PQC NIST 第 3 輪送出的測試
我是這個領域的新手,對 PQC 有一些擔憂;
NIST 如何比較特定算法是有效的並且其安全性不會被未來的量子攻擊破壞?我很想了解這些標準。
NIST 是否試圖通過使用可用的 IBM 量子電腦應用 Shor 算法來破解加密算法?
NIST 檢查 PQC 算法送出的標準是什麼?
NIST 如何比較特定算法是有效的並且其安全性不會被未來的量子攻擊破壞?
實現一個算法的效率有多簡單——這些算法在經典電腦上執行,因此人們已經實現了這些算法,並且可以直接衡量性能。
安全性是通過使用與非量子算法相同的方法來衡量的——人們設計了他們能想到的最好的密碼分析算法來破解它們,估計這些密碼分析算法的執行時間,因此我們可以選擇讓所有這些都知道的安全參數密碼分析算法需要花費不可行的時間來執行。
PQC 和非 PQC 算法之間的唯一區別在於,對於 PQC 算法,我們還考慮在量子電腦上執行的密碼分析算法。這有點棘手,因為我們沒有任何東西可以執行非平凡的密碼分析算法(IBM 量子電腦和類似的電腦太小,無法執行所需的糾錯)和量子模擬器(執行在經典電腦)也受限於它們可以處理的量子比特數量。另一方面,我們確實對量子電腦可以執行的操作有很好的了解,因此我們可以設計可以在量子電腦上執行的算法。NIST 並沒有完成所有這些設計工作——這項工作的絕大多數是由 NIST 之外的學者和密碼學家完成的——NIST 密切監視這項工作,
值得一提的是,各種問題的量子硬度的具體估計仍是一個非常新的研究領域,某些問題仍未解決。一個很好的例子是 CSIDH 的 Piekert 的論文He Gives C Sieves。除了是一個很好的雙關語之外,本文還使用了一種稱為colliniation sieve的東西(由 Greg Kuperberg iirc 於 2013 年開發)來攻擊 CSIDH 假設。請注意,此假設與所有後量子假設不同,因為它直接產生非互動式密鑰交換,它是
- 從經典問題(離散對數變體)中很容易得到,但是
- 從 LWE 之類的東西要麼需要非常大的參數,要麼需要高級原語(FHE 或函式加密)——無論哪種情況,最終的方案都是低效的。
本文的主要觀點是,准直篩不需要訪問大的 ( $ \approx 2^{30} $ ) 量的量子記憶體,而是可以使用“量子可訪問的經典記憶體”(最終估計是更多, $ \approx 2^{40} $ )。我記得在 twitter/nist PQC google group 上也有一些爭論(我猜 Dan Bernstein 和 Chris 之間,但不完全記得)關於這個改變的估計的實際影響。
非常粗略地,可以根據破壞原語所需的一對(時間,記憶體)來表徵經典安全性。然後,量子安全與 4 元組(經典時間、經典記憶、量子時間、量子記憶)相關。究竟如何從這樣的 4 元組中提取單個安全估計仍然是一個爭論的問題,即使是後量子密碼學的兩位專家也可能存在分歧。