XiaoMi-AI文件搜索系统
World File Search Systemkyber
官方评论(第 3 轮) - CRYSTALS-KYBER
D. J. Bernstein 写道:> NIST 于 2020 年 6 月 9 日 15:39:09 +0000 发送的电子邮件指出“我们认为 CoreSVP 指标确实表明了哪些晶格方案在设置参数时更积极和更不积极”。> > 几乎所有晶格提交都报告了其 Core-SVP 级别(量子前和量子后——让我们在这里关注量子前),与此声明以及 NIST 之前似乎鼓励使用 Core-SVP 的声明一致。> > 问题:“CoreSVP 指标”为第 3 轮 Kyber-512 分配了什么数字?> > 第 3 轮 Kyber 提交的表 4 似乎可以回答这个问题,其中列出了第 3 轮 Kyber-512 的“Core-SVP”为 2^118。我在这里有一个澄清问题: > > * 第 3 轮 Kyber 提交声称第 3 轮 Kyber-512 在“CoreSVP 指标”中为 2^118,NIST 表示它使用该指标来比较晶格方案的“激进程度”,与其他提交中使用的指标相同吗?> > 我目前的理解是答案是“否”,这意味着第 3 轮 Kyber 提交的这一部分需要忽略 NIST 宣布的比较机制,而是需要对第 3 轮 Kyber-512 Core-SVP 级别进行新的声明。> > 这是我得出这个理解的方式。如果我误解了什么,请纠正我。> > 第 2 轮 Kyber 提交的文件中列出了一个更小的数字 2^111,作为第 2 轮 Kyber-512 的“Core-SVP”。这并不直接与第 3 轮 Kyber-512 达到 2^118 的想法相矛盾:第 3 轮提交文件确定了从第 2 轮 Kyber-512 到第 3 轮 Kyber-512 的变化;也许这些变化提高了 Core-SVP 级别。> > 然而,更详细的解读似乎表明,密码系统中的这些变化不足以达到 Core-SVP 2^118,并且第三轮 Kyber 提交声称 2^118 的唯一方法是通过_改变度量_,尽管继续使用“Core-SVP”字样。
官方评论(第 3 轮)- CRYSTALS-KYBER
DJ伯恩斯坦写道:> NIST 于 2020 年 6 月 9 日 15:39:09 +0000 发送的电子邮件指出“我们认为 CoreSVP 指标确实表明哪些晶格方案在设置参数时更积极,哪些更不积极”。 > > 几乎所有晶格提交都报告了其 Core-SVP 级别(量子前和量子后——我们在这里重点关注量子前),这与此声明以及 NIST 之前似乎鼓励使用 Core-SVP 的声明一致。 > > 问题:“CoreSVP 指标”为第 3 轮 Kyber-512 分配了多少数字? > > 第 3 轮 Kyber 提交的表 4 似乎可以回答这个问题,其中列出了第 3 轮 Kyber-512 的“Core-SVP”为 2^118。我在这里有一个澄清问题: > > * 第 3 轮 Kyber 提交声称第 3 轮 Kyber-512 在“CoreSVP 指标”中为 2^118,NIST 表示它使用该指标来比较晶格方案的“激进程度”,这与其他提交中使用的指标相同吗? > > 我目前的理解是答案是否定的,这意味着第 3 轮 Kyber 提交的这一部分需要忽略 NIST 宣布的比较机制,而是需要对第 3 轮 Kyber-512 Core-SVP 级别进行新的陈述。 > > 这是我得出这个理解的方式。如果我误解了什么,请纠正我。 > > 第 2 轮 Kyber 提交列出了一个更小的数字,2^111,作为第 2 轮 Kyber-512 的“Core-SVP”。这并不直接与第 3 轮 Kyber-512 达到 2^118 的想法相矛盾:第 3 轮提交确定了从第 2 轮 Kyber-512 到第 3 轮 Kyber-512 的变化;也许这些变化会增加 Core-SVP 级别。 > > 然而,更详细的解读似乎表明,加密系统中的这些变化不足以达到 Core-SVP 2^118,并且第 3 轮 Kyber 提交声称 2^118 的唯一方法是通过_改变指标_,尽管继续使用“Core-SVP”字样。
官方评论(第 3 轮)- CRYSTALS-KYBER
DJ伯恩斯坦写道:> NIST 于 2020 年 6 月 9 日 15:39:09 +0000 发送的电子邮件指出“我们认为 CoreSVP 指标确实表明哪些晶格方案在设置参数时更积极,哪些更不积极”。 > > 几乎所有晶格提交都报告了其 Core-SVP 级别(量子前和量子后——我们在这里重点关注量子前),这与此声明以及 NIST 之前似乎鼓励使用 Core-SVP 的声明一致。 > > 问题:“CoreSVP 指标”为第 3 轮 Kyber-512 分配了多少数字? > > 第 3 轮 Kyber 提交的表 4 似乎可以回答这个问题,其中列出了第 3 轮 Kyber-512 的“Core-SVP”为 2^118。我在这里有一个澄清问题: > > * 第 3 轮 Kyber 提交声称第 3 轮 Kyber-512 在“CoreSVP 指标”中为 2^118,NIST 表示它使用该指标来比较晶格方案的“激进程度”,这与其他提交中使用的指标相同吗? > > 我目前的理解是答案是否定的,这意味着第 3 轮 Kyber 提交的这一部分需要忽略 NIST 宣布的比较机制,而是需要对第 3 轮 Kyber-512 Core-SVP 级别进行新的陈述。 > > 这是我得出这个理解的方式。如果我误解了什么,请纠正我。 > > 第 2 轮 Kyber 提交列出了一个更小的数字,2^111,作为第 2 轮 Kyber-512 的“Core-SVP”。这并不直接与第 3 轮 Kyber-512 达到 2^118 的想法相矛盾:第 3 轮提交确定了从第 2 轮 Kyber-512 到第 3 轮 Kyber-512 的变化;也许这些变化会增加 Core-SVP 级别。 > > 然而,更详细的解读似乎表明,加密系统中的这些变化不足以达到 Core-SVP 2^118,并且第 3 轮 Kyber 提交声称 2^118 的唯一方法是通过_改变指标_,尽管继续使用“Core-SVP”字样。
官方评论(第 3 轮)- CRYSTALS-KYBER
DJ伯恩斯坦写道:> NIST 于 2020 年 6 月 9 日 15:39:09 +0000 发送的电子邮件指出“我们认为 CoreSVP 指标确实表明哪些晶格方案在设置参数时更积极,哪些更不积极”。 > > 几乎所有晶格提交都报告了其 Core-SVP 级别(量子前和量子后——我们在这里重点关注量子前),这与此声明以及 NIST 之前似乎鼓励使用 Core-SVP 的声明一致。 > > 问题:“CoreSVP 指标”为第 3 轮 Kyber-512 分配了多少数字? > > 第 3 轮 Kyber 提交的表 4 似乎可以回答这个问题,其中列出了第 3 轮 Kyber-512 的“Core-SVP”为 2^118。我在这里有一个澄清问题: > > * 第 3 轮 Kyber 提交声称第 3 轮 Kyber-512 在“CoreSVP 指标”中为 2^118,NIST 表示它使用该指标来比较晶格方案的“激进程度”,这与其他提交中使用的指标相同吗? > > 我目前的理解是答案是否定的,这意味着第 3 轮 Kyber 提交的这一部分需要忽略 NIST 宣布的比较机制,而是需要对第 3 轮 Kyber-512 Core-SVP 级别进行新的陈述。 > > 这是我得出这个理解的方式。如果我误解了什么,请纠正我。 > > 第 2 轮 Kyber 提交列出了一个更小的数字,2^111,作为第 2 轮 Kyber-512 的“Core-SVP”。这并不直接与第 3 轮 Kyber-512 达到 2^118 的想法相矛盾:第 3 轮提交确定了从第 2 轮 Kyber-512 到第 3 轮 Kyber-512 的变化;也许这些变化会增加 Core-SVP 级别。 > > 然而,更详细的解读似乎表明,加密系统中的这些变化不足以达到 Core-SVP 2^118,并且第 3 轮 Kyber 提交声称 2^118 的唯一方法是通过_改变指标_,尽管继续使用“Core-SVP”字样。
官方评论(第 3 轮)- CRYSTALS-KYBER
DJ伯恩斯坦写道:> NIST 于 2020 年 6 月 9 日 15:39:09 +0000 发送的电子邮件指出“我们认为 CoreSVP 指标确实表明哪些晶格方案在设置参数时更积极,哪些更不积极”。 > > 几乎所有晶格提交都报告了其 Core-SVP 级别(量子前和量子后——我们在这里重点关注量子前),这与此声明以及 NIST 之前似乎鼓励使用 Core-SVP 的声明一致。 > > 问题:“CoreSVP 指标”为第 3 轮 Kyber-512 分配了多少数字? > > 第 3 轮 Kyber 提交的表 4 似乎可以回答这个问题,其中列出了第 3 轮 Kyber-512 的“Core-SVP”为 2^118。我在这里有一个澄清问题: > > * 第 3 轮 Kyber 提交声称第 3 轮 Kyber-512 在“CoreSVP 指标”中为 2^118,NIST 表示它使用该指标来比较晶格方案的“激进程度”,这与其他提交中使用的指标相同吗? > > 我目前的理解是答案是否定的,这意味着第 3 轮 Kyber 提交的这一部分需要忽略 NIST 宣布的比较机制,而是需要对第 3 轮 Kyber-512 Core-SVP 级别进行新的陈述。 > > 这是我得出这个理解的方式。如果我误解了什么,请纠正我。 > > 第 2 轮 Kyber 提交列出了一个更小的数字,2^111,作为第 2 轮 Kyber-512 的“Core-SVP”。这并不直接与第 3 轮 Kyber-512 达到 2^118 的想法相矛盾:第 3 轮提交确定了从第 2 轮 Kyber-512 到第 3 轮 Kyber-512 的变化;也许这些变化会增加 Core-SVP 级别。 > > 然而,更详细的解读似乎表明,加密系统中的这些变化不足以达到 Core-SVP 2^118,并且第 3 轮 Kyber 提交声称 2^118 的唯一方法是通过_改变指标_,尽管继续使用“Core-SVP”字样。
CRYSTALS-Kyber 攻击概述和讨论
摘要。本文回顾了经典密码学中常见的攻击以及后量子时代针对 CRYSTALS-Kyber 的可能攻击。Kyber 是一种最近标准化的后量子密码学方案,依赖于格问题的难度。尽管它已经通过了美国国家标准与技术研究所 (NIST) 的严格测试,但最近有研究成功对 Kyber 进行了攻击,同时展示了它们在受控设置之外的适用性。本文讨论的攻击包括常见攻击、旁道攻击、SCA 辅助 CCA 和故障注入。在常见攻击部分,对对称原语的攻击、多目标攻击和利用解密失败的攻击都可以被视为不可行,而最近对模块 LWE 攻击的数据质疑了 Kyber 的安全级别。在旁道攻击部分,由于 Kyber 的恒定时间特性,时序攻击被证明是无用的,但 SASCA 攻击仍然可行,尽管很容易防御,缺点很少。然而,针对消息编码的攻击和使用深度学习的攻击都被证明是有效的,即使使用高阶掩码也是如此。LDPC 也被提议作为一种新的攻击框架,证明了其强大且具有发展空间。在 SCA 辅助 CCA 部分,EM 攻击和 CPA 攻击也都显示出潜力,但仍然难以防御。在故障注入部分,轮盘赌和容错密钥恢复都是最近提出的,数据证明了它们的有效性和防御难度。本文旨在为未来的研究人员提供洞察力,让他们了解应该关注哪些领域来加强当前和未来的密码系统。
保护加密代码免受spectre-rsb
Spectre攻击通过在投机执行过程中泄漏秘密来保证恒定时间的cryg-fographic代码。最近的研究表明,可以保护此类代码免受头顶上最小的spectre-v1攻击,但叶子打开了保护其他幽灵变量的问题。在这项工作中,我们设计,验证,实施和验证一种新方法,以保护加密代码免受所有已知类别的Specter攻击,特别是Spectre-RSB。我们的方法结合了一个新的依赖价值的信息流类型系统,该系统即使在投机执行和编译器转换下也不会泄漏,并在生成的低级代码上启用它。我们首先使用COQ证明助手证明了类型系统的健全性和编译器转换的正确性。然后,我们在jasmin框架中实施了我们的方法,用于高保险密码学和DE-MONSTRATE,即大多数密码原始人的所有幽灵构图所产生的间接费用低于2%,对于更复杂的Quampuan-tum键后钥匙封装机制Kyber kyber kyber的较为复杂的范围仅为5-7%。
对...
摘要 - 由于国家标准技术研究所(US)选择了Quantum Crypto System Crystals Crystals Crystals-Kyber,因此对其正确性和安全性的正式验证变得更加相关。使用自动定理示意剂isabelle,我们能够正式化Kyber公共密钥加密方案的算法规范和参数集,并在选择的明文攻击属性下验证δ-正确性和不可区分性。但是,在形式化过程中,发现了笔和纸证明中的几个差距。除了一个差距δ的差距外,所有差距都可以填写。在较小维度中的计算给出了示例,其中绑定δ小于实际误差项,违反了正确性属性。可以正式将正确性证明与模块学习的应用有关,因此我们认为原始错误绑定和形式化版本的差异相对较小。因此,可以将正确性形式化,直到对界限的最小变化。索引术语 - post-Quantum加密,晶体 - Kyber,数字理论转换,安全性,验证,iSabelle。
减少基于MLWE的密码系统的密文和密钥尺寸
摘要 - 加密和解密的串联可以解释为嘈杂的通信通道上的数据传输。在这项工作中,我们使用有限的区块长度方法(正常近似和随机编码联合绑定)以及渐近学表明,可以在不损害该方案的安全性的情况下降低量化后量化后的量化后量子安全键封装机制(KEM)Kyber的密钥和密钥大小。我们表明,在渐近方案中,有可能将密文和秘密密钥的大小减少25%,以使参数集kyber1024,同时将比特率保持在原始方案中建议的1。对于用于共享256位AES键的单个Kyber加密块,我们还表明,Kyber1024和Kyber512的密码下文大小的减小分别为39%和33%。