Рейтинг:0

Когда алгоритм обмена ключами PQ подходит для использования с долговременными статическими ключами?

флаг cn

я взглянул на Круг облаков потому что мне любопытно, какие постквантовые алгоритмы реализованы в Go, которые можно было бы использовать для обмена ключом.

я прочитал это комментарий что SIDH подходит только для обмена эфемерными ключами, в отличие от CSIDH.

Вопрос 1:
Поэтому мне интересно, какими характеристиками должен обладать постквантовый алгоритм, чтобы он подходил для создания долговременного статического ключа для обмена ключами (например, RSA или ECC)?

Вопрос 2:
Почему SIDH подходит только для обмена эфемерными ключами, но не для CSIDH?

И что насчет

  • СИКЕ
  • Кибер
  • Классический МакЭлис
  • ФродоКЕМ?

Или ответ настолько специфичен для каждого алгоритма, что его могут определить только специалисты по текущему состоянию криптоанализа?

флаг ne
Не могли бы вы уточнить свой вопрос: конкретно, что вы подразумеваете под «когда»? Потому что, в противном случае, единственный ответ, который у меня есть, это «когда они докажут свою безопасность для этого конкретного использования».
Рейтинг:1
флаг in

Вот а итог ситуации:

Q1. Основная причина, по которой некоторые системы обмена ключами нельзя использовать со статическими ключами, заключается в следующем. атаки с выбранным зашифрованным текстом. Общая идея заключается в том, что вредоносные клиенты отправляют на сервер обработанные сообщения об обмене ключами, что позволяет им извлекать частичную информацию о статическом секретном ключе сервера при каждом таком запросе.

Возможно, наиболее известным примером являются атаки с использованием недействительной кривой на (плохо реализованную) ECDH: здесь злоумышленник отправляет точку в качестве своего открытого ключа, который на самом деле не находится на правильной кривой, а результат фиктивного обмена ключами затем приводит к утечке информации. о секретном ключе (например, о его остатке по модулю малого простого числа). Теперь в ECDH эту проблему можно решить с помощью проверка открытых ключей перед их обработкой при обмене ключами (например, проверьте, что данная точка лежит на намеченной кривой), поэтому в настоящее время считается ошибкой реализации, если эта уязвимость существует в криптографической библиотеке.

К сожалению, потенциальные утечки информации, подобные этой, существуют почти для всех парадигм, используемых для построения постквантового обмена ключами; см. например здесь или же здесь или же здесь (§2.4), и, что еще более печально, избегать этого вопроса, как правило, нет так же просто, как и для ECDH. Например, можно показать, что отличить обработанные ключи SIDH от честно сгенерированных ключей очень сложно. так сложно, как сломать схему (и я полагаю, что аналогичные аргументы будут работать для конструкций на основе решетки и кода, но я менее знаком с ними).

Обходной путь, используемый основными постквантовыми системами обмена ключами, заключается в следующем: Преобразование Фудзисаки — Окамото (или один из его вариантов). По сути, первое, что отправляет клиент, используя только что согласованный ключевой материал, это шифрование их секретного ключа который использовался для обмена ключами. Затем сервер повторно вычисляет открытый ключ, соответствующий этому секретному ключу, и немедленно прерывает соединение, если полученный открытый ключ не равен полученному от клиента ранее.Таким образом, поведение недобросовестного клиента одинаково во всех случаях: соединение обрывается, поэтому никакая информация не может быть извлечена. Очевидно, что хотя это и позволяет серверу использовать статическую пару ключей, клиенту по-прежнему необходимо каждый раз генерировать новую эфемерную пару ключей, потому что сервер узнает секрет. Другими словами, примитив, полученный из преобразования FO, является CCA-защищенным. КЭМ.

Таким образом, ответ на ваш вопрос таков: ключи можно использовать повторно, если атаки с выбранным зашифрованным текстом невозможны, либо путем применения преобразования, подобного FO, либо путем рассуждения о том, что система невосприимчива.

Q2. CSIDH похож на ECDH тем, что может эффективно отличать действительные открытые ключи от недействительных (и несколько забавно, что процесс проверки почти идентичен для ECDH и CSIDH). Следовательно, манипулирование открытыми ключами не является проблемой, и мы можем использовать «ванильное» одностороннее групповое действие CSIDH со статическими ключами.

Напротив, все другие перечисленные вами схемы обмена ключами включают в себя некоторый вариант преобразования FO для обеспечения безопасности CCA, что подразумевает, что один сторона может использовать статическую пару ключей, а другая — нет. В общем, по умолчанию для любой криптосистемы следует исходить из того, что атаки с выбранным зашифрованным текстом представляют собой проблему, если только они не исключены.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.