XiaoMi-AI文件搜索系统
World File Search System公钥
从量子安全单向函数构建量子公钥加密的简单方法
量子公钥加密由 Gottesman [ 11 ] 和 Kawachi 等人 [ 14 ] 提出,作为标准公钥加密概念的推广,允许公钥成为量子态。更具体地说,此原语允许 Alice 在本地生成状态 | pk ⟩ 的(多份)副本并将其上传到某个证书颁发机构。稍后,Bob 可以查询证书颁发机构以获取 | pk ⟩ 的副本并使用它来向 Alice 发送私人消息。与经典设置类似,量子 PKE 假设证书颁发机构向 Bob 提供了正确的信息(在本例中为状态 | pk ⟩ ),但不对证书颁发机构的行为做任何假设,证书颁发机构可以尝试以任意方式获取 Alice 的密钥。然而,与经典情况相反,由于量子态通常无法复制,如果 Alice 想要与多方建立安全通道,就必须假设她上传了 | pk ⟩ 的多份副本。尽管存在这一局限性,量子 PKE 仍然是一个有趣的研究对象:(i)由于使用了量子信息,量子 PKE 可能只需要比标准(经典)PKE 更弱的计算假设即可实现,甚至可以无条件实现。(ii)与需要更多交互的量子密钥分发 (QKD) 协议 [ 2 ] 相比,量子 PKE 保留了经典 PKE 的交互模式,从而可以实现轮次最优安全通信。然而,量子 PKE 的现状留下了许多关于构建此原语所需最小假设的问题。现有提案 [ 14 ] 依赖于临时假设,这些假设对于经典 PKE 来说似乎不够,但没有给出此原语的清晰复杂性理论表征。甚至还有关于无条件安全的量子 PKE [ 11 ] 的提案,尽管没有安全性证明。我们注意到,推测量子 PKE 的无条件安全性至少是合理的——毕竟,QKD 确实实现了信息论安全性(假设经过认证的通道)。
PQ-HPKE:后量子混合公钥加密
摘要 —公钥密码术用于以相对较高的性能成本在通信方之间非对称地建立密钥、验证或加密数据。为了减少计算开销,现代网络协议将密钥建立和验证的非对称原语与对称原语相结合。同样,混合公钥加密是一种相对较新的方案,它使用公钥密码术进行密钥派生,使用对称密钥密码术进行数据加密。在本文中,我们提出了 HPKE 的第一个抗量子实现,以解决量子计算机给非对称算法带来的问题。我们提出了仅 PQ 和 PQ 混合 HPKE 变体,并分析了它们在两种后量子密钥封装机制和各种明文大小下的性能。我们将这些变体与 RSA 和经典 HPKE 进行了比较,并表明额外的后量子开销在明文大小上摊销。我们的基于格的 KEM 的 PQ 混合变体显示 1KB 加密数据的开销为 52%,而 1MB 明文的开销降至 17%。我们报告称,基于经典、仅 PQ 和 PQ 混合 HPKE 加密 1MB 消息分别需要 1.83、1.78 和 2.15 × 10 6 个时钟周期,其中我们注意到,将量子抗性引入 HPKE 的成本相对较低。索引术语 — 后量子、混合公钥加密、后量子混合公钥加密、混合 HPKE
迈向抗泄漏后量子 CCA 安全公钥
摘要。与任何加密算法一样,后量子 CCA 安全公钥加密方案的部署可能伴随着需要防范侧信道攻击。对于现有的未考虑泄漏的后量子方案,最近的结果表明,这些保护的成本可能会使其实施成本增加几个数量级。在本文中,我们描述了一种专门为此目的量身定制的新设计,即 POLKA。它利用各种要素来实现高效的侧信道保护实现,例如:(i) 刚性属性(直观地意味着去随机化加密和解密是注入函数)以避免 Fujisaki-Okamoto 变换非常容易泄漏的重新加密步骤,(ii) 通过合并虚拟密文实现解密的随机化,消除对手对中间计算的控制并使这些计算变得短暂,(iii) 密钥同态计算可以屏蔽侧信道攻击,其开销与共享数量呈线性关系,(iv) 困难的物理学习问题可以讨论一些关键的未屏蔽操作的安全性。此外,我们使用显式拒绝机制(对无效密文返回错误符号)来避免隐式拒绝造成的额外泄漏。因此,POLKA 的所有操作都可以以比最先进的设计更便宜的方式防止泄漏,从而为量子安全和抗泄漏的方案开辟了道路。
带关键字搜索的公钥认证加密
随着云计算的快速发展,越来越多的公司采用云存储技术来降低成本。然而,为了确保敏感数据的隐私,上传的数据需要在外包到云端之前进行加密。Boneh 等人提出了带关键字搜索的公钥加密 (PEKS) 的概念,以提供加密数据的灵活使用。不幸的是,大多数 PEKS 方案都不能抵御内部关键字猜测攻击 (IKGA),因此陷门的关键字信息可能会泄露给对手。为了解决这个问题,Huang 和 Li 提出了带关键字搜索的公钥认证加密 (PAEKS),其中接收方生成的陷门仅对经过认证的密文有效。凭借他们的开创性工作,许多 PAEKS 方案被引入以增强 PAEKS 的安全性。其中一些方案进一步考虑了即将到来的量子攻击。然而,我们的密码分析表明,事实上,这些方案无法抵御 IKGA。为了抵御量子对手的攻击并支持隐私保护搜索功能,我们首先在本文中引入了一种新颖的通用 PAEKS 构造。然后,我们进一步提出了第一个基于格的抗量子 PAEKS 实例。安全性证明表明,我们的实例不仅满足基本要求,而且还实现了增强的安全模型,即多密文不可区分和陷门隐私。此外,比较结果表明,仅需一些额外开销,所提出的实例就能提供更安全的属性,使其适用于更多样化的应用环境。
通过学习实现高效的量子公钥加密......
量子信息在密码学中的应用可以追溯到 Wiesner [ 39 ] 的工作,他提出了第一个量子密码工具,即共轭编码。值得注意的是,共轭编码的思想仍然以不同的形式应用于许多现代量子密码协议中。然而,自从 Bennett 和 Brassard [ 6, 5 ] 提出量子密钥分发 (QKD) 之后,量子密码学获得了很大的吸引力。后来 Lo 和 Chau [ 23 ] 和 Mayers [ 26 ] 证明 QKD 在信息理论上是安全的。Shor 和 Preskill [ 36 ] 给出了一种基于纠错码的更容易理解的安全性证明。尽管从理论上讲 QKD 提供了完美的安全性,但它的实际实现并不 (并且可能不会) 完美。这意味着 QKD 实现与其他密码实现一样,容易受到旁信道攻击,例如,参见 [ 24 ]。即使我们假设 QKD 在实践中提供了完美的安全性,还有许多其他重要的加密任务,如比特承诺、多方计算和无意识传输,都无法通过密钥分发来解决。事实上,Mayers [ 25 ] 以及 Lo 和 Chau [ 22 ] 证明了无条件安全的量子比特承诺是不可能的。Colbeck [ 11 ] 后来也证明了利用量子通信进行信息理论上安全的双方计算是不可能的。如果假设对手的计算能力有限或存储空间有限,则可以保证此类方案的安全。因此,计算假设在量子密码学中仍然是必要的,而且非常重要。特别是,需要进一步研究量子公钥密码学中计算假设的必要性,而量子公钥密码学是量子密码学中越来越重要的领域。量子公钥密码学的原理与经典公钥密码学的原理非常相似。在量子公钥方案中,每个用户 A 都有一对密钥(sk A ,pk A ),其中私钥sk A 只有 A 知道,公钥pk A 由 A 发布,所有人都可以访问。密钥对由高效的密钥生成算法生成。与经典公钥方案一样,量子公钥方案也是基于陷门单向函数建模的。通俗地说,单向函数是一种易于计算但难以逆的函数。陷门单向函数是可以将某些信息k(称为陷门)与单向函数f 关联起来的函数,任何知道k 的人都可以轻松逆向f [7]。在量子设置中,f 是从私钥空间到公钥空间的映射| α ⟩7→| f α ⟩。私钥| α ⟩可以是经典状态或量子态,公钥| f α ⟩ 是量子态。量子公钥密码学的三个主要构造是公钥加密、数字签名和公钥货币。在本文中,我们重点讨论量子公钥加密。有关量子数字签名,请参阅 [ 13 ],有关量子货币,请参阅 [ 1 , 2 , 12 ]。在公钥加密方案中,用户 B 可以使用 A 的公钥 pk A 和公共加密算法将 m 编码为密文 c,从而向 A 发送秘密消息 m。收到密文 c 后,用户 A 使用其私钥 sk A 和公共解密算法解密 c。
