Public-Key

基於橢圓曲線同源的 PQ 密鑰交換

  • January 4, 2022

我正在閱讀關於 Post Quantum Cryptography 的 Wikipedia 文章,並對是否列出的 Supersingular Elliptic Curve Isogeny Diffie-Hellman 是否會成為今天正在實施的 Elliptic Curve Diffie-Hellman 的後量子替代品感興趣?

您提到的超奇異橢圓曲線同源密鑰交換是 DeFeo、Jao 和 Plut 於 2011 年首次發布的。它建立在 Rostovetsev 和 Stolbunov 在 2006 年的早期工作的基礎上,但與之前的工作截然不同。作為橢圓曲線 Diffie-Hellman (ECDH) 的後量子/量子安全替代品,它具有幾個良好的特性:

  1. 需要通過通信通道交換的比特數與正常的 Diffie-Hellman 密鑰交換大致相同。不像 ECDH 那樣小,但也不像 McEliece 或 NTRU 等其他後量子方案那麼大。
  2. 它使用經過充分研究的橢圓曲線數學而不是最近接受的格方法來保護密碼學。如果您查看文獻,您會發現格密碼學過去容易出現不安全性。
  3. 它提供前向保密,就像 Diffie-Hellman 和 ECDH 一樣。McEliece 和 NTRU 需要添加一個額外的交換來提供前向保密。
  4. 它使用已廣泛實施的有限域中的橢圓曲線算法。
  5. 最重要的是,它經受住了 4 年的學術分析。與此密鑰交換的安全性相關的兩篇值得注意的論文是:

Delfs 和 Galbraith 在 Fp 上計算超奇異橢圓曲線之間的同源性 https://arxiv.org/pdf/1310.7789v1.pdf

Biasse、Jao 和 Sankar 計算超奇異橢圓曲線之間同源性的量子算法 https://cacr.uwaterloo.ca/techreports/2014/cacr2014-24.pdf

這兩篇論文都支持 Supersingular Isogeny Key 交換的基本安全性,但應該注意的是,作者之一 (Jao) 也是密鑰交換的發明者之一。

  1. 密鑰交換似乎沒有專利。

但是有一個缺點:

計算超奇異橢圓曲線的同係並組合這些同系在計算上比其他被考慮的後量子方案(如 McEliece、NTRU 或 Ring-LWE 方案)更難計算。

在介紹密鑰交換的論文中,作者提出了需要在 2.5GHz 電腦上為交換的每一方進行超過 100 毫秒計算的算法。其中一半可以離線完成,但值得注意。Shumow、Shumow 和 Moody 在創建更高效的計算模型方面做了進一步的工作。密鑰交換的原始發明者和 Shumow 都在網上發布了他們的程式碼。可以肯定的是,如果人們對實際使用這種密鑰交換更感興趣,那麼計算方面可能會有一些重大改進,就像 Dan Bernstein 和 Tanja Lange 對標準橢圓曲線密碼學所做的那樣。768 位超奇異曲線的最快橢圓曲線同源計算的編碼競賽將是測試性能限制的好方法。

這是否回答你的問題?

具有可接受頻寬要求的後量子密鑰交換的兩種方法是您提到的 NTRU/Ring-LWE 晶格設計和 ECC 同源密鑰交換。自從英國間諜機構發布了對他們設計的基於格的方案的攻擊以來,Dan Bernstein 和格密碼學家之間就該結果的重要性以及 NTRU/Ring-LWE 方案是否真的準備好進行了積極討論。信任。你可以在這裡找到伯恩斯坦的想法:

http://blog.cr.yp.to/20140213-ideal.html

由於這些疑問,Supersingular Curve Isogeny Key Exchange 目前似乎是一種更安全的設計。獨立的研究小組已經研究了它的安全性,並且似乎都支持它的安全性。正如 Carvalho 所指出的,Supersingular Isogeny 設計不如基於晶格的方案有效。但是,如果您今天想使用可以在遙遠的將來為您提供安全性的東西,我認為堅持使用 ECC 基礎是一個好主意。您應該能夠將 ECC 中的許多相同的算術加速用於 Isogeny 設計。

引用自:https://crypto.stackexchange.com/questions/26156