Hash

SHA3 聲稱 256 位安全性是“後量子足夠”的證據?

  • March 1, 2019

“Keccak 和 SHA-3 標準化”(2013 年 2 月 6 日)的第 14 頁上,它說:

  • 海綿函式的實例化

+ 排列KECCAK-f + 7 種排列:b → {25,50,100,200,400,800,1600} + 使用相同排列的安全速度權衡,例如,

 - SHA-3 實例:*r* = 1088 和*c* = 512
 - 排列寬度:1600
 - 安全強度256:**後量子足夠**
 - 輕量級實例:*r* = 40 和*c* = 160
 - 排列寬度:200
 - 安全強度 80:與 SHA-1 相同

(注:強調我的)

由於我認為量子密碼學目前還處於幼稚狀態,在未來幾年內有很大的發展潛力,我只需要問:KECCAK 聲稱 256 位的安全強度的基礎到底是什麼?“後量子足夠”

好吧,密碼學家一直在考慮後量子世界已有一段時間了。

量子計算,儘管就現實生活中的電腦而言還處於起步階段,但在理論上已經研究了很長一段時間。Shor 的算法發表於 19 年前;格羅弗,17 年前。我認為這是兩個最著名的量子算法,但該領域可以追溯到更遠的地方:根據維基百科,該領域誕生於 1980 年代的某個地方。

關鍵是,儘管量子計算還沒有生產出可用的、有用的現實生活中的量子電腦,但它已經被考慮了很長時間。因此,儘管仍然很有可能取得巨大的突破,但研究人員很可能已經用盡了所有簡單的攻擊手段。此外,由於在過去 16 年中似乎沒有出現任何新的、威脅密碼學的量子攻擊(至少,據我所知沒有),因此談論後量子強度似乎相對安全。

更重要的是,在後量子世界中對雜湊函式的真正威脅將是 Grover 算法。使用 Grover 算法,在 $ n $ -bit 隨機預言機有時間 $ O\left(2^{n/2}\right) $ .

雖然直接應用漸近界相當不精確,但這會及時導致原像攻擊 $ 2^{128} $ 用於 256 位(抗原像)散列函式。這仍然是安全的,我認為這就是作者說“後量子足夠”時的意圖。有關更多資訊,請參閱問題Keccak 針對量子攻擊提供什麼安全性,特別是 Grover 算法?.

引用自:https://crypto.stackexchange.com/questions/9518