文章主要介绍RSA如何加强使得能使得所有已知的量子攻击算法都是不可行的,而加密和解密仍然可行。
对于文中的RSA参数:(1)加密,解密,签名和验证是可行的;(2)所有已知的攻击是不可行的。包括高度可扩展的量子计算机的攻击。
性能分析部分:本文介绍了一种新的算法来生成一批素数。
攻击分析部分,本文介绍了一种新的量子分解方法GEECM,通常比Shor的算法快得多,并且比预量子分解算法快得多。
一、归纳文章主要思想与工作
问题:RSA参数是否可以调整,使得所有已知的量子攻击算法都是不可行的,而加密和解密仍然可行。
文章围绕“量子计算机是否真的会杀死RSA?”展开。在量子计算机被建立,qubit操作作为一种廉价操作的假设下,Shor的算法很容易破坏RSA。Shor的算法用RSA公钥n进行解密几乎和合法的RSA用户解密一样快。当Shor算法使用量子幂模n。 Shor算法只多一些小的开销,这些开销在解密成本和分解成本之间只产生一个非常小的差距。 本文将加速RSA的标准技术在被推到极限时,合法RSA用户成本和攻击者成本之间会造成更大的差距。对于文中的RSA,攻击代价在使用成本上基本上是二次的。这些情况需要仔细分析整数分解的量子算法。文章介绍了量子分解算法GEECM。GEECM成为Post-quantum RSA参数选择的主要限制之一。这些情况还需要仔细分析基本RSA操作的算法。所以文章引入了一种新的算法来生成大量的独立的均匀随机素数。
二、讨论相关技术
(一)Post-quantum factorization:GEECM(量子环算法,比Shor算法和所有预量子分解算法快得多。更高效的方法是采用最好的预量子算法来寻找小素数,并使用量子技术来加速这些算法。)
ECM……在标准猜想下,ECM使用环操作2^((lgy)^(1/2+o(1)))找到素数p≤y。在对o(1)进行更详细的分析的基础上得出截断值在2^30以下。
EECM……ECM的最新变体。EECM选择Edwards curve:x^2+y^2=1+d^2y^2超过Q,或者选择具有已知非扭转点P的扭曲Edwards曲线;EECM也选择一个较大的整数s,并使用Edwards加法定律来计算曲线上P的倍数,特别是用整数的一小部分表示的x坐标x(sP)。环算法的输出是这个分数的分子。总的来说,计算需要(7+o(1))lgs乘法(超过半数是平方)和相当数量的加、减法。
GEECM……量子计算机使用以加速相同的EECM计算。Grover的方法加速搜索函数的根:如果函数f的输入是概率为1/R的f的根,则经典搜索执行R的R评估,而Grover的方法是执行关于√R量子评估f。函数f的输入是EECM曲线的选择结果,并且当该曲线选择的EECM结果具有与n相同的非平凡因子时,其输出恰好为0。EECM通过经典搜索找到f的根;GEECM通过Grover的方法找到了f的根。如果选择s和z,那么f的输入就是f的概率为1/L^(1/2c+o(1))的根,所以GEECM只使用L^(1/4c+o(1))量子估计的f,总的L^(c+1/4c+o(1))量子环运算。对于c=1/2,表达式c+1/4c取其最小值1;那么总的成本就是L^(1+o(1))环操作。GEECM将环操作从L^(√2+o(1))减少到L^(1+o(1)),其中L=exp(logyloglogy)^(1/2)。对于相同数量的操作,GEECM将logy增加了2+o(1),几乎是可以找到的素数的两倍。
(二)RSA可扩展性
后量子RSA公钥n需要相当大才能抵抗上述后量子分解算法中描述的攻击。文章有可用于RSA密钥生成、加密、解密、签名生成和签名验证的最佳算法的可扩展性的分析。
(1)选用小指数。RSA公钥运算是计算一个n次方的模。文章取e=3。计算n次模n,然后取n个模n和一个常数乘nn。每个步骤都使用标准的快速乘法技术来进行(lgn)^(1+o(1))位操作。
(2)多素数。RSA密钥操作是计算eth根模n。
该文章的重点是多重RSA如何扩展到更大的模数n。量子计算机诞生后,最主要的威胁是GEECM和Shor算法。因此RSA密钥生成、解密和签名生成,采取(lgn)^(1+o(1))位操作。
(3)密钥生成。k-prime指数-3RSA公钥n是k个与2模3相同的不同的素数p的乘积。
(4)加密。Shoup的“RSA-KEM”等最新的机制简单地使用RSA对随机数据的n位进行加密,对随机数据进行散列,得到一个密钥,用密钥对用户的消息进行加密和认证,并且不需要任何填充。
(5)解密。在后量子RSA的情况下,加密的速度比加速解密要慢得多。
(6)签名生成和验证。
三、指出未来的研究方向、未解决的难题等
1.有一系列的工作表明,大规模的秘密可以防止恶意软件限制数量的旁路攻击和有限数量的漏洞。一个TB级只需要几个小时的时间就可以通过一个千兆以太网链路进行传输,但是这个工作的基本思想是有时候会限制旁通道和出口通道的时间和/或带宽,这些限制可能会停止攻击者从提取所需的秘密。分析Post-quantum RSA 中的秘密提供这种保护的程度是很有意思的。然而,要小心,系统的其他部分可能会损害正面的回答,而这些部分并没有把注意力放在扩展数据上。
2.安全问题及成本:我们的批量生成算法表明,为了帮助降低能耗和保护环境,RSA的所有用户(包括传统的前量子RSA的用户)都应该将他们的密钥生成计算委托给NIST或另一个可信的第三方。这种速度的提高还可以使用户生成新的RSA密钥,并更频繁地删除旧的RSA密钥,从而限制了密钥盗窃的危害。然而,所有可信的第三方协议都会引发安全问题,并且所有已知技术安全地分配或委托RSA计算的成本都很高。
3.将后量子RSA集成到标准互联网协议(如TLS)中。这种集成在概念上很简单,但需要解决许多系统级的挑战,例如对加密库允许的RSA密钥大小的各种限制。
