超级会员免费看
低内存攻击小密钥 CSIDH:高效同构证明与时间 - 内存权衡
1. 引言
在量子时代来临之前,Diffie - Hellman 协议在安全交换密钥方面发挥着至关重要的作用。当使用具有素数阶 (q) 的足够通用的椭圆曲线群实例化时,Diffie - Hellman 表现出卓越的性能,因为在经典计算机上解决这些群中的离散对数问题,已知的最佳算法是具有平方根时间复杂度 (\Theta(\sqrt{q})) 的通用算法。
然而,Shor 算法的出现使得 Diffie - Hellman 在量子世界中变得完全不安全。目前,用于密钥交换的后量子替代方案主要来自格问题(如 Kyber)或解码问题(如 McEliece),但这些方案的经典算法复杂度低于平方根,因此无法达到 Diffie - Hellman 协议的效率。
在过去十年中,基于同构的密码学成为在量子世界中提供类似于 Diffie - Hellman 密钥交换的有前途的候选方案。其安全性基于计算超奇异椭圆曲线之间同构的困难性。例如,在 SIDH 方案中,如果攻击者有额外信息,该方案的复杂度会大幅下降,从而受到严重攻击;而 CSIDH 密码系统由于攻击者没有额外信息,其底层同构计算问题仍然困难。
2. 当前 CSIDH 实例化
为了抵御 Kuperberg 式攻击,近期的 CSIDH 实例化建议使用 512、1024 甚至 2048 位的素域 (F_p)。为了实现高效的 CSIDH 实例化,通常会使用小密钥。当前的建议使用来自 ({-m, \ldots, m}^n)(对于某些常数 (m))的小范围集合的秘密密钥,特别是一些高效的实现选择了三元密钥空间,如 (SK_1 = {-1, 0, 1}^
订阅专栏 解锁全文
扫一扫
1066
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
