Rsa

為 TLSSSL 使用基於格的加密

  • April 25, 2019

鑑於基於 Lattice 的密碼學的一般好處,例如:

  • 後量子安全
  • 最壞情況下的安全性
  • 效率

從基於RSA \ ECC的密碼學轉向Lattice密碼學(比如NTRU )的前景如何?

這可行嗎?

有什麼缺點嗎?

可行的?當然,有一些格算法在性能上可以與 RSA 相媲美。

但是,也有缺點,例如:

  • 對它們的研究少於 RSA 或 ECC,尤其是個別算法。
  • 研究最充分的系統 NTRU 已獲得專利。
  • 沒有通用證據表明我知道沒有量子算法來解決它們。

第一個是為什麼我懷疑 TLS 至少會迅速轉移到格,除非有重要證據表明能夠破解目前加密的量子電腦是實用的。第三個意味著即使可以找到另一個公鑰系統也可能會更好。

簡而言之:

是的,它是可行的,沒有明顯的缺點。

在建立通道時需要做更多的工作,但是在交換密鑰之後,它是相同的舊對稱加密(ChaCha20 或 AES)。

更長:

將 Lattice 實施到 TLS的前景將涉及串聯使用前(RSA/ECC)和後(Lattice 和其他)量子非對稱加密。此後為了簡單起見,我們將其稱為DUAL

然後,您可以從 postQ Lattice 獲得 preQ RSA/ECC 的數學嚴謹性以及針對 Shor 算法的極可能安全性。同時擁有兩者確實會增加啟動安全通道的時間,但這應該不是問題,會話的其餘部分使用對稱(AES 和其他)。

擁抱未獲得專利的不太成熟的格算法的機會

考慮到這一點,postQ 算法的成熟度變得風險更小,因此人們可以採用一種開放的 postQ 算法 ( R-LWE ),避免專利問題。

如果沒有 DUAL,您就可以進行後量子解密。使用 DUAL,您只能“潛在”地接受後量子解密。(因為如果他們破壞了 postQ 部分,您將不再有 postQ 保護,但至少您仍然擁有針對經典威脅的成熟 preQ 保護)。

這裡有一些更詳細的連結,我以前寫過這些連結,對於這個答案應該不是必需的:

引用自:https://crypto.stackexchange.com/questions/18412