Thử nghiệm đệ trình PQC NIST vòng 3

Tôi mới tham gia lĩnh vực này và có một số lo ngại về PQC;

Làm thế nào để NIST so sánh rằng một thuật toán cụ thể là hiệu quả và bảo mật của nó không thể bị phá vỡ bởi các cuộc tấn công lượng tử trong tương lai? Tôi nhiệt tình để hiểu các tiêu chí.

Có phải NIST đã cố gắng phá vỡ thuật toán Mã hóa bằng cách áp dụng thuật toán của Shor bằng máy tính lượng tử có sẵn của IBM?

Tiêu chí của NIST để kiểm tra việc đệ trình thuật toán PQC là gì?

Làm thế nào để NIST so sánh rằng một thuật toán cụ thể là hiệu quả và bảo mật của nó không thể bị phá vỡ bởi các cuộc tấn công lượng tử trong tương lai?

Việc triển khai một thuật toán hiệu quả đến mức nào thì dễ dàng - các thuật toán này chạy trên các máy tính cổ điển và vì vậy mọi người đã triển khai các thuật toán này và việc đo lường hiệu suất rất dễ dàng.

Tính bảo mật được đo lường bằng cách sử dụng cùng một phương pháp mà chúng tôi sử dụng cho các thuật toán phi lượng tử - mọi người thiết kế các thuật toán phân tích mật mã tốt nhất mà họ có thể nghĩ ra để phá vỡ chúng, ước tính thời gian chạy của các thuật toán phân tích mật mã đó và vì vậy chúng tôi có thể chọn các tham số bảo mật giúp mọi người biết được điều đó. các thuật toán phân tích mật mã mất một khoảng thời gian không khả thi để chạy.

Sự khác biệt duy nhất giữa thuật toán PQC và thuật toán không phải PQC là, đối với thuật toán PQC, chúng tôi cũng xem xét các thuật toán phân tích mật mã chạy trên Máy tính lượng tử. Điều này phức tạp hơn một chút, bởi vì chúng tôi không có bất kỳ thứ gì có thể chạy thuật toán phân tích mật mã không cần thiết (máy tính lượng tử của IBM và các loại tương tự quá nhỏ và không thể thực hiện sửa lỗi cần thiết) cũng như các trình mô phỏng lượng tử (chạy trên máy tính cổ điển) cũng bị giới hạn về số lượng qubit mà chúng có thể xử lý. Mặt khác, chúng tôi thực sự hiểu rõ về những hoạt động mà Máy tính lượng tử có thể thực hiện và vì vậy chúng tôi có thể thiết kế các thuật toán có thể chạy trên Máy tính lượng tử. NIST không thực hiện tất cả công việc thiết kế này - phần lớn công việc này được thực hiện bởi các học giả và nhà mật mã bên ngoài NIST - NIST giám sát chặt chẽ công việc này và tính đến điều này.

Điều đáng nói là các ước tính cụ thể về độ cứng lượng tử của các vấn đề khác nhau vẫn là một rất mới khu vực nghiên cứu, và một số câu hỏi vẫn chưa được giải quyết. Một ví dụ điển hình về điều này là bài báo của Piekert He Gives C Sàng bởi CSIDH. Bên cạnh việc là một cách chơi chữ tuyệt vời, bài báo này sử dụng một thứ gọi là sàng đối chiếu (được phát triển vào năm 2013 bởi Greg Kuperberg iirc) để tấn công giả định CSIDH. Lưu ý rằng giả định này được phân biệt giữa tất cả các giả định hậu lượng tử vì nó trực tiếp mang lại trao đổi khóa không tương tác, một cái gì đó mà nó là

• khá dễ dàng để có được từ các vấn đề cổ điển (các biến thể nhật ký rời rạc), nhưng
• nhận được từ những thứ như LWE hoặc yêu cầu các tham số rất lớn hoặc hấp dẫn nguyên thủy nâng cao (mã hóa FHE hoặc chức năng) --- trong cả hai trường hợp, sơ đồ kết quả là không hiệu quả.

Điểm chính của bài báo là lưu ý rằng sàng đối chiếu không yêu cầu quyền truy cập vào một ($\xấp xỉ 2^{30}$) lượng bộ nhớ lượng tử trực tiếp, nhưng thay vào đó có thể sử dụng "bộ nhớ cổ điển có thể truy cập lượng tử" (ước tính cuối cùng là nhiều hơn, $\khoảng 2^{40}$). Tôi nhớ đã có một số cuộc tranh luận (tôi đoán là giữa Dan Bernstein và Chris, nhưng không nhớ chính xác) trên twitter/nhóm Google PQC hiện tại về ý nghĩa thực tế của ước tính đã thay đổi này.

Rất khó khăn, người ta có thể mô tả bảo mật cổ điển theo một cặp (thời gian, bộ nhớ) cần thiết để phá vỡ một nguyên thủy. Bảo mật lượng tử sau đó liên quan đến bộ 4 (thời gian cổ điển, bộ nhớ cổ điển, thời gian lượng tử, bộ nhớ lượng tử). Làm thế nào để trích xuất chính xác một ước tính bảo mật duy nhất trong số 4 bộ như vậy vẫn còn là một vấn đề tranh luận và thậm chí hai chuyên gia về mật mã hậu lượng tử cũng có thể có những bất đồng.