支持后量子密码算法的PCIe密码卡设计与实现

为应对量子计算对公钥密码算法的威胁,研究了一种支持后量子密码算法的外设部件互联标准总线(Peripheral Component Interconnect express,PCIe)密码卡设计方法。该卡基于现场可编程门阵列(Field Programmable Gate Array,FPGA)和安全芯片硬件架构,支持SM2、SM3、SM4等商用密码算法及AES、RSA国际密码算法。然后,通过FPGA实现后量子密码(Post-Quantum Cryptography,PQC)算法功能,并提出了Crystals-Kyber算法的模块化设计方法,分析了资源占用情况。卡端支持主机通过直接存储器访问(Direct Memory Access,DMA)交换数据和指令,减轻中央处理器(Central Processing Unit,CPU)负载,提高数据传输效率。性能测试显示,集成的Kyber512算法密钥生成速度达5.2万次/s,封装速度达4.3万次/s,解封速度达2.5万次/s,具有良好的表现。

如何正确和安全地开展后量子密码算法的相关实现

后量子密码(PQC)算法的提出源于非对称密码的新需求.其主要包括密钥交换、非对称加密和数字签名.后量子密码算法的加密计算环节,需要同时抵御传统计算机以及量子计算机的破解和攻击.然而,PQC算法本身仍然需要进行一些基于常规数学函数的软件或者硬件实现.因此,通常的基于实现层面的攻击仍然有效.PQC算法的一些功能,例如有限域的取模、求逆、非均匀随机数采样以及解码算法等,已经采用了“常数时间”等相关防御实现,对其开展评估具有很大的难度.本文主要列举了PQC在实现过程中可能面临的挑战,特别是与旁路分析相关的泄漏,并进行更加深入的检测和研究.首先,我们详细说明了对条件控制语句以及条件访问数据结构中存在的旁路泄漏的探测与预防方法.其次,在操作数据被分成若干块(即掩码防御方法)的条件下,传统的纵向泄漏检测方法并不适用,但是我们的前述方法却可以适用于数据旁路的泄漏检测.本文反映出PQC算法的安全实现仍然需要安全评估以及安全编码等相关的知识.本文主要介绍了一种通用的检测方法,应对多种PQC算法存在不同算法类型、不同数学类型及其不同参数配置的复杂问题,并旨在给读者提供关于安全代码实现评估和设计的全面介绍.

一种基于量子准循环LDPC码的McEliece公钥密码算法

量子公钥体制包括无条件安全的量子公钥和计算安全的量子公钥密码。以经典公钥算法为基础,结合量子密码特性,研究一种基于量子计算安全的公钥密码;在GF(4)域,量子低密度奇偶校码是一线性码,存在BP快速译码算法。由此提出基于量子准循环LDPC码的量子McEliece公钥体制,给出该公钥体制的加密和解密过程。并通过数值仿真方法,分析该体制的安全性。研究结果表明,与经典方法相比,基于准循环量子LDPC码的McEliece公钥体制极大地扩展了密钥空间,有效地提高了系统的安全性,相对于经典McEliece的工作因子(274),量子McE-liece的工作因子达到2270,传输效率为0.60,且可有效地抵抗量子Grover算法攻击。

CRYSTALS-Kyber算法的IP核设计与验证方案研究

随着量子计算机的不断发展,现有的公钥密码算法随时面临着失效的危机。而抗量子密码(PQC)算法的出现,使得这一危机得到化解。与此同时,CRYSTALS-Kyber算法由于其安全性高、速度快等优点在美国国家标准与技术研究院(NIST)标准化算法中脱颖而出。为提高硬件实现的效率及安全性,提出了一种基于CRYSTALS-Kyber算法的知识产权(IP)核设计与验证的方案。介绍了该系统的硬件实现方法及其中包含的3个模块,密钥生成模块、加密模块和解密模块,研究了实现IP核的关键单元数论变换(NTT)、高级可扩展接口(AXI)以及仿真验证的具体方案,并对总体方案进行了可行性分析。

特洛依木马攻击下的量子密码安全性(英文)

研究了特洛伊木马对量子密码算法的攻击.首先分析了以EPR纠缠量子比特为密钥的量子密码算法在特洛伊木马攻击下的脆弱性.在此基础上,基于非正交纠缠量子比特提出了一个改进方案.该方案能有效地防止特洛伊木马的攻击.

量子密码技术及其应用

量子密码是信息理论的一个重要方面,它利用量子力学的一些独特性质,突破了传统密码学的限制,能够绝对安全地传送信息。本文介绍了量子密码的基本原理,探讨了量子密码的一些技术,最后简单介绍了量子密码的应用以及未来的发展前景。

基于Niederreiter公钥密码体制的盲签名方案

基于纠错码的公钥密码体制由于具有可抵抗量子攻击的优点成为后量子密码理论中的一个研究重点。本文针对消息文件的匿名保护问题,基于纠错码的Niederreiter公钥密码体制提出了一种盲签名方案。消息通过哈希、盲化后利用N公钥密码体制的解密算法完成签名,用户通过脱盲可获得签名。分析表明,此算法具有一般盲签名的基本性质,并且比基于RSA体制的代理签名具有更高的效率;不但继承了Niederreiter公钥密码体制的安全性,而且通过加入哈希过程获得了更高安全性,是一种值得参考的基于编码的后量子签名方案。

标准算法的征集及启示

密码算法是保证信息安全的核心技术之一,随着计算机技术的发展,密码算法经历了从古典到抗量子设计的发展,涌现出了适用于各种场景且具有多种功能的密码算法。对国内外密码算法发展中的各种征集候选算法进行介绍,分析并指出使用的主要框架等,提出在新的挑战下密码算法的发展趋势、研究重点,为新型密码算法设计和分析提供基础支撑。

基于2KNTT的多项式乘法单元设计

在格基抗量子公钥密码算法的基础运算中,多项式乘法在硬件实现上消耗大量的时间.为提高实际运算性能,本文通过分析多项式乘法运算中数论变换的快速实现算法,提出一种面向CRYSTALS-Kyber算法、适应硬件实现的2n次单位根预处理型快速数论变换算法架构,利用小位宽数论变换的并行处理与复杂度低的计算形式来减少运算时间.整体运算架构在结合算法特殊性质后,确定了32路并行的设计模型.在此基础上,设计了一种与该架构匹配的统一化运算单元和数据读写不冲突、地址分配最优的存储单元.实验结果表明,在65 nm的互补金属氧化物半导体(CMOS)工艺下,97 ns完成一组项数为256、模数为3329的多项式乘法运算,花费108个周期,最高工作频率可达到1.1 GHz,面积时间积为20.7(kGE·μs).

对密钥不匹配攻击的进一步理论分析--以NTRU-HRSS为例

目前,由美国国家标准技术研究院发起的对抗量子密码算法标准化的进程已进入最后一轮,其中基于格上困难问题的方案备受青睐.已有研究表明,若公私钥对被重复使用,则可以对选择明文攻击安全的格密钥封装机制发起密钥不匹配攻击;甚至在侧信道信息的辅助下,相关攻击能对选择密文攻击安全的格KEM奏效.在现有的针对格KEM方案的密钥不匹配攻击中,大多数攻击方案假设敌手一次只能恢复一个私钥系数,然而一次性恢复多个私钥系数是更为合理的假设,并且也将进一步减少密钥不匹配攻击所需的平均问询次数.鉴于此,本文进一步分析了密钥不匹配攻击中恢复私钥系数所需的平均问询次数的理论值下界的问题.其基本思路是将该问题转化为寻找一棵最优二叉恢复树的问题,进而证明了平均问询次数的理论值下界十分接近香农熵.在此基础上,本文提出了一套计算模型,并将其应用于NTRU-HRSSKEM方案,得到了更为准确的理论值下界;进一步地,据此提出了一种成对恢复NIST第三轮入选方案NTRU-HRSSKEM私钥的密钥不匹配攻击方案.实验结果表明,与现有的攻击方案相比,在成功率基本持平的基础上,平均问询次数减少了35.3%,耗时减少了47.3%.此外,本文提出的攻击方案也能够用于优化现有的针对CCA安全的NTRU-HRSSKEM方案的侧信道攻击,并将所需的问询次数由2447减少到1193.

Quantum Probabilistic Encryption Scheme Based on Conjugate Coding

We present a quantum probabilistic encryption algorithm for a private-key encryption scheme based on conjugate coding of the qubit string. A probabilistic encryption algorithm is generally adopted in public-key encryption protocols. Here we consider the way it increases the unicity distance of both classical and quantum private-key encryption schemes. The security of quantum probabilistic privatekey encryption schemes against two kinds of attacks is analyzed. By using the no-signalling postulate, we show that the scheme can resist attack to the key. The scheme's security against plaintext attack is also investigated by considering the information-theoretic indistinguishability of the encryption scheme. Finally, we make a conjecture regarding Breidbart's attack.