抗量子计算密码及应用研讨会在京举办

近年来量子计算发展迅速,引发公钥密码破解的信息安全威胁日益迫近,应对量子计算信息安全威胁已成为全球信息安全管理机构和信息通信等行业的关注热点。由中国计算机学会(CCF)主办,CCF抗恶劣环境计算机专委会、北京大学网络空间安全研究院、中国电科15所共同承办的《抗量子计算密码及应用研讨会》于2024年11月15日在京举办。会议由CCF抗恶劣环境计算机专委会主任刘爱民主持,北京大学教授、中国密码学会副理事长徐茂智出席并致辞。

量子计算密码攻击进展

通用量子计算机器件进展缓慢,对实用化1024-bit的RSA密码破译尚不能构成威胁,现代密码依旧是安全的.量子计算密码攻击需要探索新的途径:一是,量子计算能否协助/加速传统密码攻击模式,拓展已有量子计算的攻击能力;二是,需要寻找Shor算法之外的量子计算算法探索密码攻击.对已有的各类量子计算整数分解算法进行综述,分析量子计算密码攻击时面对的挑战,以及扩展至更大规模整数分解存在的问题.结合Shor算法改进过程,分析Shor算法对现代加密体系造成实质性威胁前遇到的困难并给出Shor破译2048位RSA需要的资源.分析基于D-Wave量子退火原理的RSA破译,这是一种新的量子计算公钥密码攻击算法,与Shor算法原理上有本质性不同.将破译RSA问题转换为组合优化问题,利用量子退火算法独特的量子隧穿效应跳出局部最优解逼近全局最优解,和经典算法相比有指数级加速的潜力.进一步阐述Grover量子搜索算法应用于椭圆曲线侧信道攻击,拓展其攻击能力.探讨量子人工智能算法对NTRU等后量子密码攻击的可能性.

抗量子计算对称密码研究进展概述

抗量子计算对称密码研究主要关注对称密码方案在量子计算攻击下的安全性.它是对称密码学与量子计算的交叉研究方向,近年来成为国际上密码学研究热点之一.目前该领域的研究成果已经相当丰富:一些量子算法被改造后更好地应用于对称密码分析;对称密码量子安全模型体系也逐渐完善;一些重要的传统分析技术被推广到量子增强版;密码算法的量子攻击资源评估技术不断被改进;许多经典可证明安全的结构和工作模式易受量子计算攻击;量子可证明安全理论取得重要进展并成功应用于一些结构和模式的安全证明;量子安全的密码方案设计研究也即将进入新的发展阶段.本文概述了抗量子计算对称密码研究的总体情况,分类介绍了各方面的研究进展状态,归纳总结了各项成果之间的关联及其机理,分析了当前研究中存在的问题,总结了未来有待加强的发展方向.

量子计算的挑战与思考

量子计算时代使用什么密码,是摆在我们面前的紧迫的战略问题,研究并建立我国独立自主的抗量子计算密码是唯一正确的选择.从基于HASH函数的数字签名、基于格的公钥密码、MQ公钥密码、基于纠错码的公钥密码4个方面讨论了抗量子密码的发展现状,介绍了自己的研究工作,并从量子信息论、量子计算理论、量子计算环境下的密码安全性、抗量子计算密码的构造理论与关键技术4个方面给出了进一步研究的建议.

矩阵分解在密码中应用研究

矩阵在密码学中有着悠久的应用历史.有一些基于矩阵的密码是安全的,如McEliece密码、格密码等.但是也有一些基于矩阵的密码是不安全的,如某些背包密码等.由于矩阵运算效率高,所以基于矩阵的密码具有效率高的优点.基于矩阵的密码的另一个优点是具有抗量子计算攻击的潜力.随着量子计算技术的发展,量子计算机对现在广泛使用的一些公钥密码(如RSA、ECC、ElGamal等)构成了严重威胁.这是因为在量子计算环境下,基于交换代数结构上许多困难问题存在有效的量子算法.但是基于非交换代数结构上的困难问题目前还没有有效的量子算法.所以密码界普遍认为,非交换代数结构上的公钥密码具有抵抗量子计算攻击的潜力(如纠错码密码、格密码和多变量密码等).由于矩阵运算具有非交换属性,所以基于矩阵的密码具有抗量子计算攻击的潜力.基于矩阵的密码的安全性与矩阵分解的困难性密切相关.因此,为了设计构造安全的密码,特别是设计构造安全的抗量子计算密码,有必要研究矩阵分解问题及其计算复杂性.本文综合论述了矩阵分解的方法、矩阵分解的计算复杂性,以及矩阵分解在密码安全性分析中的应用等内容,并对矩阵分解研究中存在的难点问题以及未来可能的发展方向进行了展望.

一种新的具有80比特安全性的多变量公钥密码体制

将多变量公钥密码MI体制与基于QC-LDPC码的纠错码密码串联起来,提出了一种新的具有80比特安全性的抗量子计算的多变量公钥密码体制.新体制基于有限域上多变量非线性方程组求解的困难性问题及任意线性码的译码困难性问题,分析表明新体制是安全有效的,具有私钥较小的优点.

密码格中行列式的若干定义及性质比较研究

格密码学近年被认为是抗量子计算攻击的新型公钥密码系统之一.首先在前人工作的基础上,证明"满秩整数格的行列式必为正整数"的较强结果.其次给出"实数格的行列式是一个与基选择无关的格不变量"的完整证明.最后站在集合论、高等代数及抽象代数的交叉视角下指出国内外信息安全专业流行教材及文献中6处相关概念的描述不足之处,并给出具体改进建议.

基于半陷门单向函数的公钥密码

通过引入"半陷门单向函数"的概念来构造公钥密码,与陷门单向函数不同,由于半陷门单向函数是"半可逆"的,所以不能单独用来构造公钥密码。为此本文提出了一种基于半陷门单向函数的公钥密码构造方法。并结合SSP(子集和问题)的难解性和易解性,构造了"半超递增背包向量",并基于半超递增背包向量对半陷门单向函数进行了具体实现。在此基础上,给出了一种新的公钥密码方案STOF_PKC。该方案在分类上属于背包密码,因而具有抗量子计算的潜力。

粤港澳大湾区量子保密通信与量子网络发展战略

量子保密通信与量子网络作为战略性前沿技术,与国家安全和前瞻性技术战略关系密切,具有广泛应用的潜力。简要综述量子保密通信与量子网络的研究进展以及产业基础,分析国际量子科技战略,提出遵循粤港澳大湾区发展创新驱动、改革引领的基本原则,集聚国际创新资源,攻关量子网络的基础科学和若干实用关键技术,规划部署粤港澳大湾区量子干线和制定QKD量子网络评估策略,有助于打造湾区国际量子创新高地及培育具有国际竞争力的量子保密通信与量子计算现代产业体系。

HKKS密钥交换协议分析

量子计算技术的发展对基于大整数因子分解、离散对数等问题具有交换代数结构的密码体制(如RSA、ECC和EIGamal密码)构成威胁,因此研究具有非交换代数结构的密码体制是一项富有挑战性的课题.针对该课题,Kahrobaei等人于2013年将一般矩阵群环作为平台提出了HKKS密钥交换协议并且于2014年将有限域上的矩阵群作为平台介绍该HKKS密钥交换协议.该文针对基于有限域上矩阵群的HKKS密钥交换协议,提出了4种攻击方法:结构攻击、线性化方程组攻击、超定多变量方程组攻击和离散对数方法攻击,并且分别给出了对应的算法描述和有效性分析.通过分析可知:(1)结构攻击算法是确定性算法,能够在O(n2ω)计算复杂度内获得共享密钥,其中n是矩阵H的阶数,ω≈2.3755;(2)线性化方程组攻击和超定多变量方程组攻击都利用Halmiton-Caylay定理将HKKS协议中私钥矩阵对(Ha,(HM)a)和(H-a,(HM)a)进行线性表示,采用线性方程组求解和XL算法求出一个相应的等价私钥矩阵进而计算共享密钥,这两种攻击方法的计算复杂度分别是O(nω+1)和O(n2ω);(3)当矩阵H(或者是矩阵HM)的特征多项式可约时,离散对数方法利用伴侣矩阵的性质分析P-HKKS问题进而求出该协议的私钥a(或者b),分析该方法的计算复杂度是O(n4).与此同时,该文分别将结构攻击、线性化方程组攻击、超定多变量方程组攻击应用到一般矩阵群环上的HKKS协议,这3种攻击方法也分别能够在多项式计算复杂度内得到共享密钥.与ACNS 2014会议上提出的线性代数攻击方法相比,结构攻击方法是确定性算法并且线性化方程组攻击的计算复杂度最低.最后,该文在给出攻击算法的基础上对HKKS协议给出了一些修正建议.

基于矩阵填充问题的五轮零知识身份认证方案

针对现存绝大多数身份认证协议容易遭受量子计算攻击及实现效率低的缺陷,基于矩阵填充(MC)问题构造了一种安全高效的五轮零知识身份认证方案。由于MC问题是NP完全的,所提方案具有很好的抗量子计算攻击潜力。相较于目前已有类似方案,所提方案通过增加单轮交互将欺骗概率由2/3降至1/2,同时兼具容易实现、密钥尺寸小等优点。此外,采用Fiat-Shamir密码转换技术还可将所提五轮零知识认证协议转换为高效的具有抗量子计算攻击潜力的数字签名方案。

相关随机分析线性子空间的伪适应性零知识证明

非交互式零知识(non-interactive zero-knowledge,NIZK)证明是零知识证明的一种,它也是密码学协议中的一个重要工具.非交互式零知识证明系统有着很多的应用,可以将其应用在数字签名方案、公钥密码体制以及密钥分配体制等.矩阵运算具有非交换属性,基于非交换代数结构的公钥密码算法,目前还没有量子计算算法,因此,基于矩阵的零知识证明具有抗量子计算攻击的潜力.Kiltz等人在EUROCRYPT 2015上构造了一个线性空间的伪适应性非交互式零知识证明(quasi-adaptive NIZK,QANIZK),同时将该技巧推广到保持线性同态结构的签名方案.针对这类方案,本文主要介绍了一种相关随机攻击方法,分别对线性空间的具有适应性合理性的QANIZK,简单的具有适应性一次模拟合理性的QANIZK和QANIZK构造进行了相关随机分析.在对方案的相关随机分析过程中,首先给定一个合理的假设,分析方案的公私密钥对,通过求解代数方程组,获取一些等价密钥,进而伪造签名.然后,分别介绍攻击方法相关的算法描述,有效性分析和攻击成功的概率.最后说明攻击方法的合理性并提出进一步的分析研究.

NTRU格上高效的身份基线性同态签名方案

针对现有的格上身份基线性同态签名方案密钥存储量大、结构复杂导致方案实际运行效率相对偏低的问题,提出了一个NTRU(Number Theory Research Unit)格上高效的身份基线性同态签名方案。首先在密钥生成阶段利用NTRU密钥生成算法产生主密钥,接着采用格基委派算法给出身份签名私钥,最后运行NTRU格上原像抽样算法产生出线性同态签名。对方案的安全性证明与性能分析结果表明,新方案满足正确性,具有弱内容隐私性。在随机预言机模型下,该方案在小整数解问题困难性条件下满足适应性选择身份和选择消息的存在性不可伪造性。同时,由于采用NTRU格的特殊结构,新方案在密钥量与运行效率方面与已有方案相比较均具有显著的优势,这对于计算资源受限环境的同态认证中具有重要的应用价值。

一类具有安全加密功能的扩展MQ公钥密码体制

量子计算机的发展,对目前广泛应用的传统公钥密码体制(如RSA,ECC等)构成了严重的威胁.MQ公钥密码是目前抗量子计算密码领域中最为活跃的热点研究课题之一,但是目前MQ公钥密码只能用于签名,很难构造出安全的加密算法.同时,随着近年来多个MQ签名算法相继被攻破,人们对MQ类公钥密码体制的安全性产生了质疑.本文通过引入Hash认证技术、并结合传统MQ公钥密码算法,提出了一种扩展MQ公钥密码体制,它可看作是对传统MQ公钥密码算法结构的本质拓展.利用本文引入的Hash认证技术可有效地提升MQ签名算法的安全性,同时也可据此设计出安全高效的MQ公钥加密方法.

A chaos-based quantum group signature scheme in quantum cryptosystem

A quantum group signature(QGS) scheme is proposed on the basis of an improved quantum chaotic encryption algorithm using the quantum one-time pad with a chaotic operation string. It involves a small-scale quantum computation network in three phases, i.e. initializing phase, signing phase and verifying phase. In the scheme, a member of the group signs the message on behalf of the group while the receiver verifies the signature's validity with the aid of the trusty group manager who plays a crucial role when a possible dispute arises. Analysis result shows that the signature can neither be forged nor disavowed by any malicious attackers.

Experimental cryptographic verification for near-term quantum cloud computing

An important task for quantum cloud computing is to make sure that there is a real quantum computer running,instead of classical simulation.Here we explore the applicability of a cryptographic verification scheme for verifying quantum cloud computing.We provided a theoretical extension and implemented the scheme on a 5-qubit NMR quantum processor in the laboratory and a 5-qubit and 16-qubit processors of the IBM quantum cloud.We found that the experimental results of the NMR processor can be verified by the scheme with about 1.4%error,after noise compensation by standard techniques.However,the fidelity of the IBM quantum cloud is currently too low to pass the test(about 42%error).This verification scheme shall become practical when servers claim to offer quantum-computing resources that can achieve quantum supremacy.