Làm cách nào chúng ta có thể đo lường mức độ bảo mật của các thuật toán mã hóa hậu lượng tử? Có một cách tiêu chuẩn của phép đo này?

Làm cách nào để chúng tôi đo lường mức độ bảo mật của các thuật toán Mã hóa lượng tử sau như: NTRU Prime, Sabre, Kyber,... được đệ trình lên Quy trình chuẩn hóa NIST PQC (Cuộc thi) nói chung?

Tôi đã đọc tài liệu trong gói đệ trình NIST của NTRU Prime nhưng việc hiểu các cấp độ bảo mật có vẻ rất phức tạp đối với các thuật toán PQC không giống như các thuật toán không phải PQC mà chúng tôi có thể dễ dàng so sánh các phương pháp với AES-256. Họ nói về các biến đổi và mức độ bảo mật CCA, CPA tùy thuộc vào một số tham số nhưng nó có vẻ phức tạp đối với tôi.

Ai đó có thể giải thích phép đo bảo mật cho các thuật toán PQC nói chung không?

Câu hỏi này có liên quan. Lưu ý rằng câu hỏi này làm nói rằng bảo mật được phân tích bằng cách so sánh với AES/SHA3, như bạn nghi ngờ.

Tuy nhiên, có lẽ cách thông tin nhất để tìm hiểu thêm về điều này là "thực hành" và đọc các phần phân tích bảo mật của các ứng cử viên vòng 3 NIST PQC khác nhau. Những điều này phải gần với sự đồng thuận của cộng đồng về cách phân tích các kế hoạch (mặc dù vẫn có những bất đồng, thường được thảo luận trên nhóm google NIST PQC). Ví dụ về một số bất đồng là những điều như:

• Làm tròn (cho mục đích nén) có cải thiện tính bảo mật của KEM dựa trên mạng không? Nếu vậy, bằng bao nhiêu bit? (hoặc theo "số lượng CoreSVP", một số liệu cụ thể để phân tích các lược đồ dựa trên mạng)
• Chính xác số lượng "CoreSVP" có nghĩa là gì?
• Các ước tính chính xác đến mức nào (từ phân tích mật mã của các nguyên hàm dựa trên mạng "nhiễu") khi áp dụng cho các nguyên hàm dựa trên mạng chỉ có nhiễu "xác định" (gây ra từ làm tròn)?
• Làm thế nào để đối phó với phân tích thích hợp chi phí bộ nhớ của các cuộc tấn công. Một vấn đề lớn ở đây là sự khác biệt giữa bộ nhớ lượng tử (có nghĩa là cần có qubit) và bộ nhớ cổ điển có thể truy cập lượng tử, vốn sẽ phong phú hơn nhiều (ví dụ: $2^{30}$ bộ nhớ cổ điển hiện khá khả thi, nhưng tôi chưa bao giờ nghe nói về một ước tính đáng tin cậy về thời điểm chúng ta nên mong đợi $2^{30}$ qubit logic --- Tôi không tin rằng chúng ta thậm chí đã đạt được một qubit hợp lý chưa!).
• Xử lý thế nào cho hợp lý những khoản cắt giảm không chặt chẽ? Thường thì việc giảm QROM ít chặt chẽ hơn so với giảm ROM.Các tham số có nên được đặt lỏng hơn để bù đắp hay đây là một yếu tố tạo tác của mô hình tương đối mới?

Tuy nhiên, nói chung, đối với một số bất đồng, các phép đo bảo mật gần giống với những gì chúng dành cho bảo mật cổ điển (có nghĩa là thông qua so sánh với bảo mật của AES/SHA3) và có thể được tìm thấy trong các thông số kỹ thuật của các lần gửi khác nhau. Nếu bạn đọc đủ chúng, bạn sẽ có một ý tưởng khá hay về cách cộng đồng (hầu hết) giải quyết việc phân tích tính bảo mật của các kế hoạch khác nhau.

Tất nhiên, bạn cũng có thể đọc nhóm google, nhưng nó ở dạng ... miễn phí hơn rất nhiều so với các bài gửi, vì vậy có lẽ không phải là nguồn thông tin ngắn gọn nhất. Điều đáng nói là nó có thể mang tính giải trí khi đọc bất kể, vì cuộc tranh luận có thể hơi sôi nổi (điều này có lẽ góp phần khiến nó ít thông tin hơn so với các bài nộp).

Thông thường, các lược đồ mã hóa (bất đối xứng) có thể được thảo luận dưới dạng bảo mật có thể chứng minh được - chúng tôi có thể chỉ ra rằng lược đồ này an toàn trước các cuộc tấn công nhất định nếu nguyên tắc mật mã cơ bản là khó. Nói cách khác, bảo mật có thể chứng minh được dựa vào việc giảm vấn đề của chúng ta về nguyên thủy, ví dụ: vấn đề RSA có thể rút gọn thành vấn đề bao thanh toán.

Nói chung, bốn thuộc tính sau được thảo luận, IND, CPA, CCA và CCA2:

ẤN (không thể phân biệt): Kẻ thù không thể phân biệt mã hóa của hai thông điệp bất kỳ có cùng độ dài tức là. nếu đưa ra một văn bản mật mã thách thức $c$, họ không thể biết nếu $c$ đến từ $m_1$ hoặc $m_2$.

IND-CPA (không thể phân biệt dưới một cuộc tấn công bằng văn bản đã chọn): Kẻ thù không thể phân biệt được thông báo nào đã được sử dụng để tạo bản mã thách thức nếu được cấp quyền truy cập vào khóa chung (nói cách khác, chúng có thể tạo bản mã từ các thông báo đã chọn).

IND-CCA (không thể phân biệt dưới một cuộc tấn công bản mã đã chọn): Thiết lập tương tự như trước đây, tuy nhiên, lần này, kẻ thù có một lời tiên tri giải mã mà họ có thể truy vấn cho đến khi nhận được bản mã thách thức.

IND-CCA2 (không thể phân biệt dưới một cuộc tấn công bản mã được chọn thích ứng): Giống như ví dụ trước, tuy nhiên, giờ đây, kẻ thù được phép truy vấn lời tiên tri giải mã ngay cả sau khi nhận được thử thách (với lời cảnh báo rằng họ không được phép nhập bản mã thách thức vào lời tiên tri)

Chúng được chọn để thảo luận như thể chúng ta có thể chứng minh điều đó (giả sử bằng chứng được áp dụng trong ngữ cảnh phù hợp), chúng ta chỉ cần lo lắng về mức độ khó của vấn đề nằm bên dưới nó.

Định nghĩa của các thuộc tính này có thể hơi khác đối với các lược đồ đối xứng (chúng không dựa trên các bài toán), nhưng chúng tôi có thể chứng minh các kết quả tương tự, một lần nữa trong các điều kiện nhất định (nghĩ về độ dài khóa).

Điều này cho phép chúng tôi hiện đánh giá 'mức độ bảo mật' cho các tham số này theo cách có thể dịch và so sánh với AES.