XiaoMi-AI文件搜索系统
World File Search SystemCryptanalysis
代数密码分析的正式力量系列
在攻击的复杂性估计中的摘要,该攻击将密码系统降低以求解多项式方程系统,规律性的程度和第一个秋季程度的上限。虽然可以在半定期假设下使用单变量的正式功率序列轻松计算规律性,但确定第一秋季度的上限需要研究输入系统的混凝土系统。在本文中,我们研究了充分大型领域的多项式系统的第一个秋季程度的上限。在这种情况下,我们证明非隔离系统的第一个秋季程度以上是规律性的界限,并且多层多项式系统的第一个跌落度在上面是由多变量正式功率系列确定的一定值。此外,我们提供了一个理论上的假设,用于计算多项式系统的第一个秋季程度,这是一个足够大的大型领域。
二元椭圆曲线的新型量子密码分析
摘要。本文改进了 Shor 攻击二元椭圆曲线所需的量子电路。我们提出了两种类型的量子点加法,同时考虑了量子比特数和电路深度。总之,我们提出了一种就地点加法,改进了 Banegas 等人在 CHES'21 中的工作,根据变体的不同,将量子比特数 - 深度乘积减少了 73% - 81% 以上。此外,我们通过使用额外的量子比特开发了一种非就地点加法。该方法实现了最低的电路深度,并将量子比特数 - 量子深度乘积提高了 92% 以上(单个步骤)。据我们所知,我们的工作在电路深度和量子比特数 - 深度乘积方面比所有以前的工作(包括 Banegas 等人的 CHES'21 论文、Putranto 等人的 IEEE Access'22 论文以及 Taguchi 和 Takayasu 的 CT-RSA'23 论文)都有所改进。结合实现,我们讨论了二元椭圆曲线密码的后量子安全性。在美国政府的 NIST 提出的 MAXDEPTH 度量下,我们工作中深度最大的量子电路为 2 24 ,明显低于 MAXDEPTH 极限 2 40 。对于门数 - 全深度乘积(一种估计量子攻击成本的度量,由 NIST 提出),我们工作中度为 571 的曲线的最高复杂度为 2 60(在经典安全性方面与 AES-256 相当),明显低于后量子安全 1 级阈值(2 156 量级)。
5轮Feistel方案和Benes方案的量子密码分析
有多种方法可以构建伪随机排列和伪随机函数。随机 Feistel 密码也称为 Luby–Rackoff 分组密码,是用于构建分组密码的对称结构。 Feistel 网络的优点是相同的结构可用于加密和解密,两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ]。我们研究对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , . . . , fr 是随机选择的。Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,应用 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 f 是 n 位到 n 位的秘密函数。Benes 方案是两个方案的组合,称为“蝴蝶”。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多加密原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。
二进制椭圆曲线的另一个具体量子隐式分析
摘要。本文为二进制椭圆曲线提供了具体的量子密码分析,以实现时间效率的实现透视(即减少电路深度),并补充Banegas等人的先前研究,该研究的重点是空间效率的效率(即电路宽度)。为了实现深度优化,我们提出了改进Karatsuba乘数和基于FLT的反转的现有电路实现,然后在Qiskit Quantum Computer Simulator中构建和分析资源。提出的乘数架构,改善了Van Hoof等人的量子Karatsuba乘数,减少了与O(n log 2(3))界限的深度和较低的CNOT门,同时保持了相似数量的to效应和鸡蛋。此外,我们所证明的基于FLT的反演会减少CNOT数量和整体深度,并具有较高的量子量。最后,我们采用了拟议的乘数和基于FLT的IN-版本来执行二进制点添加的量子隐性分析以及用于椭圆曲线离散对数问题(ECDLP)的完整shor的算法。结果,除了减小深度外,与先前的工作相比,我们还能够降低多达90%的to oli门,从而显着改善,并提供对量子密码分析的新见解,以实现高度优化的实施。
基于代码的密码分析的量子筛选及其对 ISD 的局限性
摘要。使用近邻搜索技术进行筛选是基于格的密码分析中一种众所周知的方法,在经典 [BDGL16] 和量子 [BCSS23] 设置中,它都能为最短向量问题提供当前最佳的运行时间。最近,筛选也已成为基于代码的密码分析中的重要工具。具体来说,使用筛选子程序,[GJN23、DEEK24] 提出了信息集解码 (ISD) 框架的变体,该框架通常用于攻击解码问题的密码相关实例。由此产生的基于筛选的 ISD 框架产生的复杂度接近于解码问题中性能最佳的经典算法,例如 [BJMM12、BM18]。因此,很自然地会问量子版本的表现如何。在这项工作中,我们通过设计上述筛选子程序的量子变体引入了第一个用于代码筛选的量子算法。具体来说,使用量子行走技术,我们提供了比 [DEEK24] 中最著名的经典算法和使用 Grover 算法的变体更快的速度。我们的量子行走算法通过添加一层局部敏感过滤来利用底层搜索问题的结构,这一灵感来自 [CL21] 中用于格子筛选的量子行走算法。我们用数值结果补充了对量子算法的渐近分析,并观察到我们对代码筛选的量子加速与在格子筛选中观察到的类似。此外,我们表明,基于筛选的 ISD 框架的自然量子类似物并没有比第一个提出的量子 ISD 算法 [Ber10] 提供任何加速。我们的分析强调,应该对该框架进行调整,以超越最先进的量子 ISD 算法 [KT17,Kir18]。
基于各向同性二次形式的有效签名的隐脑分析
基于晶格的签名方案[8]和Falcon [15]已被NIST [22]选择为量子后加密后的第一个标准。但是,这种量子后的安全性是有代价的:Pub-lit键的大小和Dilithium and Falcon的签名的大小明显大于ECDSA和RSA。拥有更有效的量词后签名方案和/或基于不同的假设是有用的:这激发了NIST在2022年打开呼吁其他数字签名建议[21]。在该电话中,Feussner和Semaev提交了基于晶格的签名方案EHTV3V4 [12],该方案目前在修复后仍未破裂。Very recently [13], the same authors proposed a very different and much more efficient scheme, called DEFI, on the NIST pqc mailing list: with a 800-byte public key and a 432-byte signature, DEFI is more efficient than both Dilithium and Falcon, and beats all additional NIST submissions except for SQISign in (public key + sig- nature) size [23].即使实施了不优化的实施,DEFI的签名和验证时间似乎也与所有提议的签名相比有利[5]。defi是从多元加密和基于晶格的加密术借用的特殊方案:其安全性是基于求解整数上二次方程的硬度的硬度,以及Z [x] /(x 64 + 1)等多项式环R等多项式环R。以其一般形式,已知这个问题是NP-HARD,因此Defi的作者在最坏的情况下认为它很难,但是Defi使用了问题的特殊实例,这可能更容易解决。因为r是多项式更确切地说,DEFI私钥是通过defi公共密钥确定的二次方程式小型系统的解决方案。
5轮Feistel方案和Benes方案的量子密码分析
存在多种构造伪随机排列和伪随机函数的方法。随机 Feistel 密码也称为 Luby-Rackoff 分组密码,是用于构造分组密码的对称结构。Feistel 网络的好处是相同的结构可用于加密和解密,并且两者都包括以固定次数迭代运行一个称为“轮函数”的函数。从随机函数或随机排列构建伪随机排列研究最多的方法是 r 轮 Feistel 构造。Feistel 构造从实用角度来看很重要,因为它被用于开发许多分组密码,如 DES [ 2 ]、3DES [ 2 ] 和 Simon [ 7 ]。我们研究了对 Feistel 方案的一般攻击,其中我们假设内部轮函数 f 1 , ... , fr 是随机选择的。 Feistel 方案的明文消息用 [ L, R ] 表示,代表左和右,经过 r 轮后的密文消息用 [ S, T ] 表示。Feistel 方案的第一轮以 [ L, R ] 作为输入,输出 [ R, L ⊕ f ( R )],其中 fa 是 n 位到 n 位的秘密函数。Benes 方案是两个称为“蝴蝶”方案的组合。它允许从 n 位到 n 位的随机函数构造一个 2 n 位到 2 n 位的伪随机函数。对于许多密码原语(例如散列和伪随机函数),将输出长度加倍是有用的,即使加倍变换不可逆。Benes 方案的明文消息用 [ L, R ] 表示,代表左和右,密文消息用 [ S, T ] 表示。
基于晶格的顺序假设和顺序工作的证明
这项工作完全打破了基于候选晶格的顺序工作证明(POSW)(POSW)的依次假设(以及其广泛的概括),该证明是由Lai和Malavolta在Crypto 2023上提出的。此外,它破坏了POSW的本质相同的变体,该变体与原始变体不同,仅在一个任意选择中与设计和安全性证明(在伪造的假设下)无关。这表明原始POSW可能具有的任何安全性都是脆弱的,并进一步激励基于基于晶格的假设来寻找建筑。具体而言,对于顺序性参数t和sis参数n,q,m = n log q,对顺序性假设的攻击找到了仅在仅在QuasipolyNomial Norm M log tt⌉(或norm o(√m)⌈logt⌉t⌉t⌉t⌉t⌉t⌉t⌉(差异)中,仅在GOOLANITHMIC -ogarithMic -ogarithmic〜o o n,q o n,q n,q(log)tt⌉中。这强烈伪造了这样的假设,即找到这种溶液需要在t中进行深度线性。(〜o n符号隐藏了在其下标出的变量中的多聚群因子。)另外,对于任何常数ε> 0,攻击在深度〜o o n,q(tε)中找到多项式标准m 1 /ε的解决方案。同样,对(稍微修改)POSW的攻击构建了一个有效的证据,以pologogarithmic〜o o n,q(log 2 t)深度构建,因此强烈伪造了这样做需要线性顺序工作的期望。
量子旋转密码分析用于圆度减小的 Keccak 原像恢复
本文考虑了4轮Keccak -224/256/384/512在量子环境下的抗原像性。为了有效地找到原像的旋转对应项对应的旋转数,我们首先建立一个基于Grover搜索的概率算法,利用某些坐标上比特对的固定关系来猜测可能的旋转数。这致力于实现每次搜索旋转对应项的迭代只包含一次用于验证的4轮Keccak变体运行,这可以降低量子环境下的攻击复杂度。在可接受的随机性下寻找旋转数的基础上,我们构建了两种攻击模型,专注于原像的恢复。在第一个模型中,Grover算法用于寻找原像的旋转对应项。通过64次尝试,可以获得所需的原像。在第二个模型中,我们将寻找旋转对应体抽象为在超立方体上寻找顶点,然后使用SKW量子算法来处理寻找作为旋转对应体的顶点的问题。对轮数减少的Keccak进行量子原像攻击的结果表明,第一个攻击模型对于4轮Keccak -224/256/384/512优于一般的量子原像攻击,而第二个模型对于4轮Keccak -512/384的攻击效果略低但更实用,即该模型比我们的第一个攻击模型和一般的量子原像攻击更容易在量子电路中实现。
变分量子克隆在实用量子密码分析方面的进展
量子密码系统的密码分析通常涉及寻找针对底层协议的最佳对抗攻击策略。量子攻击建模的核心原则通常归结为对手克隆未知量子态并由此提取有意义的秘密信息的能力。由于电路深度较大或在许多情况下未知,显式最佳攻击策略通常需要大量计算资源。在这里,我们介绍了变分量子克隆 (VarQlone),这是一种基于量子机器学习的密码分析算法,它允许对手使用混合经典量子技术训练的短深度量子电路获得最佳近似克隆策略。该算法包含具有理论保证的具有操作意义的成本函数、量子电路结构学习和基于梯度下降的优化。我们的方法能够端到端发现硬件高效的量子电路来克隆特定的量子态系列,我们在 Rigetti Aspen 量子硬件上的实现中展示了这一点。我们将这些结果与量子密码原语联系起来,并推导出由 VarQlone 促进的显式攻击。我们期望量子机器学习将成为改进当前和未来量子加密协议攻击的资源。