 / 978-3-540-88702-7_4 . ISBN 978-3-540-88701-0.
  23. ^ Де Фео, Лука; Джао; Плут (2011). «К квантово-устойчивым криптосистемам от суперсингулярных изогений эллиптических кривых» (PDF) . PQCrypto 2011 . Дата обращения 14 мая 2014 .
  24. ^ Хиггинс, Питер (2013). «Стремление к совершенной прямой секретности, важной защите конфиденциальности в Интернете» . Фонд электронных рубежей . Проверено 15 мая 2014 .
  25. ^ Вс, Си; Тиан; Ван (19–21 сентября 2012 г.). Обзор публикаций конференций> Intelligent Networking and Co… Помогите работе с тезисами к квантово-устойчивой надежной подписи назначенного верификатора от Isogenies . Интеллектуальные сети и системы (Collaborative ИНКОС), 2012 4 - я Международная конференция по . С. 292–296. DOI : 10.1109 / iNCoS.2012.70 . ISBN 978-1-4673-2281-2. S2CID  18204496 .
  26. ^ Перлнер, Рэй; Купер (2009). «Квантовая устойчивая криптография с открытым ключом: обзор» . NIST . Дата обращения 23 апреля 2015 . Цитировать журнал требует |journal=( помощь )
  27. ^ Кампанья, Мэтт; Hardjono; Пинцов; Романский; Ю. (2013). «Квантовая безопасная аутентификация в Kerberos заново» (PDF) . ETSI.
  28. ^ Любашевский, Вадим; Пайкерта; Регев (25 июня 2013 г.). «Об идеальных решетках и обучении с ошибками через кольца» (PDF) . Springer . Проверено 19 июня 2014 года .
  29. ^ Аклейлек, Седат; Биндель, Нина; Бухманн, Йоханнес; Кремер, Джулиан; Марсон, Джорджия Аззурра (2016). «Эффективная схема подписи на основе решетки с надежно защищенным экземпляром» . Цитировать журнал требует |journal=( помощь )
  30. ^ Неджатоллахи, Хамид; Датт, Никил; Рэй, Сэндип; Регаццони, Франческо; Банерджи, Индранил; Каммарота, Росарио (27 февраля 2019 г.). "Реализации постквантовой решетчатой ​​криптографии: обзор" . ACM Computing Surveys . 51 (6): 1–41. DOI : 10.1145 / 3292548 . ISSN 0360-0300 . S2CID 59337649 .  
  31. ^ Булыгин, Станислав; Петцольдт; Бухманн (2010). «К доказуемой безопасности несбалансированной схемы подписи масла и уксуса при прямых атаках». Прогресс в криптологии - INDOCRYPT 2010 . Конспект лекций по информатике. 6498 . С. 17–32. CiteSeerX 10.1.1.294.3105 . DOI : 10.1007 / 978-3-642-17401-8_3 . ISBN  978-3-642-17400-1.
  32. ^ Перейра, Джеовандро; Пуодзиус, Кассий; Баррето, Пауло (2016). «Более короткие подписи на основе хеша». Журнал систем и программного обеспечения . 116 : 95–100. DOI : 10.1016 / j.jss.2015.07.007 .
  33. ^ Гарсия, Луис. «О безопасности и эффективности схемы подписи Меркла» (PDF) . Криптология ePrint Archive . МАКР . Проверено 19 июня 2013 года .
  34. ^ Блаум, Марио; Фаррелл; Тилборг (31 мая 2002 г.). Информация, кодирование и математика . Springer. ISBN 978-1-4757-3585-7.
  35. ^ Ван, Юнге (2016). «Схема шифрования с открытым ключом на основе квантово-устойчивого случайного линейного кода RLCE». Труды по теории информации (ИСИТ) . IEEE ISIT: 2519–2523. arXiv : 1512.08454 . Bibcode : 2015arXiv151208454W .
  36. ^ Дельфс, Кристина; Гэлбрейт (2013). «Вычисление изогений между суперсингулярными эллиптическими кривыми над F_p». arXiv : 1310.7789 [ math.NT ].
  37. ^ a b Hirschborrn, P; Хоффштейн; Хаугрейв-Грэм; Уайт. «Выбор параметров NTRUEncrypt в свете комбинированного сокращения решетки и подходов MITM» (PDF) . НТРУ. Архивировано из оригинального (PDF) 30 января 2013 года . Дата обращения 12 мая 2014 .
  38. ^ a b Петцольдт, Альбрехт; Булыгин; Бухманн (2010). «Выбор параметров для схемы радужной подписи - Расширенная версия -» . Архивировано из оригинального (PDF) 11 августа 2010 года . Дата обращения 12 мая 2014 .
  39. ^ «SPHINCS +: Представление для пост-квантового проекта NIST» (PDF) .
  40. Чопра, Арджун (2017). «GLYPH: новое безумие схемы цифровой подписи GLP» . Цитировать журнал требует |journal=( помощь )
  41. ^ a b Алким, Эрдем; Дукас, Лео; Пёппельманн, Томас; Швабе, Питер (2015). «Постквантовый обмен ключами - новая надежда» (PDF). Cryptology ePrint Archive, Отчет 2015/1092 . Проверено 1 сентября 2017 года .
  42. ^ Ван, Юнге (2017). «Пересмотренная квантовая стойкая схема шифрования с открытым ключом RLCE и безопасность IND-CCA2 для схем Мак-Элиса» . Цитировать журнал требует |journal=( помощь )
  43. ^ Misoczki, R .; Тиллих, JP; Sendrier, N .; Баррето, PSLM (2013). MDPC-McEliece: новые варианты McEliece из кодов проверки на четность средней плотности . 2013 Международный симпозиум IEEE по теории информации . С. 2069–2073. CiteSeerX 10.1.1.259.9109 . DOI : 10.1109 / ISIT.2013.6620590 . ISBN  978-1-4799-0446-4. S2CID  9485532 .
  44. ^ Костелло, Крейг; Лонга, Патрик; Наэриг, Майкл (2016). «Эффективные алгоритмы суперсингулярной изогении Диффи-Хеллмана» (PDF) . Достижения в криптологии .
  45. ^ а б Костелло, Крейг; Джао; Лонга; Naehrig; Ренес; Урбаник. «Эффективное сжатие открытых ключей SIDH» . Проверено 8 октября +2016 .
  46. Линь, Цзиньтай Дин, Сян Се, Сяодун (01.01.2012). «Простая и надежно защищенная схема обмена ключами, основанная на проблеме обучения с ошибками» . Цитировать журнал требует |journal=( помощь )
  47. ^ Peikert, Крис (2014-01-01). «Решеточная криптография для Интернета» . Цитировать журнал требует |journal=( помощь )
  48. ^ Сингх, Викрам (2015). «Практический обмен ключами для Интернета с использованием решетчатой ​​криптографии» . Проверено 18 апреля 2015 . Цитировать журнал требует |journal=( помощь )
  49. ^ а б Чжан, Цзян; Чжан, Чжэньфэн; Дин, Цзиньтай; Снук, Майкл; Дагделен, Озгюр (26 апреля 2015 г.). «Обмен ключами с аутентификацией от идеальных решеток». В Освальде, Элизабет; Фишлин, Марк (ред.). Достижения в криптологии - EUROCRYPT 2015 . Конспект лекций по информатике. Springer Berlin Heidelberg. С. 719–751. CiteSeerX 10.1.1.649.1864 . DOI : 10.1007 / 978-3-662-46803-6_24 . ISBN  978-3-662-46802-9.
  50. ^ Кравчик, Hugo (2005-08-14). «HMQV: высокопроизводительный безопасный протокол Диффи-Хеллмана». В Шоупе, Виктор (ред.). Достижения в криптологии - CRYPTO 2005 . Конспект лекций по информатике. 3621 . Springer. С. 546–566. DOI : 10.1007 / 11535218_33 . ISBN 978-3-540-28114-6.
  51. ^ Наор, Далит; Шенхав; Шерсть (2006). «Повторение об одноразовых подписях: практические быстрые подписи с использованием фрактального обхода дерева Меркла» (PDF) . IEEE . Дата обращения 13 мая 2014 .
  52. ^ Баррето, Пауло SLM; Биази, Фелипе Пьяцца; Дахаб, Рикардо; Лопес-Эрнандес, Хулио Сезар; Мораиш, Эдуардо М. де; Оливейра, Ана Д. Салина де; Перейра, Джеовандро CCF; Рикардини, Джефферсон Э. (2014). Коч, Четин Кая (ред.). Панорама постквантовой криптографии . Издательство Springer International. С. 387–439. DOI : 10.1007 / 978-3-319-10683-0_16 . ISBN 978-3-319-10682-3.
  53. ^ Де Фео, Лука; Джао; Плут (2011). "К квантово-устойчивым криптосистемам из суперсингулярных изогений эллиптических кривых" . Архивировано из оригинального (PDF) октября 2011 года . Дата обращения 12 мая 2014 .
  54. ^ «Cryptology ePrint Archive: Report 2016/229» . eprint.iacr.org . Проверено 2 марта 2016 .
  55. ^ Ристич, Иван (25.06.2013). «Использование прямой секретности» . SSL Labs . Проверено 14 июня 2014 .
  56. ^ "Обеспечивает ли NTRU полную прямую секретность?" . crypto.stackexchange.com .
  57. ^ a b «Открытый квантовый сейф» . openquantumsafe.org .
  58. ^ Стебила, Дуглас; Моска, Микеле. «Постквантовый обмен ключами для Интернета и открытый проект квантовой безопасности» . Архив Cryptology ePrint, Отчет 2016/1017, 2016 . Проверено 9 апреля 2017 года .
  59. ^ "liboqs: библиотека C для квантово-устойчивых криптографических алгоритмов" . 26 ноября 2017 г. - через GitHub.
  60. ^ "openssl: ответвление OpenSSL, которое включает квантово-устойчивые алгоритмы и шифровальные наборы на основе liboqs" . 9 ноября 2017 г. - через GitHub.
  61. ^ Stebila, Дуглас (26 марта 2018). "Таблица данных алгоритма ветвления nist liboqs: kem_newhopenist" . GitHub . Проверено 27 сентября 2018 года .
  62. ^ "Библиотека решетчатой ​​криптографии" . Microsoft Research . 19 апреля 2016 . Проверено 27 сентября 2018 года .
  63. ^ Bos, Joppe; Костелло, Крейг; Дукас, Лео; Миронов Илья; Наэриг, Майкл; Николаенко, Валерия; Рагхунатан, Анант; Стебила, Дуглас (01.01.2016). «Фродо: Снимите кольцо! Практический квантово-безопасный обмен ключами от LWE» . Цитировать журнал требует |journal=( помощь )
  64. ^ "NTRUOpenSourceProject / NTRUEncrypt" . GitHub . Проверено 10 апреля 2017 .
  65. ^ «Библиотека SIDH - Исследования Microsoft» . Microsoft Research . Проверено 10 апреля 2017 .
  66. Фео, Лука Де; Джао, Дэвид; Плут, Жером (01.01.2011). «К квантово-устойчивым криптосистемам из суперсингулярных изогений эллиптических кривых» . Архивировано из оригинала на 2014-05-03. Цитировать журнал требует |journal=( помощь )
  67. ^ Бернштейн, Дэниел Дж .; Чжоу, Дун; Швабе, Питер (01.01.2015). «McBits: быстрая криптография на основе кода с постоянным временем» . Цитировать журнал требует |journal=( помощь )
  68. ^ «Microsoft / Пикник» (PDF) . GitHub . Проверено 27 июня 2018 .

Дальнейшее чтение [ править ]

  • Постквантовая криптография . Springer. 2008. с. 245. ISBN 978-3-540-88701-0.
  • Изогении в квантовом мире
  • Об идеальных решетках и обучении с ошибками над кольцами
  • Возвращение к Kerberos: квантовая безопасная аутентификация
  • Схема подписи для пикника

Внешние ссылки [ править ]

  • PQCrypto, конференция по постквантовой криптографии
  • Стандарты квантовой безопасности ETSI
  • Пост-квантовый криптопроект NIST
  • Использование и развертывание PQCrypto