AES-Keywrap (NIST SP 800-38F) 是量子安全的嗎？

看過論文“ Breaking Symmetric Cryptosystems using Quantum Period Finding ”後，我不確定NIST SP 800-38F定義的 AES-Keywrap 是否可以安全地抵御所描述的攻擊。

我也在Google上空手而歸。

有人有這方面的資訊嗎？

Kuwakado-Morii 攻擊（Kaplan 等人的攻擊是對此的一個很好的改編）關鍵依賴於 Simon 的算法，該算法本質上說 $ (\mathbb{Z}/2)^n $ ，隱藏移位問題很容易。也就是說，從量子訪問到 $ H(\cdot) $ 和 $ H(\cdot\oplus s) $ , 可以恢復 $ s $ 有效率的。

另一方面，NIST SP 800-38F 的 Key-wrap 算法不使用組結構。好吧，至少不多：雖然在算法執行期間對一些常數進行了異或，但在計算過程中不會對對抗控制的數據進行異或：整個過程主要是使用改組和塊密碼評估建構的。

當然，在我們證明安全性之前，我們無法真正知道它是否安全，但是已知一些不依賴於群結構（甚至不是 XOR）的構造是量子安全的：例如，Zhandry 證明了 GGM 構造是安全 PRF，而且 GGM 只使用函式組合，而不是組結構。

至少，我認為這表明 Kuwakado-Morii 在這裡並不適用。

引用自：https://crypto.stackexchange.com/questions/57690