哪些對稱加密系統、偽隨機數生成器和散列函式最適合可逆電腦?
可逆計算是指一種計算類型,在這種計算類型中,通常為了節省能源而最小化要刪除的數據量(可逆計算也可以阻止側通道攻擊)。儘管有些人已經建構了原型並且它們應該成為未來的電腦,但自由市場上還不存在節能可逆電腦。在可逆計算中,與門和或門被禁止,因為它們刪除數據(與門有 2 個輸入,但有 1 個輸出,因此必須刪除一位)。
對於純可逆計算,由於非雙射門會刪除資訊,因此只允許計算雙射邏輯門。例如,CNOT $ (x,y)\mapsto(x,x\oplus y) $ , 太妃糖 $ (x,y,z)\mapsto(x,y,(x\wedge y)\oplus z) $ , 和弗雷德金 $ (0,y,z)\mapsto(0,y,z),(1,y,z)\mapsto(1,z,y) $ 門都是可逆門。
雖然可逆計算理論上應該可以節省能源,但它通常需要更多的步驟來進行可逆計算,而不是不可逆地執行相同的計算。然而,在對稱密碼學中,人們可能會設計不包含任何此類算法成本的密碼系統,例如加密系統、散列函式、(密碼和非密碼)偽隨機數生成器(密碼散列函式中唯一需要的不可逆性是除非想永遠保留散列,否則最終必須刪除散列)。
1)是否有專門設計用於可逆電腦的對稱密碼系統?
2)是否有任何對稱密碼系統不一定設計為由可逆電腦使用但恰好是可逆的?
3)是否有任何對稱密碼系統幾乎是可逆的,並且可以稍微修改以成為可逆的?
以下是可逆密碼系統中的一些特性。
理想情況下,密碼系統應僅使用可逆門計算,沒有任何垃圾位、輔助位、未計算或不可逆門。
密碼系統中包含的所有部分的逆應以與正向完全相同的方式計算(例如,逆 $ \chi $ 在 Keccak 中的計算方式與正向不同; $ \chi $ 代數次數為 2,而 的倒數 $ \chi $ 具有 3 級代數(參見這些幻燈片的第 16 頁))。
密碼系統不得要求任何非計算。非計算是可逆計算中出現的成本,即使不可逆計算不需要任何非計算。
-密碼系統不應使用任何查找表。
- 密碼系統不應使用模乘法、有限域乘法或有限域求逆,因為所有這些操作都需要取消計算。
我們可以將加密視為產生密文的確定性函式 $ C $ 從鍵 $ K $ , 純文字 $ P $ ,並且對於確定性加密以外的額外輸入 $ R $ 用於隨機性/初始化向量。那個功能 $ (K,R,P)\mapsto C $ 不能既安全又可逆。證明:有可能得到 $ (K,R,P) $ 從 $ C $ 因為可逆性,從那個提取物中 $ P $ ,這與安全目標背道而馳。
同樣的推理表明,完全可逆的 TRNG 不能是安全的,或者完全可逆的雜湊函式不具有第一原像性。
但是,我們可以可逆地執行所有步驟,除了丟棄一些最終結果。特別是,對於任何保持大小的對稱密碼,原則上我們可以可逆地實現 $ (K,R,P)\mapsto(G,C) $ , 有垃圾 $ G $ 寬度相同 $ K $ (和 $ C $ 寬度相同 $ R $ 和 $ P $ 合併),並丟棄 $ G $ 從輸出。對於分組密碼,即 $ (K,P)\mapsto(G,C) $ (歡迎證明和/或糾正;Scott Aaronson、Daniel Grier、Luke Schaeffer 的可逆位操作分類將是一個有用的參考)。
鑑於可逆密碼的概念允許丟棄密鑰寬度的垃圾,我試探性地回答:
- 是的,如果您的AES-128 替代品與 Toffoli 類門一樣易於實施,則符合條件。
- 是的。AES 分組密碼是一個經過充分研究的範例,它的所有標準模式都符合要求。有關 AES-128 的可逆結構,請參見
- Kamalika Datta、Vishal Shrivastav、Indranil Sengupta、Hafizur Rahaman 的AES 算法的可逆邏輯實現,在DTIS 2013的會議記錄中。我的閱讀是它報告實施 $ (K,P)\mapsto(G,C) $ 對於 AES-128,使用小於 $ 2^{17} $ 托福里門。
- Markus Grassl、Brandon Langenberg、Martin Roetteler、Rainer Steinwandt 的Applying Grover’s Algorithm to AES: Quantum Resource Estimates,在PQCrypto 2016的會議過程中,似乎剛剛結束 $ 2^{20} $ Toffoli 門使用不同的方法。
- 而是沒有。讓事情在不可逆時很容易可逆,這將是一個巨大的設計變更,可能會危及安全性。這尤其適用於使用大型不可逆輪函式的Feistel 分組密碼,我想這很難重新表示為可逆的。