(31)--8.1 后量子密码学密码学概论.ppt

第8章后量子密码学8.1后量子密码学2024/5/15Introductiontocryptography9

在前面章节中我们的密码方案的安全都是建立在敌手是经典计算机(Classicalcomputer)的概率多项式算法（PPT）这些方案在量子计算机（Quantumcomputer）时代还是安全的吗？在量子计算机时代安全的密码方案称为后量子密码方案后量子密码学2024/5/15Introductiontocryptography10

搜索问题搜索问题：令f(x):X?{0,1}是一个函数，找到x∈X，使得f(x)=1.解决搜索问题的算法：（1）经典计算机:最好的通用算法时间复杂度=O(|X|)（2）量子计算机[1996年Grover]:时间复杂度=O(|X|1/2)2024/5/15Introductiontocryptography11

后量子对称密码学-加密秘钥空间为2k对称加密方案传统计算机搜索秘钥时间为：O(2k)Grover量子算法搜索秘钥时间为O(2k/2)结论：为达到同样的安全，量子计算机时代对称加密方案的秘钥长度是经典计算机时代秘钥长度的2倍2024/5/15Introductiontocryptography12

后量子对称密码学-碰撞h:{0,1}m{0,1}n是一个Hash函数,传统计算机碰撞算法时间为：O(2n/2)Grover量子计算机碰撞算法时间O(2n/3)结论：为达到同样的安全，量子计算机时代的hash函数的输出长度需要比经典计算机时代输出长度多50%。2024/5/15Introductiontocryptography13

后量子对称密码学-总结量子计算机对对称密码方案和hash函数的影响只是多项式的加速。换句话说，当前使用的对称加密方案和hash函数算法在量子时代依然是安全可用的。量子计算机对密码学的影响主要在于公钥密码方案。2024/5/15Introductiontocryptography14

周期问题f(x):H?R是一个周期函数函数（H是一个Abel群），即存在σ,使得f(x+σ)=f(x).周期寻找问题：给定f(x)，找出σ解决周期问题的算法：（1）经典计算机:没有有效算法找到σ，甚至没有算法验证一个给定的σ是不是周期。（2）量子计算机[1994年Shor]:多项式时间算法找到周期σ（对于某些群）。2024/5/15Introductiontocryptography15

IFPDLP的量子算法利用Shor解决周期问题的算法，量子计算机可以在多项式时间内解决整数分解（IFP），离散对数问题(DLP)。2024/5/15Introductiontocryptography16

后量子公钥密码方案-总结量子计算机对于RSA,ElGamal和ECC等传统公钥密码学的影响是指数的加速。换句话说，当前使用的公钥加密方案和数字签名方案在量子时代是不安全、不可用的。2024/5/15Introductiontocryptography17

确定？不确定？目前，通用型的量子计算机是否能被制造出来还是不确定的。但有人认为10-15年内，特殊用途（比如只用于大整数分解）的量子有可能被制造出来.2024/5/15Introductiontocryptography18

后量子密码标准构造可抗量子计算机攻击的公钥加密方案和数字签名方案-后量子密码学。2016年,美国国家标准技术研究所(NIST)开始着手后量子公钥密码标准化方案的征集工作。2024/5/15Introductiontocryptography19

后量子密码标准2022年7月5日，经过6年3轮的评选，NIST公布了4种包括密钥封装机制和数字签名的后量子密码方案候选算法标准，/projects/post-quantum-cryptography2024/5/15Introductiontocryptography20

备选方案基于格的密码学(Lattice-basedcryptography),基于编码的密码学(Code-basedcryptography),基于多变量多项式的密码学(Multivariatepolynomialcryptography),基于Hash的