超级会员免费看
格最近向量问题的对偶攻击(含预处理)
1. 引言
随着量子计算机的发展,传统密码学面临着巨大的威胁。自20世纪90年代Shor的突破性工作以来,研究人员一直在探索能够抵抗量子攻击的替代密码学方法,“后量子密码学”领域因此受到广泛关注。在众多替代方案中,基于格的密码学成为后量子时代安全高效密码学的主要候选者。
格密码学中存在多个难题,其中最短向量问题(SVP)和最近向量问题(CVP)是两个经典难题。CVP要求找到离任意目标最近的格点,是最具挑战性的问题之一。CVP算法在密码学的多个场景中直接或间接地发挥着作用,与之密切相关的还有有界距离解码(BDD)、近似CVP等变体,以及这些问题的预处理版本,还有学习误差(LWE)等现代相关变体。
目前,针对CVP及其变体的求解方法主要分为原攻击和对偶攻击。原攻击包括格枚举和格筛法等。格枚举长期以来被认为是最实用的方法,具有低内存需求和快速启发式算法的特点;格筛法利用近似Voronoi单元,在时间复杂度的渐近缩放方面表现更优。然而,基于近似Voronoi单元的工作表明,原攻击在平均情况CVPP和近似CVPP的预处理问题上结果较为乐观,但在BDDP问题上的结果不尽如人意。
对偶攻击则基于对偶格。通过使用对偶格中的短向量与目标向量进行点积运算,可以获得目标向量是否接近格的概率证据。利用多个对偶向量,可以使用梯度上升方法构造区分器和搜索算法。对偶攻击主要在LWE和BDD的背景下被考虑,这表明对偶方法可能在BDD领域表现更好,而在近似CVP领域表现较差。但目前对偶攻击仍存在一些未解决的问题,如缺乏对经典格问题(非LWE)对偶攻击成本的全面启发式概述,以及对解决此类最近向量问题的对偶攻击实用性的实验评估。
订阅专栏 解锁全文
扫一扫
12
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
