Рейтинг:2

Алгоритм Гровера для криптографии с открытым ключом - FrodoKEM

флаг in

Мне интересно, можно ли применить алгоритм Гровера к механизм инкапсуляции ключей для взлома общего ключа.

Например, FrodoKEM — это протокол генерации ключей, который для некоторых параметров разделяет 128 битов ключа.

Можем ли мы сломать его с помощью Гроувера? то есть уменьшить его до $2^{64}$ операции?

Ссылка на ФродоКЕМ: https://frodokem.org/files/FrodoKEM-specification-20171130.pdf

kelalaka avatar
флаг in
Вы спрашиваете, используя Гровера против FrodoKem или против шифрования с симметричным ключом, которое произвел FrodoKem? Какое симметричное шифрование используется после FrodoKem? Рассматривайте это как RSA-KEM (механизм инкапсуляции ключей) + AES-GCM (механизм инкапсуляции данных (DEM)). В ближайшем будущем Grover превзойдет AES-128, но не AES-256.
C.S. avatar
флаг in
Спасибо @kelalaka. Как насчет того, чтобы сломать FrodoKEM самостоятельно? Возможно ли это с помощью алгоритма Гровера?
kelalaka avatar
флаг in
Конечно, неясно, как можно запускать вызовы $\sqrt{2^n}$ Grover Oracles в реальной жизни. Какова стоимость ( timexmoney ) подготовки следующего Оракула...
kelalaka avatar
флаг in
[Простой анализ времени Гровера здесь](https://crypto.stackexchange.com/a/67677/18298) и [неэффективность параллельной машины Гровера здесь](https://quantumcomputing.stackexchange.com/q/4531 /4866)
Рейтинг:6
флаг my

Мне интересно, можно ли применить алгоритм Гровера к механизму инкапсуляции ключей, чтобы взломать общий ключ.

Вот как работает алгоритм Гровера (упрощенно): вы берете функцию «пригодности» (которая делает предположение о значении, которое вы ищете, и оценивает его как «1», если предположение верно, и «0», если оно неверно). для AES функция соответствия может быть «использовать предположение в качестве ключа AES и зашифровать известный блок открытого текста и проверить, является ли результат известным блоком зашифрованного текста).

Затем вы берете эту фитнес-функцию (и некоторые другие квантовые операции) и повторяете ее большое количество раз — если вы повторяете ее правильное количество раз, то, когда вы измеряете результат, с высокой вероятностью это значение, которое соответствует фитнесу. функция оценивается как 1.

Теперь, если мы собираемся напасть на Фродо, есть два способа напасть на него. Можно попытаться восстановить общий секрет непосредственно из общего доступа к открытому ключу; в этом случае у нас есть доступ к функции пригодности общего открытого ключа и нашего предположения к общему секрету. Однако у нас нет эффективного способа проверить правильность этого предположения (на основе общих ключей), и поэтому мы не знаем, как построить эту фитнес-функцию (поэтому функция Гровера, по-видимому, неприменима).

С другой стороны, мы можем попытаться восстановить секретное семя, которое Frodo использовал для получения открытого ключа [1] (или, альтернативно, в процессе инкапсуляции Frodo). Для Frodo-640 (уровень 1 NIST) это секретное начальное число составляет 128 бит; поскольку можно определить сопоставление между этим 128-битным значением (и общедоступными данными, то есть общедоступным начальным числом) и открытым ключом, мы могли бы использовать это для создания функции пригодности.

Эта атака не присуща постквантовой криптографии; он работает не путем прямой атаки на 128-битный общий секрет, а вместо того, как этот набор параметров Frodo генерирует свои общие ключи, используя 128-битное случайное значение в качестве «начального секрета». Что делает Frodo, так это берет это 128-битное секретное начальное число и расширяет его с помощью SHAKE для создания гораздо более длинных векторов общего доступа и ошибок; Разработчики Frodo могли бы использовать более длинное секретное семя и расширить его до SHAKE — это значительно усложнило бы задачу Гроувера (поскольку секретное семя для восстановления намного длиннее, и попытка восстановить внутреннее состояние SHAKE или последовательность выходных данных SHAKE тоже долго). Разработчики Frodo этого не сделали, вероятно, потому что это не повысит безопасность.

С третьей стороны, мы обычно что-то делаем с общим ключом; мы можем передать это в KDF (возможно, вместе с некоторыми общедоступными данными, такими как одноразовые номера), а затем использовать этот результат в качестве ключа AES. Мы можем построить фитнес-функцию на основе этого, и поэтому функция Гровера будет применяться к этой системе — скорее всего, эту конструкцию KDF/AES будет проще реализовать в квантовом компьютере, чем процесс открытого ключа (или инкапсуляции) Фродо; следовательно, там, вероятно, будет легче атаковать систему (хотя бы с постоянным коэффициентом).

В-четвертых, разумно спросить, действительно ли Grover's представляет угрозу для 128-битного секрета — все эти оценки фитнес-функций выполняются последовательно, и было бы непрактично оценивать какую-либо функцию. $2^{64}$ раз подряд. И хотя вы могли бы попытаться обойти это, запустив Гроувера на большом количестве квантовых компьютеров, разделив секретное пространство, мы теряем часть преимущества Гроувера, если делаем это, и поэтому мы в конечном итоге используем много квантовых компьютеров.

[1]: Обратите внимание, что у Фродо два семени; один общедоступный, который определяет используемую решетку, и один, который является секретным и используется для генерации выборки и матриц ошибок; поскольку общедоступное семя находится в открытом ключе, злоумышленнику не нужно об этом догадываться; все, что ему нужно сделать, это восстановить секретное семя.

Fleeep avatar
флаг br
Почему вы не сможете атаковать (= построить фитнес-функцию) начальное начальное число (которое также имеет 128 бит), используемое для генерации пары (sk, pk) с помощью Гровера? Это предполагает, что обнаружение sk (или, скорее, начального числа, расширенного до sk), которое приводит к тому же самому pk, позволяет успешно декапсулировать.
poncho avatar
флаг my
@Fleeep: мои извинения; Я думал, что Фродо-640 взял более длинное секретное семя - перепроверил, я вижу, что это не так. Тогда да, вы могли бы использовать Гровера, чтобы восстановить его; с другой стороны, я подозреваю, что это будет постоянный фактор, более сложный, чем атака на симметричную систему, использующую начальное число, но это, безусловно, возможно (если нецелесообразно; см. выше)
poncho avatar
флаг my
@Fleeep: хорошо, я изменил свой ответ, чтобы отразить эту альтернативную атаку

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.