基於格的密碼學實用嗎?
基於格的密碼學在“實用”環境中的可行性如何?
有人說基於格的密碼學將是一種“後量子”密碼學方案,但它是否可行?
是的,這是可行的。事實上,NIST 後量子送出包括許多基於格的加密密鑰交換和簽名協議。從不同類型算法的總結中可以看出,基於格的算法在送出中占主導地位。其中包括 NTRU 及其變體、R-LWE 和 FALCON(部分由我們的一位常客設計!)。基於格的密碼學本身被很好地理解,利用格問題作為硬度假設。
基於格的密碼學是為數不多的後量子密碼學流行設計之一。還有其他的,例如基於程式碼的密碼學、多元多項式密碼學和基於散列的簽名。其中,基於程式碼的算法是唯一可以與基於格的算法競爭的類別,因為它被 McEliece 密碼系統使用,該密碼系統本身已經存在了很長一段時間並且經過充分研究。多元多項式密碼學並不流行,並且許多使用它的提議算法已被破壞。最後,基於散列的加密雖然相當安全,但僅對數字簽名有用,對密鑰交換無效。它還需要非常大的簽名。這就解釋了為什麼這麼多提出的算法都是基於格的。
基於格的密碼學也非常快。例如,NTRU 執行私鑰操作的速度甚至比 RSA 更快,因為時間隨著 RSA 的密鑰大小的立方增加而增加,但對於 NTRU 則呈二次方。基於格的密碼學的可行性是無可爭議的。我們現在需要做的就是解決問題並標準化特定的實現。
**更新:**發現了一種新的攻擊,它嚴重削弱了 Kyber、Sabre 和 Dilithium 等 LWE 和 LWR 方案,導致 Daniel Bernstein表達了他的擔憂(強調我的):
當然,令人不安的是,Kyber-512 從 (1) 所謂的“保守”下降到 (2) 位操作的前沿,然後到 (3) 明顯的位操作中斷和實際成本的前沿。Kyber 文件真的應該停止使用“保守”這個詞。
同樣令人深感擔憂的是,評估格攻擊成本的不確定性,例如第三輪 Kyber 送出中的 2^30 不確定性因子(2^135.5 到 2^165.5),已經一次又一次地被武器化,以表明我們應該’不用擔心論文會使格子攻擊速度提高 2^5 或 2^10 或 2^15。這種加速多年的累積效應顯然遠遠超過 2^30。(基於格的密碼學的吉祥物應該是一隻慢煮青蛙。)
這並不意味著基於格的密碼學毫無用處或本質上不安全,但這確實意味著它仍然是一個不斷發展的領域,我們需要等待以更好地理解它。其風險仍在分析中。