机构名称:
¥ 7.0
在经典密码学中,比特承诺是一种重要的密码原语。比特承诺方案定义了发送者和接收者之间的两阶段交互协议,提供两种安全保障:隐藏和绑定。通俗地说,隐藏属性表示在提交阶段以及之后,提交的位对接收者是隐藏的,直到打开它为止;而绑定属性表示发送者在稍后的显示阶段只能将承诺打开为最多一个位值(仅限 0 或 1)。不幸的是,无条件(或信息理论上)安全的比特承诺是不可能的。作为一种折衷方案,我们转而考虑基于复杂度的比特承诺,又称计算比特承诺。单向函数假设是一个基本的计算难度假设,没有任何数学结构;它是基于复杂度的密码学中的最小假设 [IL89]。我们可以从一个单向函数构造两种类型的比特承诺:计算隐藏(统计约束)比特承诺[Nao91]和(统计隐藏)计算约束比特承诺[NOVY98,HNO+09]。然而,这些构造的一个主要缺点是它们是交互式的:在提交阶段需要交换至少两个甚至多项式数量的消息,这似乎是固有的[MP12,HHRS07]。随着量子技术的发展,现有的密码系统在不久的将来可能面临量子攻击。关于比特承诺,因此我们必须研究抵御量子攻击的比特承诺,又称量子比特承诺。一般的量子比特承诺方案本身可以是经典和量子计算和通信的混合。当构造纯经典时,我们通常称之为“抵御量子攻击的(经典)比特承诺方案”或“后量子比特承诺方案”1。量子比特承诺的概念早在三十年前就被提出,旨在利用量子力学实现比特承诺[BB84、BC90]。遗憾的是,无条件安全的量子比特承诺也是不可能的[May97、LC98]。基于量子安全单向置换或函数等复杂性假设,我们还可以构造两种量子比特承诺[AC02、YWLQ15、DMS00、KO09、KO11、CLS01]。关于这些构造的一个有趣观察是,几乎所有构造([CLS01] 中的构造除外)都是非交互式的(在提交和显示阶段都是如此)。这比经典的比特承诺有很大优势。这促使我们提出以下问题:
量子比特承诺的一般性质
主要关键词
相关文件推荐
