後量子原語的物體尺寸
- 替代密碼原語 =========
很長一段時間以來,我一直在思考是否有可能“製作”適合後量子密碼學目的的密碼原語(如 ECC),今天(2017-05-20)我來到了以下結論:
有兩類原語可用於構造密碼協議:
- 群:其元素相互加法,乘法僅用標量。
- 戒指:其元素本身配備了加法和乘法。
第一種幾乎肯定會受到 Shor 算法的密碼分析的影響,因為它們很可能是循環的。
第二種類型的大多數原語都可以用矩陣表示,因為它們可能是線性的。這正是我們在基於格的加密方面取得進展的地方。
- CryptoPrimitive 大小-安全效率和我的問題 ===============================
以 ECC 為例,一個 192 位安全的 ECDSA 簽名有 384*2 = 768 位簽名,因此它的大小安全比約為 4:1。
但是,以目前(2017-05-20)最有效的簽名方案 BLISS 為例,使用Rebeca Staffas描述的過程進行實例化,我們有一個 128 位安全實例(512-A),簽名大小約為 6471 位,即規模安全比約為 50:1。
然而,BLISS 是幾個原語的組合——從採樣雙峰離散高斯,到使用 Huffman 或算術編碼。
這讓我想知道,這是我的問題:是否有一個原語可以提供最佳的後量子尺寸安全效率,或者我們在後量子世界中不再享受這樣的原語?
TL;博士
不要尋找提供最佳通信效率的原語。相反,尋找具有豐富理想功能的產品。
提問者的自白
作為 OP,我一直有一種強迫性的挫敗感,即我們無法享受橢圓曲線原語在前量子公鑰密碼學中提供的“完美”和優雅。與 RSA 相比,ECC 操作效率更高;具有實際的指數密鑰大小-安全關係;還有很多其他不錯的屬性。
然而,ECC 並不總是靈丹妙藥。它需要以復雜的方式生成系統參數;並且某些參數必須是可驗證的安全和可靠的——這並不容易實現。
對稱鍵類比
應該注意的是,在對稱密鑰密碼學中構造安全有效的原語,是一門不亞於公鑰密碼學的高貴藝術。
一些分組密碼可能需要更大、更複雜的密鑰調度;一些散列函式可能需要更大的內部狀態,或更多的預先計算的常數,或兩者兼而有之;某些 AEAD 結構可能在某些系統上執行得很快,但在其他系統上執行得非常慢。
為什麼要回答我自己的問題
問題要求答案的方式不能說不是“太寬泛”——它確實有點太寬泛了,因為我認為它很深。
我想以一種可以激發思考的方式回答自己,而不是讓人們指向一個錯誤預測的未來。
我們真正應該尋找的
- 通信/對像大小效率。
- 計算效率/性能。
- 互操作性。
- 能夠正確實施。
- 具有成本效益的實施能力。
等等
所有這些因素都必須平衡。