Пост-квантовый эксперимент по безопасности

В криптографии существует 4 основные классификации атак:

• Атака только зашифрованным текстом
• Атака по известному открытому тексту
• Атака с выбранным открытым текстом
• Атака с выбранным зашифрованным текстом

В Учебник Каца и Линделла (2-е издание) можно найти определение безопасности и поэкспериментировать с этими атаками. Например. определить CPA-безопасность. Это эксперимент между произвольным противником и претендентом. Мне было интересно, существует ли такое определение и эксперимент для постквантовой безопасности. Если это так, может ли кто-нибудь записать их? Если это не так, может кто-нибудь объяснить, почему?

COA, CPA, CCA не определяются по конкретному противнику. Противником может быть ППТ, неограниченный противник (тогда получаем информационно-теоретически защищенный) или полиномиально-временно-квантовый компьютер (правда, в литературе иногда уточняют (не всегда по уважительным причинам) противником является ППТ ).

Таким образом, COA, CPA, CCA не нуждаются в переопределении в постквантовом мире.

Большим изменением в таком мире является тот факт, что не более абсурдно рассматривать противника, который взламывает DLog или RSA, чем утверждение $$ \text{Имеется злоумышленник, нарушающий безопасность системы.}\implies \text{Имеется злоумышленник, нарушающий DLog/RSA}$$ всегда верно (потому что правая часть всегда истинна), а затем уже не имеет практического интереса.

Исторически у нас есть два основных алгоритма криптологии в квантовых вычислениях;

1. Алгоритм Шора внутренне использует нахождение периода для факторизации модуля RSA и решения дискретного логарифма.

   В обоих случаях все параметры общедоступны, злоумышленник, использующий криптографический квантовый компьютер, использует только общедоступный модуль RSA и общедоступные параметры эллиптической кривой.

2. Алгоритм Гровера предназначен для поиска по неструктурированным данным. Если мы перейдем к взлому блочных шифров, то применим один атака по известному открытому тексту как при переборе блочного шифра.

А предложение на эту тему сделано для квантовых предложений NIST в 2019 году BÄetu et.al.

Многие постквантовые криптосистемы, которые были предложены в процессе стандартизации Национального института стандартов и технологий (NIST), следуют одному и тому же метаалгоритму, но в разных алгебрах или разных методах кодирования. Обычно они предлагают две конструкции, одна из которых слабее, а другая требует случайного оракула. Мы ориентируемся на слабую версию из девяти материалов, представленных в NIST. Отправители не претендуют на безопасность, когда секретный ключ используется несколько раз. В этой статье мы анализируем, насколько просто запустить восстановление ключа при многократном повторном использовании ключа. Мы монтируем восстановление классического ключа при атаках с проверкой открытого текста (т. е. с оракулом проверки открытого текста, говорящим, хорошо ли данный зашифрованный текст расшифровывается для данного открытого текста) и восстановление квантового ключа при выбранных атаках зашифрованного текста. В последнем случае мы предполагаем квантовый доступ к оракулу расшифровки.

Дальше;

• Восстановление ключа при атаке с проверкой открытого текста (КР-ППШ) : эта модель имеет смысл, когда злоумышленник может поиграть с сервером с измененным зашифрованным текстом и проверить, расшифровывает ли он тот же открытый текст, что и раньше.

• Восстановление ключа при атаке с выбранным зашифрованным текстом (KR-CCA) противник имеет квантовый доступ к оракулу дешифрования.

  Это исходит из работы

  • ГКЗ 2017 - Учиться с ошибками легко с помощью квантовых образцов. Грило, А.Б., Керенидис, И., Зийлстра, Т.

  Это расслабление; тип АЖОП;

  Он работает только для криптосистем особого вида, а также предполагает квантовый оракул дешифрования, работающий со сложением в специальной группе вместо XOR.

  • АЖОП - 2018- Об атаках с квантовым выбранным шифротекстом и обучении на ошибках, Алагич Г., Джеффри С., Озолс М., Поремба А.