Rsa
為 TLSSSL 使用基於格的加密
鑑於基於 Lattice 的密碼學的一般好處,例如:
- 後量子安全
- 最壞情況下的安全性
- 效率
從基於RSA \ ECC的密碼學轉向Lattice密碼學(比如NTRU )的前景如何?
這可行嗎?
有什麼缺點嗎?
可行的?當然,有一些格算法在性能上可以與 RSA 相媲美。
但是,也有缺點,例如:
- 對它們的研究少於 RSA 或 ECC,尤其是個別算法。
- 研究最充分的系統 NTRU 已獲得專利。
- 沒有通用證據表明我知道沒有量子算法來解決它們。
第一個是為什麼我懷疑 TLS 至少會迅速轉移到格,除非有重要證據表明能夠破解目前加密的量子電腦是實用的。第三個意味著即使可以找到另一個公鑰系統也可能會更好。
簡而言之:
是的,它是可行的,沒有明顯的缺點。
在建立通道時需要做更多的工作,但是在交換密鑰之後,它是相同的舊對稱加密(ChaCha20 或 AES)。
更長:
將 Lattice 實施到 TLS的前景將涉及串聯使用前(RSA/ECC)和後(Lattice 和其他)量子非對稱加密。此後為了簡單起見,我們將其稱為DUAL。
然後,您可以從 postQ Lattice 獲得 preQ RSA/ECC 的數學嚴謹性以及針對 Shor 算法的極可能安全性。同時擁有兩者確實會增加啟動安全通道的時間,但這應該不是問題,會話的其餘部分使用對稱(AES 和其他)。
擁抱未獲得專利的不太成熟的格算法的機會
考慮到這一點,postQ 算法的成熟度變得風險更小,因此人們可以採用一種開放的 postQ 算法 ( R-LWE ),避免專利問題。
如果沒有 DUAL,您就可以進行後量子解密。使用 DUAL,您只能“潛在”地接受後量子解密。(因為如果他們破壞了 postQ 部分,您將不再有 postQ 保護,但至少您仍然擁有針對經典威脅的成熟 preQ 保護)。
這裡有一些更詳細的連結,我以前寫過這些連結,對於這個答案應該不是必需的: