Elliptic-Curves

Shor 算法的含義F2米F2米F_{2^m}橢圓曲線和 GHASH

  • February 15, 2021

橢圓曲線的安全性取決於離散對數問題的難度。如果Shor 算法被證明是可行的,那麼橢圓曲線將不再提供任何有用的安全屬性,因此需要後量子加密算法

大多數關於 Shor 算法的討論都是針對整數的,但它對多項式的適用性如何?

這是相關的,因為SEC2定義了一堆橢圓曲線 $ F_{2^m} $ 代替 $ F_P $ .

我也很好奇 Shor 的算法將如何影響 GCM / GHASH,它在 $ F_{2^m} $ .

大多數關於 Shor 算法的討論都是針對整數的,但它對多項式的適用性如何?

相當適用;Shor 算法將群運算視為黑盒,因此它處理偶數特徵曲線就像處理素數曲線一樣。唯一實際的區別是素數曲線和偶數特徵曲線加法運算之間的成本差異(在量子位、電路複雜性和深度方面)。

我也很好奇 Shor 的算法將如何影響 GCM / GHASH,它在 $ F_{2^m} $ .

這是一個不同的問題(因為 GCM/GHASH 有一個秘密的對稱密鑰);就標準 CPA 和 CCA 攻擊而言,只要您無法將 AES(或您使用的任何底層分組密碼)與隨機排列區分開來,GCM/GHASH(正確使用)就可以證明是安全的;允許對手執行量子操作並不會改變這一點(因此,除非他可以使用他的量子電腦來破壞 AES,否則他無能為力)。

一個例外是,如果您超出該模型,並進入 Quantum Oracle 模型(允許攻擊者請求糾纏查詢並獲得糾纏響應),那就不同了 - 眾所周知,GHASH(即 GCM 中的身份驗證部分) ) 可以很容易地被破壞。這確實表明白盒 GCM 實現不可能是量子安全的。然而,很難想出另一個適用於這種攻擊的現實場景。

引用自:https://crypto.stackexchange.com/questions/80793