基于格的抗量子密码.pdf-得力文库

资源描述

《基于格的抗量子密码.pdf》由会员分享，可在线阅读，更多相关《基于格的抗量子密码.pdf（6页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1基于格的抗量子密码1张江（密码科学技术国家重点实验室，北京 5159 信箱 100878）摘要：近年来，量子计算的快速发展给现代密码技术带来了前所未有的挑战和威胁，量子时代也常被误认为是现代密码技术的 “终结者 ”。首先，本文从密码技术的发展历史出发，介绍了量子计算对现代密码技术的影响和抗量子密码研究的必要性；其次，本文回顾了格上抗量子

2、密码的研究现状，并简短介绍了我们在格上密码研究的部分工作；最后，本文给出了简短的总结。关键词：密码学；量子计算；基于格的抗量子密码；量子密码Lattice-based CryptographyJiang ZHANG(State Key Laboratory of Cryptology, P.O.Box 5159, Beijing 100878, China)Abstract: In recent years, quantum computation has gaine

3、d great development, which bringsgreat challenges and threats to modern cryptology, and makes many people mistakenly believethat the quantum era would be the end of the modern cryptology. In this paper, we first beganwith the development history of cryptology, and investigated the actual impact of q

4、uantumcomputation on the modern cryptology and the importance of post-quantum cryptographicresearch. Then, we briefly reviewed the state of lattice-based cryptography, and introduced ourseveral works in this area. Finally, we gave a short conclusion.Keywords: Cryptology, quantum computation, lattice

5、-based cryptography, quantumcryptography1 引言密码学的英文是 Cryptology，源自希腊文 “kryptos”及 “logos”两词，即为 “隐藏 ”及 “讯息 ”之意。人类早在古埃及时代就开始使用密码技术，但当时主要用于军事目的，保护军事秘密不被敌人窃取。此后，密码技术一直伴着人类历史的前进而发展，只是在不同的历史阶段，不同的信息技术水平具

6、有不同的表现形式。密码学家通常将密码技术的发展历史分为三个时期，即古典密码、近代密码和现代密码时期。古典密码是指 20 世纪 40 年代之前的密码技术的统称，其代表有古罗马时代的凯撒（ Caesar）密码，以及二战中德国使用的 ENIGMA 密码机等。古典密码以现代计算机的鼻祖 “图灵机 ”的出现而逐渐退出历史舞台。信息技术的进步虽然

7、给密码技术带来新的危机和挑战，却也促使密码技术不断向前发展，使得其从最初军作者简介：张江，男，博士，密码科学技术国家重点实验室助理研究员，主要研究领域为可证明安全的公钥密码协议，中国密码学会 CACR-P-1201172，电话： 010 82789199， E-mail： .万方数据2队和政府专属技术走向为普通民众服务的公共信息技术。 1949 年仙农（ Shan

8、non）发表了著名的保密系统的通信理论 1，建立了近代密码学的理论基础。 20 世纪 70 年代美国发布数据加密标准（ DES） 2，以及图灵奖获得者 Diffie 和 Hellman 发表密码学的新方向 3则标志着现代密码学开始。如图 1 所示，现代密码技术分为私钥（对称）密码技术和公钥（非对称）密码技术，其中私钥密码技术主要研究对象为私钥加密算法、杂

9、凑函数和消息认证码等，而公钥密码技术的主要研究对象则为公钥加密算法、数字签名算法和密钥建立协议等。虽然私钥密码技术中的私钥加密算法和公钥密码技术中的公钥加密算法都能够用于信息加密并保护信息的机密性，然而现代密码技术则已经远远超出了保护信息机密性的范畴。在理论上现代密码学依赖于计算复杂性理论（即求解某些计

10、算问题是困难的），但在技术上私钥密码通常依赖于现有的设计原则和分析方法以达到破解密码对于攻击者在计算上是不可行的；而公钥密码则依赖于具体的数学困难问题并通过安全归约将对于公钥密码的有效攻击变成求解相应的数学困难问题。由于公钥密码利用的数学困难问题往往具有非常丰富的代数结构，这使得对公钥密码技术的攻击与对

11、私钥密码技术的攻击有着巨大的差异。某些现实系统中使用的公钥密码系统（如RSA 和 ElGamal 公钥加密系统）是建立在大整数分解问题和求解离散对数问题的困难性之上，虽然目前研究学者没有在图灵机模型下找到求解这两类问题的高效算法（即面对使用传统计算机的攻击者是安全的），但在 1995 年美国科学家 Peter Shor 却给出了能在多

12、项式时间内高效分解大整数和求解离散对数的量子算法 4。换句话说，在量子计算机出现以后， RSA 和 ElGamal公钥加密系统将变得不再安全。图1现代密码技术上述密码系统在面对经典计算机和量子计算机时的安全性差异源自于量子计算机与经典计算机在计算方式上有本质的不同 5。例如，经典计算机对某个函数 ()f 的一次计算通常只能获得 ()f 在某个特

13、定输入点 x 的函数值 ( )f x ，而量子计算机却能以数据的量子叠加态(Superposition State) x x 作为输入并通过一次计算得到函数值的量子叠加态( )x f x 。这种特性使得量子算法相对于经典算法能提供一定的加速，但具体的加速性能却与被计算函数的代数性质有着密切的关系。例如，对于大整数分解问题和求解离散对数问题，量子算法相

14、对于经典算法具有指数的加速4，但对某些其他问题，量子算法却只能提供多项式的加速 6。特别地，目前针对私钥密码最高效的 Grover 量子算法 7，也只是将密钥的有效长度减少为原来的一半。换句话说，只要将目前私钥加密算法的密钥长度扩张一倍就能够有效地抵抗量子计算机的攻击。此外，对于某些困难问题（如 NP 完全问题、基于格、基

15、于编码和基于多变量方程的数学问题），量子算法相对于传统算法也并没有明显的优势 8,9。实际上，万方数据3紧跟着 Shor 量子算法之后，国内外密码学家已开始利用基于格、基于编码和基于多变量方程等数学困难问题来设计公钥密码系统，并统称这些研究为抗量子密码学 9。由于公钥密码技术被广泛应用于实际信息系统，并起着不可替代的作用（

16、例如，私钥密码技术不能完全替代数字签名算法的作用），因此研究抗量子密码具有极大的必要性和紧迫性。此外，随着量子计算技术的发展，量子密码也作为一种新的密码技术进入人们的视野。严格来说，目前的量子密码主要是指量子密钥传输协议（ QKD） 10,11，其完成的主要是公钥密码技术中部分密钥建立协议的功能。进一步，由于公钥加

17、密和数字签名算法在本质上蕴含着从 “公钥不能计算出私钥 ”的困难问题，因此在理论上不可能利用量子技术实现 “无条件安全的公钥加密和数字签名算法 ”。注意到现实生活中使用的密钥建立协议（如 TLS/SSL 协议）往往都需要认证用户的身份（即需要签名算法），可以预见量子密码要借助其他公钥密码技术才能真正用于实际生活中大多数信息系

18、统。因此，研究基于抗量子困难问题的公钥密码技术抗量子密码对于量子密码的应用也具有重要的意义。2 基于格的抗量子密码经过多年的研究，密码学家已筛选出了几大类极有希望能够抵抗量子计算机攻击的困难问题，并基于这些问题设计了抗量子攻击的密码，包括基于格的密码、基于编码的密码、基于多变量的密码和基于杂凑函数的密码 9。

19、由于具有渐进的计算效率、基于最坏情况的困难假设、极大的多样性等优点，基于格的密码吸引了国内外密码学家的广泛关注。当前，为已有基于经典假设的密码系统寻找基于格上困难问题的替代密码系统已经变成一个重要的研究方向。2.1 研究现状从 18 世纪开始，拉格朗日（ Lagrange）和高斯（ Gauss）等世界著名数学家已经开始研究格上的困

20、难问题。令 m 是 m 维欧几里得空间。令 1( , , ) m nn B b b 是 m 中 n 个线性无关列向量构成的矩阵。一个由矩阵 B 生成的格 ( )BL 是一个由其列向量 1, , mn b b 的所有整系数线性组合构成的集合，即 ( ) : :n i i ii x x B Bx x b L 。整数 m 和 n 分别称为格 ( )BL 的维数和秩。矩阵 B 称为格 ( )BL 的基，一个格通常有许多不同的基。格中

21、两个最重要的困难问题是最短向量问题（ SVP）和最近向量问题（ CVP）。令 1( ) 是格中最短向量的长度。给定 m 中秩为 n 的格 m 和向量 t m ，定义向量 t 到格的距离为v( ,t) mindist v t 。定义 1（近似最短向量问题）给定秩为 n 的格 ( ) BL 的一组基 m nB 和实数 ( ) 1n ，近似最短向量问题 SVP 的目标是寻找非零格向量 v使得 1v ( ) 。定义 2（

22、近似最近向量问题）给定秩为 n 的格 ( ) BL 的一组基 m nB 和目标向量万方数据4t m ，以 ( ) 1n 为近似因子的近似最近向量问题 CVP 的目标是寻找格向量 v使得v-t dist( ,t) 。当近似因子 ( ) 1n 时，上述两个定义给出的是格上的标准问题，并被证明了是 NP 困难的 12。但随着 ( )n 的变大，这类问题会变得越来越容易求解。特别地，当 loglog /lo

23、g( ) 2n n nn 时，相关近似问题就已存在多项式时间的求解算法 13,14 。虽然，对于多项式近似因子poly( ) ( )n n ， SVP 和 CVP 问题已经不再是 NP 困难的15,16，但求解这两类问题却仍然需要指数的计算时间和空间 17。事实上，即使对于 ( ) 2kn 的近似因子，目前最好的算法也需要 ( / )2O n k 的计算时间。此外， Shor 提出的用于大整数分

24、解和离散对数的量子算法 4对求解格上的困难问题也没有明显的优势。特别地，即使是对于格上相对比较容易的唯一最短向量问题(Unique SVP)，已知的量子算法也需要亚指数的计算时间 9,18。正因为如此，多项式近似因子的 SVP 和 CVP 问题在格密码学中被广泛地用做抗量子攻击的困难假设。1999 年， Ajtai 构造了第一个基于格上困难问题的单

25、向函数族19，并证明了如果多项式近似因子的 SVP 问题在最坏情况下是困难的，那么求解该函数族中函数的逆在平均意义下也是困难的。值得注意的是，这种 “平均困难性最坏困难性的联系 ”是其他密码构造都不曾具有的优良性质。此外， Ajtai 的工作 19还间接地提出了格上密码学常用的两个困难假设之一的最小整数解问题（ SIS）。 2005 年， Reg

26、ev 提出了格密码常用另一个困难假设带错误的学习问题（ LWE） 20，并同样证明了该问题的平均困难性与多项式近似因子的 SVP 问题最坏困难性在量子归约下是等价的。由于大多格上密码都是基于 SIS 问题和 LWE 问题构造的，因此这些基于格的密码天然的拥有相应格上问题的最坏困难性保证。经过 20 多年的研究，基于格的密码在公钥加密算法20

27、、数字签名算法 21,22、密钥交换协议 23,24、基于身份加密算法 22,25，甚至还包括全同态加密算法 26和函数加密算法 27等都取得了丰硕的成果。此外，大多数基于格的密码计算效率也比较高，且支持高度并行，但基于格的密码也有如下两个缺点： 1）密钥长度和通信代价比较大，即使是基于理想格的密码构造也需要数千字节 23，比基于大整数分

28、解问题等传统公钥密码还要大几十倍； 2）基于格的密码涉及与安全强度相关的参数较多，选取特定安全强度的参数和评估给定参数的具体安全强度的困难性较高。2.2 我们的部分工作近年来，我们一直在从事抗量子密码的研究工作，并取得了一些阶段性的研究成果。特别地，在抗量子公钥加密算法研究方面，我们设计了格上第一个基于属性的加

29、密算法28，第一个支持灵活门限访问结构的属性加密算法 29，第一个在标准模型下适应安全的具有对数公钥长度的基于身份加密算法 22，以及第一个支持常数噪音 LPN 假设的公钥加密算法 30；在抗量子密钥交换协议研究方面，我们通过使用 “噪声消除 ”和 “拒绝采样 ”等技术基于格上困难问题设计了第一个两轮隐式认证的密钥交换协议 24；在抗量子

30、数字签名算法研究方面，我们设计了第一个参数几乎与群成员个数无关的格上群签名算法 31和第一个标准模型下对数公钥长度万方数据5的短签名算法 22。3 总结与展望量子计算虽然给现代密码技术带来一定的挑战，但其仅仅对基于某些具体数学问题的密码方案有颠覆性的威胁，并没有动摇现代密码学的理论基础。量子密码（量子密钥传输）虽然能够替

31、代公钥密码技术中部分密钥交换协议的功能，但其却不能替代现代密码技术特别是公钥密码技术在实际应用中的作用，因此研究抗量子的新型公钥密码具有极大的必要性和紧迫性。虽然当前量子计算机还处于非常原型的阶段2，但密码学家却早已开始抗量子密码的研究。特别地，美国国家标准研究所（ NIST）已于 2016 年开始抗量子密码标准的征

32、集，并计划将于2023 年左右推出抗量子密码标准。我们有理由相信更先进的抗量子密码必将先于量子计算机进入实际应用。参考文献1 Claude E. Shannon. Communication theory of secrecy systemsJ. Bell Labs Technical Journal,1949,28(4):656715.2 National Bureau of Standards, Data Encryption StandardS, U.S. Department of Com

33、merce, FIPS pub. 46,January 1977.3 Whitfield Diffie and Martin Hellman. New directions in cryptographyJ. IEEE transactions on InformationTheory, 1976, 22(6):644654.4 Peter W. Shor. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantumcomputerJ. SIAM Journal on Compu

34、ting, 1997, 26(5):14841509.5 Michael A Nielsen and Isaac L Chuang. Quantum computation and quantum informationM. Cambridgeuniversity press, 2000.6 Robert Beals, Harry Buhrman, and Richard Cleve et al. Quantum lower bounds by polynomialsJ. Journal ofthe ACM, 2001, 48(4):778797.7 Lov K Grover. Quantum

35、 mechanics helps in searching for a needle in a haystackJ. Physical review letters,1997, 79(2):325328.8 Charles H. Bennett, Ethan Bernstein, and Gilles Brassard et al. Strengths and weaknesses of quantumcomputingJ. SIAM journal on Computing, 1997, 26(5):15101523.9 Daniel Bernstein, Johannes Buchmann

36、, and Erik Dahmen. Post-quantum cryptographyM. Springer Science &Bussiness Media, 2009:1-245.10 ChariesH. Bennett and Gilles Brassard. Quantum Cryptography: Public-Key Distribution and Coin TossingC.Proceedings of the International Conference on Computers, Systems and Signal Processing, Bangalore, I

37、ndia,1984:175-179.11 Gilles Brassard. Brief history of quantum cryptography: A personal perspectiveC/IEEE Information TheoryWorkshop on Theory and Practice in Information-Theoretic Security, IEEE, 2005:1923.12 Daniele Micciancio and Shafi Goldwasser. Complexity of lattice problems: a cryptographic p

38、erspectiveM,Springer Science & Business Media, 2012:1-220.13 C.P Schnorr. A more efficient algorithm for lattice basis reductionJ. Journal of Algorithms, 1988, 9(1):47 62.2目前已知量子计算机只能将整数 35 分解成 5 乘 7（即分解小于 6 比特位的整数），而实际应用中较低安全强度的RSA 密码系统使用的却是 1024 比特

39、位的大整数。万方数据614 A.K. Lenstra, Jr. Lenstra, H.W., and L. Lovsz. Factoring polynomials with rational coefficientsJ.Mathematische Annalen, 1982, 261(4):515534.15 Oded Goldreich and Shafi Goldwasser. On the limits of non-approximability of lattice problemsC/Proceedings of the Thirtieth Annual ACM Sym

40、posium on Theory of Computing, New York, ACM, 1998:19.16 Dorit Aharonov and Oded Regev. Lattice problems in NP CoNPC/Proceedings of the 45th Annual IEEESymposium on Foundations of Computer Science, 2004: 362371.17 Mikls Ajtai, Ravi Kumar, and D. Sivakumar. A sieve algorithm for the shortest lattice

41、vectorproblemC/Proceedings of the 33rd annual ACM symposium on Theory of computing, New York, ACM,2001:601610.18 Oded Regev. Quantum computation and lattice problemsJ. SIAM Journal on Computing, 2004,33(3):738760.19 Mikls Ajtai. Generating hard instances of lattice problems (extended abstract)C/Proc

42、eedings of the 28thannual ACM symposium on Theory of computing, New York, ACM, 1996:99108.20 Oded Regev. On lattices, learning with errors, random linear codes, and cryptographyC/Proceedings of the37th annual ACM symposium on Theory of computing, New York, ACM, 2005:8493.21 Vadim Lyubashevsky and Da

43、niele Micciancio. Asymptotically efficient lattice-based digitalsignaturesC/Theory of Cryptography, LNCS 4948, 2008:37-54.22 Jiang Zhang, Yu Chen, and Zhenfeng Zhang. Programmable Hash Functions from Lattices: Short Signaturesand IBEs with Small Key SizesC/Advances in Cryptology CRYPTO 2016. LNCS 98

44、16, 2016:303332.23 Erdem Alkim, Lo Ducas, and Thomas Pppelmann et al. Post-quantum key exchange a newhopeC/USENIX Security 2016, Austin, USENIX Association, 2016:327-343.24 Jiang Zhang, Zhenfeng Zhang, and Jintai Ding et al. Authenticated key exchange from ideallatticesC/Advances in Cryptology EUROC

45、RYPT 2015, LNCS 9057, 2015:719751.25 Craig Gentry, Chris Peikert, and Vinod Vaikuntanathan. Trapdoors for hard lattices and new cryptographicconstructionsC/Proceedings of the 40th annual ACM symposium on Theory of computing, New York, ACM,2008:197-206.26 Craig Gentry. Fully homomorphic encryption us

46、ing ideal latticesC/Proceedings of the 41st annual ACMsymposium on Theory of computing, New York, ACM, 2009:169178.27 Shweta Agrawal, David Mandell Freeman, and Vinod Vaikuntanathan. Functional Encryption for InnerProduct Predicates from Learning with ErrorsC/Advances in Cryptology - ASIACRYPT 2011,

47、 LNCS 7073,2011: 21-40.28 Jiang Zhang and Zhenfeng Zhang. A ciphertext policy attribute-based encryption scheme withoutpairingsC/Information Security and Cryptology INSCRYPT 2011, LNCS 7537, 2012:324340.29 Jiang Zhang, Zhenfeng Zhang, and Aijun Ge. Ciphertext policy attribute-based encryption fromla

48、tticesC/Proceedings of the 7th ACM Symposium on Information, Computer and Communications Security,New York, ACM, 2012: 1625.30 Yu Yu and Jiang Zhang. Cryptography with Auxiliary Input and Trapdoor from ConstantNoiseLPNC/Advances in Cryptology CRYPTO 2016, LNCS 9814, 2016 :214243.31 Phong Q. Nguyen, Jiang Zhang, and Zhenfeng Zhang. Simpler efficient group signatures fromlatticesC/Public-Key Cryptography PKC 2015, LNCS, 2015, 9020:401426.万方数据

展开阅读全文