XiaoMi-AI文件搜索系统
World File Search System分组密码
向后量子密码学过渡的挑战
对称加密中具有不同密钥的行1。 Blowfish:一种对 64 位块进行操作的对称分组密码。 Twofish:另一种对称分组密码,设计为 Blowfish 的后继者。 ChaCha20:一种以速度和安全性著称的流密码。 RC4:一种广泛使用的流密码,尽管它存在一些漏洞。 Serpent:一种具有 128 位块大小的对称分组密码。 Camellia:由日本和 NTT 联合开发的对称分组密码。 IDEA(国际数据加密算法):一些
NIST IR 8459 初始公开草案,NIST SP 800-38 系列中的分组密码操作模式报告
分组密码需要密钥才能运行。例如,在 AES 的情况下,密钥的长度为 128、192 或 256 位。因此,操作模式也需要密钥。该模式将指定如何生成分组密码的密钥,或者只是以未修改的方式将密钥传递给分组密码。操作模式可以使用正向分组密码操作或逆向分组密码操作。如果操作模式是可逆的,则可以将正向模式操作称为加密,将逆向模式操作称为解密。有些应用中,操作模式仅用于正向,例如当操作模式用于计算(身份验证)标签以验证消息的完整性(或真实性)时。
Grover 演讲:量子资源评估
对于恢复分组密码的密钥,Grover 搜索比传统的暴力破解技术提供了平方根速度。一般经验法则认为,通过将密钥长度加倍可以避免 Grover 搜索算法对私钥方案造成的安全威胁。然而,由于没有考虑 Grover 预言机的成本估算,这些概念仅提供了关于分组密码后量子安全性的一般概念。因此,在分组密码上安装 Grover 搜索的资源估算给出了关于此类分组密码在后量子世界中的安全性的具体概念。此外,由于未来量子计算机的计算能力不可预测,NIST 建议用基本操作、电路大小等来衡量安全性,而不是像在经典模型中评估安全性时那样用“安全位” [53]。到目前为止,Grover 搜索是唯一对现有分组密码 [13] 构成威胁的量子算法,估计发起攻击所需的资源可以了解攻击的效率。最近,从计算资源方面对量子对手的安全性评估受到了广泛关注,并在这方面进行了研究,以估计在对称密钥方案上发起 Grover 密钥搜索 [24, 36, 4, 7, 28, 29, 28, 29]、在哈希函数上发起 Grover 搜索 [5]、在二进制椭圆曲线上计算离散对数 [9] 等所需的资源。
关于 Grover 用于 AES 密钥恢复的实际成本
这项工作。我们的论文取自 ETSI 量子安全密码学小组目前正在开发的一份更大的文件,该文件讨论了量子计算机对对称密码学的影响。旨在利用现有文献中关于高效量子电路和经过充分研究的量子纠错码的结果来估计 Grover 在合理的时间内破解标准化分组密码和哈希函数所需的物理资源。它还补充了之前的 ETSI QSC 报告 [1],该报告对算法实现、量子纠错和量子硬件性能做出了非常保守的假设,得出结论,256 位分组密码和哈希函数将保持对 Grover 的安全性。
轻量级分组密码的量子搜索:GIFT、SKINNY......
N )在给定足够数量的明文-密文对的情况下搜索大小为 N 的密钥空间。Jaques 等人 (EUROCRYPT 2020) 的最新成果展示了在 NIST 的 PQC 标准化过程中定义的不同安全类别下针对 AES 的量子密钥搜索攻击的成本估算。在这项工作中,我们将他们的方法扩展到轻量级分组密码,以估算在电路深度限制下量子密钥搜索攻击的成本。我们给出了轻量级分组密码 GIFT、SKINNY 和 SATURNIN 的量子电路。在 NIST 的最大深度约束下,我们给出了门数和深度乘以宽度成本指标的总体成本。我们还为所有版本的 GIFT、SKINNY 和 SATURNIN 提供了完整的 Grover 预言机的 Q# 实现,用于单元测试和自动资源估算。
亚太地区主要国家量子技术政策与研发趋势
量子纠缠、拓扑绝缘体、几何拓扑、超导量子比特、稀磁半导体、随机预言模型、细胞自动机、玻色-爱因斯坦凝聚态、钻石、成像、单分子磁性、电磁感应透明性、分组密码、激子、分子间通信、粒子群优化、二硫化钼、约瑟夫森结、石墨烯、加法数学
SM4 分组密码的量子实现(量子比特数较少)
摘要 SM4密码算法是我国国家密码局发布的分组密码算法,已成为国际标准。通过优化量子比特数和深度乘以宽度的值实现了SM4分组密码的量子电路。在实现S盒时,基于复合域算法,针对SM4的不同阶段,提出了四种S盒的改进量子电路。在优化量子比特数时,采用量子子电路串联的方式实现SM4量子电路。实现的SM4量子电路只使用了260个量子比特,这不仅是实现SM4量子电路所用的最少量子比特数,也是实现8比特S盒、128比特明文和128比特密钥的分组密码算法所用的最少量子比特数。在优化深度乘以宽度的值时,我们通过并行实现来实现,权衡量子电路共采用288个量子比特,Toffili深度为1716,深度乘以宽度为494208,小于现有最佳值825792。
量子线性化攻击
摘要。最近的研究表明,量子周期查找可用于破解叠加查询模型中的许多流行构造(一些分组密码,如 Even-Mansour、多个 MAC 和 AE……)。到目前为止,所有被破解的构造都表现出强大的代数结构,这使得能够构造单个输入块的周期函数。恢复秘密周期可以恢复密钥,区分并破坏这些模式的机密性或真实性。在本文中,我们介绍了量子线性化攻击,这是一种使用 Simon 算法针对叠加查询模型中的 MAC 的新方法。具体来说,我们使用多个块的输入作为隐藏线性结构的函数的接口。恢复此结构可以执行伪造。我们还介绍了这种攻击的一些变体,这些变体使用其他量子算法,这些算法在量子对称密码分析中不太常见:Deutsch、Bernstein-Vazirani 和 Shor 的算法。据我们所知,这是这些算法首次用于量子伪造或密钥恢复攻击。我们的攻击破解了许多可并行化的 MAC,例如 LightMac、PMAC 以及具有(经典)超龄安全性(LightMAC+、PMAC+)或使用可调整分组密码(ZMAC)的众多变体。更一般地说,这表明构建可并行化的量子安全 PRF 可能是一项具有挑战性的任务。
5轮Feistel方案和Benes方案的量子密码分析
有多种方法可以构建伪随机排列和伪随机函数。随机 Feistel 密码也称为 Luby–Rackoff 分组密码,是用于构建分组密码的对称结构。 Feistel 网络的优点是相同的结构可用于加密和解密,两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ]。我们研究对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , . . . , fr 是随机选择的。Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,应用 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 f 是 n 位到 n 位的秘密函数。Benes 方案是两个方案的组合,称为“蝴蝶”。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多加密原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。
5轮Feistel方案和Benes方案的量子密码分析
存在多种构造伪随机排列和伪随机函数的方法。随机 Feistel 密码也称为 Luby-Rackoff 分组密码,是用于构造分组密码的对称结构。Feistel 网络的好处是相同的结构可用于加密和解密,并且两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它被用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ] 和 Simon [ 7 ]。我们研究了对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , ... , fr 是随机选择的。 Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,经过 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的第一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 fa 是 n 位到 n 位的秘密函数。Benes 方案是两个称为“蝴蝶”方案的组合。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多密码原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。Benes 方案的明文消息用 [ L, R ] 表示,代表左和右,密文消息用 [ S, T ] 表示。