在展望後量子密碼學時,基於編織的密碼學是否被證明是不安全的?
作為後量子密碼協議的一個有前途的平台,Braid 組多年來一直引起密碼學家的注意。所提出方案的安全性主要依賴於共軛問題,並且發現了針對該問題的攻擊,密碼學家對這些編織組失去了興趣。但據我所知,這些攻擊並沒有完全破壞編織組的安全性。例如,共軛問題可以通過計算辮子的 USS(Ultra Summit Set)來解決,但是這個集合在辮子的長度上可能具有指數大小(對於某些類別的辮子)。
我對編織組的其他攻擊知之甚少,但它們是否確實結束了編織在密碼學中的任何應用?如果我們可以突出與橢圓曲線的雙線性對相當的辮子的特性,允許在後量子世界中使用一些相關的高級協議,它們會變得更有趣,還是它們對於密碼學來說肯定太弱了?
編輯:
請注意,我的問題並不是說“還有人對辮子感興趣”,而是“我們是否知道針對辮子的共軛相關問題的攻擊(我不知道),這些問題肯定標記為“不適合密碼學” ‘”。我當然不會尋找(或期待)任何關於它們有多有趣的意見作為答案。
我相信共軛搜尋問題被機率攻擊打破了(見第 7 章)。然而,我不確定這是否完全結束了辮狀密碼學,因為辮狀組中還有其他尚未被廣泛研究的難題。
我不相信基於編織的密碼學已經死了,因為目前正在研究將編織組應用於密碼學的新方法,並且最近已經提出。事實上,最近研究人員已經觀察到辮子如何用於可逆電路混淆。
最近一篇關於基於編織的混淆的論文
Alagic、Jeffery 和 Jordan 於2014 年發表的論文Partial-indistinguishability obfuscation using braids 解釋瞭如何使用辮子組來混淆可逆電路,從而混淆所有形式的經典計算。這篇論文更進一步解釋了辮子是如何被用來混淆量子計算的。這種混淆方法不依賴於辮子的共軛問題之一的難度。
基於辮子的混淆背後的數學
代數結構 $ (X,) $ 被稱為 LD 系統,如果 $ (X,) $ 滿足身份 $ x*(yz)=(xy)(xz) $ . 換言之,LD 系統滿足自分配恆等式。定義映射 $ L_{a}:X\rightarrow X $ 對於每個 $ a\in X $ 通過讓 $ L_{a}(x)=ax $ . 機架是 LD 系統 $ (X,) $ 其中每個映射 $ L_{a} $ 是雙射的。例如,如果 $ G $ 是一個組並且 $ * $ 是共軛運算 $ G $ 被定義為 $ xy=xyx^{-1} $ , 然後 $ (G,) $ 是一個機架。
如果 $ (X,*) $ 是一個機架,然後是辮子組 $ B_{n} $ 作用於 $ X^{n} $ 通過讓 $ (x_{1},…,x_{n})\sigma_{i}=(x_{1},…,x_{i}*x_{i+1},x_{i},x_{i+2},…,x_{n}) $ .
的行動 $ \sigma_{i} $ 在 $ (x_{1},…,x_{n}) $ 應該被認為是執行元素 $ (x_{i},x_{i+1}) $ 通過可逆門 $ (a,b)\mapsto(a*b,a) $ . 因此,辮子的作用 $ (x_{1},…,x_{n}) $ 應該被認為是執行 $ (x_{1},…,x_{n}) $ 通過可逆電路。
事實證明,LD系統上編織詞作用的可逆電路 $ (A_{5},*) $ 對於可逆計算是通用的。
因此,為了混淆可逆電路,首先我們將可逆電路表示為辮狀詞 $ w $ . 然後讓 $ w’ $ 是唯一的辮子詞,相當於 $ w $ 但以某種正常的形式。然後是辮子字 $ w’ $ 表示一個模糊的可逆電路,它計算與 $ w $ .
不幸的是,1 中的經典電路混淆器是不安全的,因為基於長度的攻擊對它起作用。然而,關於量子混淆器的不安全性的安全性知之甚少。