13、数论与量子领域的密码学技术解析

最新推荐文章于 2025-10-17 10:14:05 发布

study

最新推荐文章于 2025-10-17 10:14:05 发布

阅读量74

点赞数

CC 4.0 BY-SA版权

分类专栏：探索密码学与安全的奥秘文章标签：数论量子密码学二次剩余

本文链接：https://blog.youkuaiyun.com/study/article/details/149675825

探索密码学与安全的奥秘专栏收录该内容

18 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

数论与量子领域的密码学技术解析

1. 二次剩余与二次剩余性问题

1.1 二次剩余的定义

设 (n) 为一个正奇数，(x) 是与 (n) 互质的整数。若方程 (x \equiv y^2 \pmod{n}) 存在整数解 (y)，则称整数 (x) 是模 (n) 的二次剩余，即 (x) 是模 (n) 的平方；否则，(x) 是模 (n) 的二次非剩余。
若 (n) 是奇素数，那么与 (n) 互质的所有整数 (x) 中，恰好有一半是二次剩余；若 (n) 是两个不同奇素数 (p) 和 (q) 的乘积，这个比例则为四分之一。

1.2 二次剩余性问题

设 (n) 是两个不同奇素数 (p) 和 (q) 的乘积，(x) 是一个整数，且雅可比符号 ((x/n) = +1)。二次剩余性问题（QRP）是指，给定 (x) 和 (n)，判断 (x) 是否为模 (n) 的二次剩余。所有二次剩余的雅可比符号都为 (+1)，但反之不一定成立。
已知 (p) 和 (q) 时，这个问题很容易解决；但仅已知 (x) 和 (n) 时，该问题被认为是困难的。不过，目前尚不清楚该问题是否等价于对模数 (n) 进行分解。QRP 是几种密码系统的基础，包括 Goldwasser - Micali 加密方案和 Cocks 的基于身份的加密方案。

2. 二次筛法

2.1 引言

二次筛法（QS）及其变体是现代整数分解算法中，首个能够在单台个人计算机上常规分解 60 位以上任意整数的算法。它是 Morrison 和 Brillhart 早期连分数法的后继者，也是数域筛法的前身。这三种算法都基于一个观察：若 (A^2 \equiv B^2 \pmod{N}) 且 (A \not\equiv \pm B \pmod{N})，则 (\gcd(A + B, N)) 和 (\gcd(A - B, N)) 是 (N) 的真因子。二次筛法能在启发式时间 (L_N[1/2, 1] = \exp((1 + o(1)) (\log N)^{1/2} (\log \log N)^{1/2})) 内分解任意整数 (N)。这里详细介绍的是多多项式二次筛法（MPQS），还有其他变体。

2.2 关键思想

二次筛法与其他筛法算法（以及椭圆曲线分解法）一样，基于光滑数的概念。若一个数 (x) 的所有素因子都小于 (y)，则称 (x) 是 (y) - 光滑的。QS 会生成许多形如 (S^2 = r \pmod{N}) 的关系，其中 ((S, r)) 由一个二次多项式生成，使得 (r) 相对于 (N) 较小。然后，算法尝试使用一个固定的素数集合（称为因子基）来分解 (r)，因子基中的最大素数就是光滑度界。大多数这样的值无法分解，但可以使用筛法同时尝试分解多个 (r)。现代计算机上筛法的速度使得 QS 和 NFS 成为非常有效的方法。筛法的工作原理是：若一个素数 (p) 能整除多项式 (Q(x)) 的值，那么它也能整除 (Q(x + kp))（对于所有 (k)）。
当找到足够多的光滑关系后，提取一个子集，使得子集中 (r) 的乘积是一个完全平方，进而容易计算出 (A^2 \equiv B^2 \pmod{N})。这个子集是通过求解一个模 2 的方程组得到的，这被称为算法的线性代数阶段。

2.3 关系的生成

算法首先计算一个因子基 (FB = {p_i | (\frac{N}{p_i}) = 1, p 为素数, i = 1, \ldots, F})，其中 (p_0 = -1) 用于表示符号，((\frac{N}{p_i})) 是勒让德符号，表示 (p_i) 必须是 (N) 的二次剩余。
然后重复以下步骤，直到收集到足够多的光滑关系：
1. 构造一个二次多项式 (Q(x) = Ax^2 + Bx + C)，并求解 (Q(x) \equiv 0 \pmod{p_i}) 对所有 (i) 的解。每个素数会有两个根 (r_{1i}) 和 (r_{2i})。
2. 在区间 ([-M, M]) 上初始化一个筛数组为零，其中 (M) 是一个合适的值。
3. 对于所有 (p_i \in FB)，将 (\lfloor\log(p_i)\rfloor) 的值加到位置 (r_1, r_1 \pm p_i, r_1 \pm 2p_i, \ldots) 和 (r_2, r_2 \pm p_i, r_2 \pm 2p_i, \ldots)。
4. (Q(x)) 在 ([-M, M]) 上的值大约为 (M\sqrt{N})，因此将每个筛位置与 (T = \log(M) + \log(N)/2) 进行比较。完全分解的值对应的筛值会接近 (T)。对于这些值，通过除法构造精确的分解。也可以通过重筛来找到分解。此时有 (S^2 \equiv Q(x) \equiv \prod_{i = 0}^{F} p_i^{\alpha_i} \pmod{N})。由于 (Q) 的系数计算方式特殊，(S) 的值可以很容易地从 (x) 的值计算出来。设 (\vec{v} = {\alpha_1, \alpha_2, \ldots, \alpha_F} \bmod 2)。总共收集至少 (F + 1) 个分解后的关系，然后通过在由每个 (\vec{v}) 作为矩阵的一行所形成的矩阵上找到 GF(2) 上的线性相关性，找到一个乘积为平方的集合。

2.4 多项式系数的计算

每个多项式的系数由一个满足 (D \equiv 3 \pmod{4}) 且 ((\frac{D}{N}) = 1) 的素数 (D) 推导得出。每个素数 (D) 会产生不同的多项式，这使得该算法的并行实现变得容易，只需将不同的 (D) 集合分配给不同的机器，让它们独立运行。
计算系数时，首先令 (A = D^2)，其中 (D \approx (N/2)^{1/4}/\sqrt{M})，这样选择 (D) 的值是为了最小化 (Q(x)) 在区间 ([-M, M]) 上的最大值。(B)、(C) 和 (S) 的计算依赖于 (A)，详细内容可参考相关资料。

2.5 优化和参数选择

分解 (kN)： 通常，分解 (kN)（其中 (k) 是一个小值）比仅分解 (N) 更有用，这可以使因子基中包含更多小的二次剩余。在这种情况下，将上述所有计算中的 (N) 替换为 (kN)。若 (N \equiv 3 \pmod{4})，由于 (N = B^2 - 4AC) 且右边模 4 为 0 或 1，可能需要将 (N) 乘以 (k) 使得 (kN \equiv 1 \pmod{4})，不过可以通过取 (2B) 而不是 (B) 作为 (Q) 的中间系数来避免这个要求。可以使用 Knuth - Schroeppel 函数来评估不同 (k) 值的有效性。
大素数变体： 允许在 (r) 的分解中出现少量较大的素数，而不是要求 (r) 完全在因子基上分解。设 (r = \prod_{i = 0}^{F} p_i^{\alpha_i} P_1P_2 \ldots)，其中 (P_i) 可以是比因子基中的素数稍大的素数。生日悖论在这里很有用，完全分解的 (r) 的集合会很大，我们可以期望许多大素数 (P_i) 会多次出现。当出现这种情况时，可以将相应的关系相乘，在每个关系的右边得到 (P_i^2)。对于约 85 位以下的 (N)，使用一个大素数非常有效；对于大于约 85 位的 (N)，使用两个素数有效；有限的经验表明，对于 120 位以上的 (N)，使用三个素数可能有效。去除因子基素数后，可以通过 Pollard’s rho 或 SQUFOF 算法来分解 (P_1) 和 (P_2)。
小素数变体： 最小的素数 (p_i) 筛法所需时间最长，它们的对数对每个筛位置的累积和贡献最小。用这些素数的小幂次替换最小的素数（最多约 30）是值得的，这可以大大加快筛法时间，同时只损失一小部分分解后的关系。
缓存分区： 将筛区间 ([-M, M]) 划分为适合缓存的块，这样可以大大提高筛法的速度，并减少内存需求。
降低多项式更换成本： 更换多项式的成本主要由计算 ((2A)^{-1} \pmod{p_i}) 对每个 (p_i) 的成本决定。一种大大降低此成本的方法称为自初始化二次筛法（SIQS）。
重构分解： 重构 (r) 的实际分解会花费相当多的时间，筛法过程只是识别哪些 (r) 是光滑的，并不产生分解。可以通过用因子基素数对 (r) 进行试除法来实现，但随着 (N) 的增大，试除法在运行时间中所占的比例会越来越大。可以通过重筛来找到分解，此时只需存储命中已识别光滑位置的 (p_i)，就可以轻松产生实际分解。

3. 量子密码学

3.1 量子密码学的起源与原理

量子密码学诞生于 20 世纪 70 年代初，当时 Stephen Wiesner 撰写了 “Conjugate Coding”，但这篇文章直到十多年后才得以发表。在此期间，Charles H. Bennett 和 Gilles Brassard 接手了这个主题，并通过一系列论文将其付诸实践，最终展示了一个实验原型，证明了该概念在技术上的可行性。
量子密码系统利用了海森堡不确定性关系，根据该关系，测量一个量子系统通常会干扰它，并只能获得关于其测量前状态的不完整信息。因此，对量子通信信道的窃听会导致不可避免的干扰，从而提醒合法用户。这产生了一种用于在两个最初没有共享任何秘密信息的 parties 之间分配秘密随机密钥的密码系统（不过他们必须能够验证消息），该系统对拥有无限计算能力的窃听者是安全的。一旦建立了这个秘密密钥，就可以与经典密码技术（如 Vernam 密码（一次性密码本））一起使用，使 parties 能够以绝对保密的方式通信有意义的信息。

3.2 量子物理学在密码学中的各种应用

保护隐私信息： 除了密钥分配，量子技术还可以帮助实现更微妙的密码学目标，例如在使用私人信息达成公共决策时保护这些信息。这种技术允许两个人在一个人知道 (x)，另一个人知道 (y)，且双方都不愿意向对方透露除了根据自己的私人输入和函数输出逻辑推导得出的信息之外的任何私人输入的情况下，计算一个商定的函数 (f(x, y))。经典的例子是 “约会问题”。
早期应用： 在量子密钥分配之前，就已经发现了量子物理学在密码学中的两个应用：无法伪造的量子钞票和量子复用。量子复用允许一方以这样的方式向另一方发送两条消息，使得接收方可以选择获取其中一条消息，但读取一条消息会不可逆地破坏另一条消息。后来，在假设存在比特承诺方案的情况下，设计了更复杂的量子不经意传输协议。另一个被广泛研究的量子密码任务是比特承诺，但早期某些量子协议的安全性声明后来被证明是不安全的。此外，还引入了各种量子抛硬币协议，并在非常一般的量子力学框架下得出了此类协议偏差的下限为 (1/\sqrt{2})。

3.3 量子密钥分配

3.3.1 BB84 协议概述

量子密钥分配的目的是使两个诚实的 parties（Alice 和 Bob）在可能存在窃听的情况下就一个随机密码密钥达成一致。Alice 通过传输四种可能的非正交量子态之一，向 Bob 发送一个她确切知道的随机比特流，Bob 会随机选择其中一定比例的比特。这四种可能的状态可以是光子的 (0^{\circ})、(45^{\circ})、(90^{\circ}) 和 (135^{\circ}) 偏振态。根据量子力学，正交偏振的光子（如 ((0^{\circ}, 90^{\circ})) 或 ((45^{\circ}, 135^{\circ}))）是完全可区分的，而非正交光子（如 ((0^{\circ}, 45^{\circ}))、((45^{\circ}, 90^{\circ})) 等）则不可区分。
当 Alice 向 Bob 发送这四种随机状态之一时，Bob 可以选择测量它是 ((0^{\circ}, 90^{\circ})) 还是 ((45^{\circ}, 135^{\circ}))。如果他进行了正确的测量，就能完美地检测到原始状态；如果测量错误，他会检测到他试图区分的两个状态中的一个随机状态。当 Alice 后来告诉他正确的测量方式时，他保留正确测量的状态，丢弃其他状态。在理想情况下，Bob 会接收到 Alice 光子的 50% 的原始精确状态，并丢弃另外 50% 的光子。如果将 (0^{\circ}) 和 (45^{\circ}) 分配为二进制值 0，将 (90^{\circ}) 和 (135^{\circ}) 分配为二进制值 1，那么他们商定的比特流就是正确测量的 50% 的光子。

3.3.2 实际情况处理

然而，现实并非完美。部分正确测量的光子会被错误检测，而且如果窃听者（Eve）试图在光子到达 Bob 之前测量它们，由于她测量光子偏振信息，会引入错误。自然噪声和诱导噪声看起来是相同的，无法区分。量子密码学的美妙之处在于，对噪声水平的估计可以得出 Eve 获取信息的估计。因此，一个三阶段的经典协议允许 Alice 和 Bob 从他们嘈杂、部分被窃听的比特流中提取一个商定的、更小的秘密密码密钥。这三个阶段分别是：
- 误差估计： Alice 或 Bob 随机选择一定数量 (t) 的根据正确测量先前传输的比特，并将它们告知另一方。另一方将这些比特与自己的副本进行比较，并宣布错误数量 (e)。对于足够大的样本，比率 (e/t) 应该是未披露比特中剩余误差比例的合理估计。
- 信息调和： 虽然早期鼓励使用交互式纠错，但传统的纠错码也可以使用。在这两种情况下，这个过程会向任何潜在的窃听者披露一些关于剩余（已纠正）比特的额外信息，这些额外信息必须在最后的隐私放大阶段考虑在内。
- 隐私放大： 假设窃听者对信息调和阶段得到的大小为 (n) 的比特流 (W) 仅保留了 (\ell) 比特的 Rényi（碰撞）熵。如果 Alice 和 Bob 可以从误差估计和纠错中估计出 (\ell)，他们可以从 (W) 中产生一个大小接近 (\ell) 的新的较小比特流 (K)。设 (H) 是从一个强通用集合中均匀选择的哈希函数，将 (n) 比特映射到 (\ell - s) 比特。那么可以得到关于不确定性 (H(H(W) | H, E) \leq 2^{-s}) 的紧密界限，其中 (E) 是窃听信息（包括纠错）。这意味着如果 Alice 或 Bob 随机选择一个哈希函数 (h) 并公开告知另一方，他们可以使用它将较长的字符串 (W) 替换为 (K = h(W))，该字符串对窃听者几乎是完全秘密的，概率接近 1。

3.3.3 安全性证明

上述密钥分配协议已被证明无论窃听者的策略和计算能力如何都是安全的。第一个证明由 Mayers 给出，但该证明的技术性很强，因此催生了许多替代证明，如 Biham 等人、Shor 和 Preskill、Gottesman 和 Lo 等人的证明。最近，Ben - Or 等人在通用可组合框架下展示了一个更强大的安全性证明。

3.4 替代量子密钥分配协议和实现

早期变体： 最初的量子密钥分配协议使用单光子的四种不同偏振态作为量子信息的载体，但也提出了其他方法。早期的变体包括仅使用两种非正交状态而不是四种，以及使用相位调制而不是偏振。
基于纠缠的方案： Ekert 提出的一个更基本的变体是利用爱因斯坦 - 波多尔斯基 - 罗森纠缠对，这使得密钥即使在存储时也能受到量子力学的保护，而不仅仅是在传输过程中。Ekert 的方案可以受益于后来发现的强大量子技术，如纠缠蒸馏。基于纠缠的量子密码学原型在理论发明后不久就出现了，并且工作距离不断增加。
实验进展： 过去十年中，量子密码学的实验演示激增，工作距离不断增加，有时甚至牺牲了无条件安全性。例如，瑞士制造的一个即插即用设备在日内瓦和洛桑之间铺设的 67 公里光纤上进行了成功测试，最近的实验实现了 150 公里的光纤距离。为了实现更远的距离，人们讨论了量子中继器的概念。自由空间原型展示了在数十公里的视距内进行量子密码学的可能性，这使得建立基于卫星的全球量子密码网络成为可能。目前，量子密钥分配已经作为商业产品推出，相关信息可以在瑞士公司 id Quantique 和美国公司 MagiQ Technologies 的网站上找到。

3.5 量子数据的密码学

一次性量子密码本： 发送方 Alice 和接收方 Bob 事先共享一对最大纠缠粒子，并使用它们来传送一个任意的量子比特（qubit），例如从 Alice 到 Bob。该方案的唯一公共传输是发送方到接收方的一对经典随机比特，允许接收方重建发送方想要传达的原始状态。
量子 Vernam 密码： Alice 使用一个具有四种可能值的经典密钥，对一个任意的单量子比特系统应用四种酉（泡利）算子之一，然后将其传输给 Bob。Bob 通过应用逆酉算子来解密状态。只要密钥是均匀分布的且对窃听者是秘密的，传输状态的量子描述与要传输的原始状态无关。在量子环境中，加密一个一般的量子比特通常需要两个密钥比特，但如果容忍任意小的误差，并且量子比特不与 Eve 纠缠，可以将其减少到接近一个密钥比特。最近还证明了，当明文是经典的时，用于量子 Vernam 密码的秘密密钥可以重复使用。
量子消息认证： 量子纠错码导致了量子消息认证的概念，它允许 Alice 向 Bob 发送消息，使得对传输消息的任何篡改要么会被检测到，要么会被实际纠正回原始消息。令人惊讶的是，量子认证需要量子加密，而在经典情况下，这两个任务是相对独立的。后来，Gottesman 引入了一个非常有趣的不可克隆加密概念，将量子加密和量子认证联系起来。
其他应用： 还包括量子秘密共享（其中要共享的秘密是一个量子状态）、可验证的量子秘密共享、多方量子计算和量子零知识证明等。

量子密码学利用量子力学的特性，为信息安全提供了新的解决方案，在密钥分配、数据加密和认证等方面展现出独特的优势。随着技术的不断发展，量子密码学有望在未来的信息安全领域发挥重要作用。同时，二次筛法等传统密码学技术在整数分解等方面也有着重要的应用，并且通过不断的优化和改进，提高了其效率和实用性。这些技术的研究和发展，将推动密码学领域不断向前发展，为保障信息安全提供更强大的支持。

4. 总结与展望

4.1 数论与量子密码学技术对比

技术类型	核心原理	主要应用场景	安全性特点	发展现状
二次剩余与二次剩余性问题	基于数论中二次剩余的定义和性质，判断给定数是否为模特定数的二次剩余	构建密码系统，如 Goldwasser - Micali 加密方案和 Cocks 的基于身份的加密方案	已知因子时问题易解，仅知部分信息时困难，但与模数分解的等价性未知	理论基础成熟，在传统密码学中有一定应用
二次筛法	利用光滑数概念和筛法思想，通过生成关系和求解线性方程组分解整数	整数分解，尤其适用于 60 位以上任意整数	通过多种优化策略提高分解效率	是现代整数分解的重要算法，有多种变体和优化方法
量子密码学	利用海森堡不确定性关系和量子态特性，实现密钥分配和信息加密	保障通信安全，防止窃听	对拥有无限计算能力的窃听者安全，有多种协议和实现方式	实验演示不断推进，部分技术已实现商业化

从这个对比表格可以看出，数论相关的密码学技术主要基于传统数学理论，在整数分解和密码系统构建方面有重要作用；而量子密码学则借助量子力学的独特性质，在保障通信安全方面展现出巨大潜力。

4.2 未来发展趋势

融合发展 ：数论密码学技术和量子密码学技术可能会相互融合。例如，在量子密码学的某些环节，可能会引入数论中的算法和思想来优化协议和提高效率；同时，量子计算的发展也可能对数论密码学的安全性产生影响，促使其进一步发展和改进。
应用拓展 ：随着信息技术的不断发展，密码学技术的应用场景将不断拓展。量子密码学有望在金融、医疗、国防等对信息安全要求极高的领域得到更广泛的应用；而二次筛法等数论算法也可能在区块链、云计算等新兴技术中发挥重要作用。
技术创新 ：未来可能会出现更多基于数论和量子力学的新型密码学技术。例如，可能会设计出更高效的量子密钥分配协议，或者开发出更强大的数论分解算法，以应对不断增长的信息安全需求。

4.3 面临的挑战

技术实现难度 ：量子密码学技术在实验实现和工程化方面仍面临诸多挑战，如量子态的制备、传输和测量的精度控制，以及量子中继器等关键技术的突破。二次筛法等数论算法在处理大规模数据时，也需要进一步提高计算效率和优化算法复杂度。
成本问题 ：量子密码学设备的研发和生产成本较高，限制了其大规模应用。如何降低成本，提高性价比，是推动量子密码学技术商业化的关键问题。
安全性验证 ：虽然量子密码学被认为具有较高的安全性，但随着量子计算技术的发展，其安全性也需要不断验证和评估。同时，数论密码学技术在面对新型攻击手段时，也需要加强安全性分析和验证。

4.4 发展路线图

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A(当前技术现状):::process --> B(技术融合与创新):::process
    B --> C(应用场景拓展):::process
    C --> D(解决技术挑战):::process
    D --> E(实现大规模应用):::process

这个流程图展示了数论与量子密码学技术未来可能的发展路线。首先基于当前的技术现状，进行技术融合和创新，然后将这些技术应用到更广泛的场景中。在应用过程中，需要不断解决面临的技术挑战，最终实现大规模的商业应用和普及。

数论与量子领域的密码学技术在信息安全领域具有重要的地位和广阔的发展前景。虽然目前面临一些挑战，但随着研究的深入和技术的进步，这些技术有望为我们提供更安全、高效的信息保护解决方案。无论是传统的数论密码学技术，还是新兴的量子密码学技术，都值得我们持续关注和深入研究。