XiaoMi-AI文件搜索系统
World File Search System密码分析
二元椭圆曲线的新型量子密码分析
摘要。本文改进了 Shor 攻击二元椭圆曲线所需的量子电路。我们提出了两种类型的量子点加法,同时考虑了量子比特数和电路深度。总之,我们提出了一种就地点加法,改进了 Banegas 等人在 CHES'21 中的工作,根据变体的不同,将量子比特数 - 深度乘积减少了 73% - 81% 以上。此外,我们通过使用额外的量子比特开发了一种非就地点加法。该方法实现了最低的电路深度,并将量子比特数 - 量子深度乘积提高了 92% 以上(单个步骤)。据我们所知,我们的工作在电路深度和量子比特数 - 深度乘积方面比所有以前的工作(包括 Banegas 等人的 CHES'21 论文、Putranto 等人的 IEEE Access'22 论文以及 Taguchi 和 Takayasu 的 CT-RSA'23 论文)都有所改进。结合实现,我们讨论了二元椭圆曲线密码的后量子安全性。在美国政府的 NIST 提出的 MAXDEPTH 度量下,我们工作中深度最大的量子电路为 2 24 ,明显低于 MAXDEPTH 极限 2 40 。对于门数 - 全深度乘积(一种估计量子攻击成本的度量,由 NIST 提出),我们工作中度为 571 的曲线的最高复杂度为 2 60(在经典安全性方面与 AES-256 相当),明显低于后量子安全 1 级阈值(2 156 量级)。
5轮Feistel方案和Benes方案的量子密码分析
存在多种构造伪随机排列和伪随机函数的方法。随机 Feistel 密码也称为 Luby-Rackoff 分组密码,是用于构造分组密码的对称结构。Feistel 网络的好处是相同的结构可用于加密和解密,并且两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它被用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ] 和 Simon [ 7 ]。我们研究了对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , ... , fr 是随机选择的。 Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,经过 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的第一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 fa 是 n 位到 n 位的秘密函数。Benes 方案是两个称为“蝴蝶”方案的组合。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多密码原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。Benes 方案的明文消息用 [ L, R ] 表示,代表左和右,密文消息用 [ S, T ] 表示。
基于代码的密码分析的量子筛选及其对 ISD 的局限性
摘要。使用近邻搜索技术进行筛选是基于格的密码分析中一种众所周知的方法,在经典 [BDGL16] 和量子 [BCSS23] 设置中,它都能为最短向量问题提供当前最佳的运行时间。最近,筛选也已成为基于代码的密码分析中的重要工具。具体来说,使用筛选子程序,[GJN23、DEEK24] 提出了信息集解码 (ISD) 框架的变体,该框架通常用于攻击解码问题的密码相关实例。由此产生的基于筛选的 ISD 框架产生的复杂度接近于解码问题中性能最佳的经典算法,例如 [BJMM12、BM18]。因此,很自然地会问量子版本的表现如何。在这项工作中,我们通过设计上述筛选子程序的量子变体引入了第一个用于代码筛选的量子算法。具体来说,使用量子行走技术,我们提供了比 [DEEK24] 中最著名的经典算法和使用 Grover 算法的变体更快的速度。我们的量子行走算法通过添加一层局部敏感过滤来利用底层搜索问题的结构,这一灵感来自 [CL21] 中用于格子筛选的量子行走算法。我们用数值结果补充了对量子算法的渐近分析,并观察到我们对代码筛选的量子加速与在格子筛选中观察到的类似。此外,我们表明,基于筛选的 ISD 框架的自然量子类似物并没有比第一个提出的量子 ISD 算法 [Ber10] 提供任何加速。我们的分析强调,应该对该框架进行调整,以超越最先进的量子 ISD 算法 [KT17,Kir18]。
代数密码分析的正式力量系列
在攻击的复杂性估计中的摘要,该攻击将密码系统降低以求解多项式方程系统,规律性的程度和第一个秋季程度的上限。虽然可以在半定期假设下使用单变量的正式功率序列轻松计算规律性,但确定第一秋季度的上限需要研究输入系统的混凝土系统。在本文中,我们研究了充分大型领域的多项式系统的第一个秋季程度的上限。在这种情况下,我们证明非隔离系统的第一个秋季程度以上是规律性的界限,并且多层多项式系统的第一个跌落度在上面是由多变量正式功率系列确定的一定值。此外,我们提供了一个理论上的假设,用于计算多项式系统的第一个秋季程度,这是一个足够大的大型领域。
为什么量子密码分析是胡说八道
• 该枪实际上拥有一整个 Fi.156 侦察机中队来指挥射击和观察结果——轻型飞机,但可以携带炸弹——只是从源头到目的地已经到位,不需要巨型枪——无论如何,常规火炮发射的 Röchling 炮弹都会产生同样的效果我们今天肯定不会还在做同样的事情?
基于ML的密码分析本质上有限吗?通过基于梯度的方法
鉴于机器学习的最新进展(ML),密码学界已经开始探索ML方法对新的密码分析方法设计的适用性。虽然当前的经验结果表现出了希望,但这种方法在多大程度上胜过classical classical cryptantrytic方法的程度仍然不清楚。在这项工作中,我们启动探索基于ML的密码分析技术的理论,尤其是为了了解与传统方法相比,它们是否从根本上限制了新的结果。虽然大多数经典的密码分析至关重要地依赖于处理单个样本(例如,明文 - 含量对),但迄今为止,现代的ML方法仅通过基于梯度的计算与样品相互作用,这些计算平均损失函数在所有样品上。因此,可以想象的是,这种基于梯度的方法本质上比经典方法弱。我们引入了一个统一的框架,用于捕获具有直接访问单个样本和“基于梯度的”的“基于样本”的对手,这些框架仅限于发出基于梯度的查询,这些查询通过损失函数在所有给定的样本上平均。在我们的框架内,我们建立了一个一般的可行性结果,表明任何基于样本的对手都可以通过看似基于潜在的基于梯度的对手进行模拟。此外,就基于梯度的模拟器的运行时间而言,模拟表现出几乎最佳的开销。最后,我们扩展并完善了模拟技术,以构建一个完全可行的基于梯度的模拟器(对于避免可行的可行的隐秘任务的不良开销至关重要),然后将其用于构建基于梯度的模拟器,该模拟器可以执行特定和非常有用的梯度方法。共同审议,尽管ML方法在多大程度上胜过经典的隐式分析方法仍然不清楚,但我们的结果表明,这种基于梯度的方法并非本质上受到其看似限制对所提供样品的访问的限制。
量子计算机上的差分密码分析
摘要:随着量子计算的进步,人们进行了广泛的研究以寻找密码学领域的量子优势。将量子算法与经典密码分析方法(如差分密码分析和线性密码分析)相结合,有可能降低复杂性。在本文中,我们提出了一种用于差分密码分析的量子差分查找电路。在我们的量子电路中,明文和输入差分都处于叠加态。实际上,虽然我们的方法无法通过量子计算实现直接加速,但它通过依赖叠加态中的量子概率提供了不同的视角。对于量子模拟,考虑到量子比特的数量有限,我们通过实现 Toy-ASCON 量子电路来模拟我们的量子电路。
5轮Feistel方案和Benes方案的量子密码分析
有多种方法可以构建伪随机排列和伪随机函数。随机 Feistel 密码也称为 Luby–Rackoff 分组密码,是用于构建分组密码的对称结构。 Feistel 网络的优点是相同的结构可用于加密和解密,两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ]。我们研究对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , . . . , fr 是随机选择的。Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,应用 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 f 是 n 位到 n 位的秘密函数。Benes 方案是两个方案的组合,称为“蝴蝶”。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多加密原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。
量子旋转密码分析用于圆度减小的 Keccak 原像恢复
本文考虑了4轮Keccak -224/256/384/512在量子环境下的抗原像性。为了有效地找到原像的旋转对应项对应的旋转数,我们首先建立一个基于Grover搜索的概率算法,利用某些坐标上比特对的固定关系来猜测可能的旋转数。这致力于实现每次搜索旋转对应项的迭代只包含一次用于验证的4轮Keccak变体运行,这可以降低量子环境下的攻击复杂度。在可接受的随机性下寻找旋转数的基础上,我们构建了两种攻击模型,专注于原像的恢复。在第一个模型中,Grover算法用于寻找原像的旋转对应项。通过64次尝试,可以获得所需的原像。在第二个模型中,我们将寻找旋转对应体抽象为在超立方体上寻找顶点,然后使用SKW量子算法来处理寻找作为旋转对应体的顶点的问题。对轮数减少的Keccak进行量子原像攻击的结果表明,第一个攻击模型对于4轮Keccak -224/256/384/512优于一般的量子原像攻击,而第二个模型对于4轮Keccak -512/384的攻击效果略低但更实用,即该模型比我们的第一个攻击模型和一般的量子原像攻击更容易在量子电路中实现。