不考慮 QROM 的後量子方案是否抗量子
已經提出了許多“後量子”方案。
其中大多數的安全性僅在隨機預言模型或使用分叉引理下得到證明。
正如 Boneh 等人所述。(量子世界中的隨機預言),後量子方案應進一步考慮“量子可訪問”隨機預言(QROM)。
然而,許多不考慮 QROM 的方案聲稱它們是抗量子的,因為它們的安全性基於某些假設,例如 LWE 或 SIS。
另外,這些方案可能只能在ROM下得到證明,安全性降低取決於Hash查詢的時間。
那麼,這些方案真的抗量子嗎?
我知道在某些情況下,ROM 安全方案可以應用於 QROM 安全方案(關於 Quantum ROM 安全性的調查)。
我認為您有些困惑,因此我將嘗試簡要描述最先進的技術,看看是否有幫助。
後量子 KEM 的一般設計範式分為兩個步驟:
- 建構一個 IND-CPA 安全 PKE,通常僅基於
$$ 1 $$關於一些計算問題的難度。 2. 應用一般變換(通常是 Fujisaki-Okamoto 變換的一些變體)將 IND-CPA 安全 PKE 轉換為 IND-CCA 安全 KEM
雜湊(或任何類型的 ROM 類型的東西)嚴格需要輸入圖片的唯一部分是第二步。此步驟是僅在 ROM 中完成,還是在 QROM 中也完成?這比較容易檢查 — 許多作者依賴於對 Fujisaki-Okamoto 變換的模組化分析,其中有一個關於 QROM 中的變換的部分。
作者使用這個嗎?您可以查看他們的設計規範 —這是NIST PQC 第 3 輪決賽選手KYBER 的規範。第 4 節討論了他們的安全分析,其中包括 QROM 中的分析。這是典型的“嚴肅”建築。
請注意,KYBER 正在建構的底層 IND-CPA 安全 PKE 並未提及 QROM(或就此而言的 ROM)分析,因為在從 IND-CPA 的轉換中真正需要它(以及整體散列的安全建模) IND-CCA 安全性。
另請注意,一般而言,QROM 結果往往比 ROM 結果弱 - 如果沒有做出一些稍微不那麼標準的假設,減少通常並不嚴格。當然,這與沒有 QROM 分析的說法大不相同。
$$ 1 $$嚴格來說這不是真的,從業者通常會出於效率目的而使用其他原語(例如 PRG / 可擴展輸出函式),但如果可以使用效率稍低的構造,這些都不是嚴格要求的。