Рейтинг:1

Пост-квантовый эксперимент по безопасности

флаг tl

В криптографии существует 4 основные классификации атак:

  • Атака только зашифрованным текстом
  • Атака по известному открытому тексту
  • Атака с выбранным открытым текстом
  • Атака с выбранным зашифрованным текстом

В Учебник Каца и Линделла (2-е издание) можно найти определение безопасности и поэкспериментировать с этими атаками. Например. определить CPA-безопасность. Это эксперимент между произвольным противником и претендентом. Мне было интересно, существует ли такое определение и эксперимент для постквантовой безопасности. Если это так, может ли кто-нибудь записать их? Если это не так, может кто-нибудь объяснить, почему?

Titanlord avatar
флаг tl
Насколько я понимаю, не должно быть определения безопасности для пост-кванта, потому что он влияет только на силу произвольного противника. Но есть ли у нас все еще вероятностный противник с полиномиальным временем?
kelalaka avatar
флаг in
BPQ определяет класс проблемы, а не модель атаки!
Рейтинг:4
флаг ru

Криптоанализ с злоумышленниками, способными представлять суперпозиции входных данных и интерпретировать суперпозиции выходных данных, действительно существует, но все еще является относительно новым и требует относительно небольшой работы. Самый ранний известный мне пример работы Жандри квантово-защищенные псевдослучайные функции. Я не думаю, что термин «квантово выбранное сообщение» был введен до работы Боне и Жандри над квантово-защищенные MAC-адреса. Похоже, что между этой и классической моделями безопасности есть различие. Также используется (неадаптивный) противник с квантовым выбором зашифрованного текста в LWE-анализ Алагич и др. Например.

Мне не ясно, как квантовая атака с выбранным сообщением может быть реализована на практике, если только пользователи не реализуют свою криптографию на квантовом оборудовании или если злоумышленники каким-то образом не могут клонировать классическую реализацию на квантовое оборудование (но каким-то образом не могут прочитать ключ из классического реализация при клонировании).

poncho avatar
флаг my
«если злоумышленники каким-то образом могут клонировать классическую реализацию на квантовое оборудование (но каким-то образом не могут прочитать ключ из классической реализации во время клонирования)». - на самом деле это относится к «криптографии белого ящика», когда злоумышленнику дается полное описание (включая скрытый ключ), и чья цель состоит в том, чтобы сделать что-то (например, повторно получить ключ), что он не мог сделать с реализацией черного ящика.
fgrieu avatar
флаг ng
«существует» использует либеральную интерпретацию _exists_, общую для всех работ по квантовому криптоанализу, сравнимую с [такой же в worldbuilder] (https://worldbuilding.stackexchange.com/q/94506).
Daniel S avatar
флаг ru
@fgrieu: Ну да. Анализ существует; каковы последствия анализа, это другой вопрос.С другой стороны, существует много классического криптоанализа блочных шифров, которые зависят от очень экстремальных моделей атаки, и поэтому, возможно, следует рассмотреть модель квантового противника в сильно перепроектированном мире симметричной криптографии.
fgrieu avatar
флаг ng
Хорошая мысль: большая часть работ по классическому криптоанализу так же далека от сегодняшней реальности (как это воспринимает инженер, использующий криптографию, как я), так и работа по квантовому криптоанализу!
Рейтинг:2
флаг cn

COA, CPA, CCA не определяются по конкретному противнику. Противником может быть ППТ, неограниченный противник (тогда получаем информационно-теоретически защищенный) или полиномиально-временно-квантовый компьютер (правда, в литературе иногда уточняют (не всегда по уважительным причинам) противником является ППТ ).

Таким образом, COA, CPA, CCA не нуждаются в переопределении в постквантовом мире.

Большим изменением в таком мире является тот факт, что не более абсурдно рассматривать противника, который взламывает DLog или RSA, чем утверждение $$ \text{Имеется злоумышленник, нарушающий безопасность системы.}\implies \text{Имеется злоумышленник, нарушающий DLog/RSA}$$ всегда верно (потому что правая часть всегда истинна), а затем уже не имеет практического интереса.

Рейтинг:1
флаг in

Исторически у нас есть два основных алгоритма криптологии в квантовых вычислениях;

  1. Алгоритм Шора внутренне использует нахождение периода для факторизации модуля RSA и решения дискретного логарифма.

    В обоих случаях все параметры общедоступны, злоумышленник, использующий криптографический квантовый компьютер, использует только общедоступный модуль RSA и общедоступные параметры эллиптической кривой.

  2. Алгоритм Гровера предназначен для поиска по неструктурированным данным. Если мы перейдем к взлому блочных шифров, то применим один атака по известному открытому тексту как при переборе блочного шифра.

А предложение на эту тему сделано для квантовых предложений NIST в 2019 году BÄetu et.al.

Многие постквантовые криптосистемы, которые были предложены в процессе стандартизации Национального института стандартов и технологий (NIST), следуют одному и тому же метаалгоритму, но в разных алгебрах или разных методах кодирования. Обычно они предлагают две конструкции, одна из которых слабее, а другая требует случайного оракула. Мы ориентируемся на слабую версию из девяти материалов, представленных в NIST. Отправители не претендуют на безопасность, когда секретный ключ используется несколько раз. В этой статье мы анализируем, насколько просто запустить восстановление ключа при многократном повторном использовании ключа. Мы монтируем восстановление классического ключа при атаках с проверкой открытого текста (т. е. с оракулом проверки открытого текста, говорящим, хорошо ли данный зашифрованный текст расшифровывается для данного открытого текста) и восстановление квантового ключа при выбранных атаках зашифрованного текста. В последнем случае мы предполагаем квантовый доступ к оракулу расшифровки.

Дальше;

  • Восстановление ключа при атаке с проверкой открытого текста (КР-ППШ) : эта модель имеет смысл, когда злоумышленник может поиграть с сервером с измененным зашифрованным текстом и проверить, расшифровывает ли он тот же открытый текст, что и раньше.

  • Восстановление ключа при атаке с выбранным зашифрованным текстом (KR-CCA) противник имеет квантовый доступ к оракулу дешифрования.

    Это исходит из работы

    Это расслабление; тип АЖОП;

    Он работает только для криптосистем особого вида, а также предполагает квантовый оракул дешифрования, работающий со сложением в специальной группе вместо XOR.

kelalaka avatar
флаг in
Я хотел бы увидеть их причину для отрицательного голоса. BÄetu et.al попытались разработать основу для основного вопроса ОП.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.