ABC小牛联盟社区黄帅整理翻译-公钥备选的简析_理财前线_论坛_天涯社区

更新日期:2022年06月10日

       NIST 机构间和内部报告 8309(2020 年 7 月) 本文档可在以下网址免费获取:10.6028/NIST.IR.8309 NIST:美国国家标准与技术研究院电子邮件:pqc-comments@nist。 gov ABC Mavericks Alliance 支持以下翻译: 公钥候选列表:3.4 SABERSABRE 是一个 KEM, 其安全性基于模块学习的假设强度, 对于 MLWR 问题, MLWE 的一个变体, 它添加了 Small error term, 而不是 从一个模数四舍五入到较小的第二个模数。 CCA 安全性是通过:Fujisaki-Okamoto 变换的变体。 虽然从 MLWE 到 MLWR 有所减少, 但它们并不特别适用于 SABRE, 这是一个不粘问题。 需要注意的是, MLWE 对最短向量问题有递减, 但它们也不是相对确定性的, 适用于 MLWE 的候选名单, 例如 KYBER。 另一方面, MLWR 对 SABRE 中的 2 次方模数进行运算, 允许有效优化和多项式乘法步骤以减少模数。 总体而言, SABER 具有出色的性能, 将成为通用应用的直接解决方案。 第二轮 SABRE 规格做了一些小的改动。 值得注意的是, 对许可证的一个小调整成功地将 SABRE 的安全性正式降低到 ModuleLWR。 NIST 目前不建议对 SABRE 规范进行任何更改, 但认为该领域有许多有价值的研究途径。 特别是, NIST 鼓励对侧信道分析和非 NTT 类型 SABRE 的优化、晶格候选以及特定乘法 MLWE 和 MLWR 的安全性进行额外研究, 以解决建议的参数集之间的差异。 SABRE 的反侧信道实现的性能, NIST 将在第三轮中重点关注。 如上所述, 考虑到第三轮结束时的标准化方案, SABER 是最有前途的 KEM 之一。 3.5 BIKE BIKE 是一种基于结构化编码的 KEM, 可为一般用途提供平衡的性能, 类似于基于格的结构化 KEM, 但速度较慢且需要更多带宽(公钥大小加上密钥大小)。 此性能配置文件优化了 BIKE 的带宽, 由提交者在 BIKE 最初提供的三种不同性能配置文件的第二轮结束时提交。 第二轮还引入了新的解码器:BIKE被动密钥恢复和消息恢复最重要的防破解是基于信息集解码。 这一系列防裂的复杂度估计要高于其他大多数类型。 抗裂性更稳定。 因此, 像 BIKE 这样的方案, 如果标准化, 在密码分析取得重大进展的情况下下面, 提供了一个有用的备用结构化格方案。 尽管如此, 关于侧信道保护和 CCA 安全性的严重问题仍然存在。 在考虑标准化 BIKE 之前, 需要解决这些问题。 BIKE 假设由于需要非常低的解封装失败率, CCA 安全性的性能会显着下降。 通过使用从实验推断的简化启发式模型来估计解封装失败率。 提交者宣布重新设计解码器(从后翻转解码器切换到黑灰色翻转 [BGF] 解码器)并在第二轮结束时更改其参数以更好地满足其目标解封装失败率。 然而, 到第二轮结束时, 提交者并没有足够的信心明确说明 CCA 的安全性。 此外, BIKE 提交器提供了一种新的实现, 该实现被设计为恒定时间并且没有依赖于秘密的内存访问。 由于参数和实现都相对较新, 都需要社区审查, 特别是关于边信道保护和解封装失败率。 最后, BIKE 在最近的更新中没有提供 Category5 参数。 NIST 强烈鼓励添加此类参数。 NIST 将 BIKE 视为最有前途的基于编码的候选者之一。 如前所述, 需要更多时间来解决列出的安全问题。 所以BIKE进入了决赛, 但会进入第三轮进行更多的研究。 3.6 FrodoKEMFrodoKEM 是一种基于普通 LWE 假设强度问题的安全性 KEM。 Frodo 非常接近 Regev 的原始 LWE 公钥密码构造, ​​通过 Fujisaki-Okamoto 变换达到 CCA 安全性, 并由 QROM 中的安全性证明提供支持。 在基于格的​​方案中, Frodo 的结构最少, 因此可能不太容易受到代数攻击。 LWE 本身就是对当今存在的密码学问题以及由此产生的潜在安全性的研究和分析, Frodo 的优势在所有指标上的表现都比其他基于格的预期差得多。 但是, 与其他保守派相比, Frodo 在性能优势方面仍有一些选择, 尤其是在密钥生成时间和公钥大小方面。 Frodo 团队在第二轮中添加了安全类别 5 的参数集。 确定将伪随机扩展移至密钥生成函数, 显然避免了上述故障攻击。 此外, Fujisaki-Okamoto 变换基于 QROM 安全性的新理论结果, 进行了一些简化。 此外, 在第二轮中, 对“带提示”的格算法的新理论分析表明, 针对 Frodo 的某些功率跟踪攻击比以前想象的要强大。 使用 FrodoKEM 对高流量 TLS 服务器具有显着的性能影响, 每个服务器都进行解封装, 最好花费近 200 万个周期来执行参数集 (FrodoKEM-640-AES) 并接收公钥和密钥(大约 20, 000 字节)用于每次新的密钥交换。 根据 NIST, FrodoKEM 可能适用于以下用例: 非结构化基于格的方案的安全性, 这比性能重要得多。 NIST 标准化的优先事项是让 KEM 在具有可接受的整体性能的广泛应用中使用。 因此, FrodoKEM 可能的标准化可能不会等到第三轮之后。 FrodoKEM 也可以用作保守备份, 在新案例中, 第三轮发现了结构化格的密码分析结果。 由于这些原因, FrodoKEM 没有被选为决赛选手, 而是作为候补名单之一。 3.7 HQCHQC是基于决策准循环综合评价强度的奇偶校验问题解码(QCSD)的基于代码的KEM。 该程序声称 CCA2 的安全性是基于对其解密失败率的严格分析。 在第二轮中, 对错误向量分布的新分析表明, 解密失败率低于之前的预期, 从而可以减小密钥大小。 总部团队还提出了一种使用串联 Reed-Muller 和 Reed-Solomon 码的新解码器, 以进一步减小公钥的大小。 即使减小了这些密钥大小, 生成的公钥和密钥也分别比 BIKE 大 1.6-2 和 4-5 倍。 虽然 HQC 的带宽超过了 BIKE, 但 HQC 的密钥生成和解封装功能比 BIKE 快得多。 在第三轮中, NIST 鼓励对具有奇偶性问题的 QCSD 的决策和搜索版本以​​及新参数集进行进一步研究。 社区还应继续调查对齐的循环代码结构所带来的安全性。 尽管 HQC 提供了强大的安全保证和精密的分析, 但其性能特征却被结构化的 lattice KEM 候选者所掩盖, 相对而言, 它在带宽指标方面与 BIKE 相比具有优势。 由于这些事实, NIST 没有选择 HQC 作为第一轮 NIST 标准的决赛入围者。 HQC 由于其安全性分析的彻底性而作为候选者而前进, 而另一个基于编码的强大 KEM BIKE 是候选者。 3.8NTRUPrimeNTRUPrime 是两个基于格的 KEM, StreamlinedNTRUPrime 和 NTRULPRIme 的集合, 它们共享许多设计元素, 但代数结构不同。 简化的 NTRUPrime 是在其公钥中具有商结构的“类 NTRU”KEM, 而 NTRULPRIme 是在其公钥中具有乘积结构的“类 RLWE”KEM。 简化的 NTRUPrime 在类似于经典 NTRU 的假设下是安全的, 而经典 NTRU 又基于密码防御分析的悠久历史。 NTRULPRIme 的设计, 以 Lyubashevsky、Peikert 和 Regev 为特色。 根据ABC小牛联盟的挖掘文件, 也是基于lattice 的算法, 由于其代数结构复杂, 更容易存在后门或安全隐患, 而 NTRUPrime 进行了简化, 但对于多变量仍然不够简洁。 最近关于基于格密码学的安全性的工作, 通过 Peikert、Regev 和 Stephens-Davidowitz 的工作“在精神上”涵盖了 NTRULPRIme。 NTRUPrime 没有解密失败, 因此不受解密失败提升攻击的影响。 通过 Fujisaki-Okamoto 型转换实现了 CCA 的安全性。 NTRU Prime 与其他结构化格 KEM 提议的核心区别在于, 它放弃了子环结构, 转而支持域 Zq[x]/(xp-x-1)。 这种选择的部分动机是最近在量子算法生成器中的工作, 用于在主理想格中找到短向量。 在第二轮中, 引入了两个新的参数集。 NTRUprime 的参数集, 目标安全强度等级 2、3 和 4。这导致比其他 CoreSVP 提交的安全强度 1、3 和 5 的值范围更窄。NIST 鼓励 NTRUprime 考虑扩大目标安全范围 通过包括第 5 类参数集来增强优势。 此外, 虽然 NTRUprime 的第 2 类参数集比大多数针对第 1 类、第 3 类和第 4 类的晶格方案具有至少一个更高的 CoreSVP 值, 但该参数集的安全类别非常激进, 以及它们是否真正满足其声称的安全类别 需要日后进一步确认。 NTRUPrime 晋级第三轮, 但没有进入决赛。 另一个原因是, NTRUPrime 对代数结构的独特选择, 可通过代数的新进展获得, 在第三轮中对环层结构进行密码分析, 前提是它打破了 NIST 对分圆结构的期望, 但显然没有扩展到 NTRUprime 的选择 Zq [x]/(xp-x-1)。 3.9 SIKESIKE在第二轮候选中是独一无二的——它是唯一基于:椭圆曲线的等基因方案。 SIKE 的主要优点之一是它具有所有加密和 KEM 方案中最小的公钥大小, 并且密钥大小非常小。 在第二轮更新中, SIKE 团队推出了一个更小(压缩)密钥的版本。 参数也很容易缩放。 第一轮状态报告根据进一步研究有用的领域确定了 SIKE 解决的基本安全问题。 在第一轮结束时, 一系列论文研究了相关的经典和黑盒量子攻击, 导致人们相信现有的参数集提供了比之前声称的更大的安全性。 因此, SIKE 团队能够减少第二轮使用的参数大小规范。 关于 SIKE 分析的一个警告:它的安全强度分配等级依赖于假设对手被限制在不超过 296 位。 虽然合理安全强度等级 1 和 2 的假设以及最大可实现电路深度等考虑表明, 在将参数集分配给等级 3 及以上时, 应考虑具有更多内存的对手。 独立于这个特定问题, NIST 认为 SIDH(超奇异全纯 Diffie-Hellman)问题的难度将继续受益于更多的学习。 SIKE 的主要缺点是它的性能(以时钟周期衡量)大约比它的许多竞争对手差一个数量级。 已经做了很多工作来优化实现, 包括压缩密钥版本, 希望这样的优化能继续下去。 虽然一些现有的旁路保护技术用于计算椭圆曲线上点的倍数, 但需要更多的计算和研究来保护完整的原始状态。 NIST 将 SIKE 视为未来标准化的有力候选者并继续改进, 因此选择 SIKE 作为第三轮的备选候选者。 有一些应用程序可以从 SIKE 的小密钥和密文大小中受益, 并且可能能够接受性能损失。 鼓励进一步研究基于同源的密码学。 3.10 LACLAC 是一个 KEM, 其安全性基于 RLWE 问题的难度。 LAC 有一个不同寻常的设计特点:它使用纠错码来“修复”解密失败。 这意味着LAC可以容忍更高的解密失败率, 即:允许它使用更小的模数, 从而提高性能。 但是, 需要注意确保这种设计不会导致安全漏洞。 在第一轮 NIST 标准化期间, 几位专家发布了对 LAC 的攻击, 使其安全性低于要求。 其中包括通过人为增加解密失败率的选择密文攻击和利用 LAC 中纠错程序的非恒定时间实现中的漏洞的边信道攻击。 LAC 随后被改性以抵抗开裂。 在第二轮中, 确定了一些较小的安全问题, 包括另一个涉及可变时间执行纠错程序的安全问题。 这些问题在 NIST 第一轮和第二轮标准化过程中公开的“官方评论”中有所描述。 NIST 担心 LAC 的密码分析似乎精确地涉及 LAC 的设计, 尤其是纠错的使用, 使其与大多数其他基于格的结构化方案相媲美。 尽管 LAC 已被修改以抵御这些攻击, 但 NIST 认为需要进一步研究以确信剩余 LAC 的设计中不存在漏洞。 因此, 尽管表现数据非常好, 但 LAC 并未入选第三轮。 3.11LEDAcrypt LEDAcrypt 包含了基于结构化编码的KEM, 并使用了类似BIKE 的加密构造方案。 LEDAcrypt 在一些设计决策上与 BIKE 不同。 特别是,

LEDAcrypt 将其参数集设计为比 BIKE 具有更严格的有界解密失败率。 因此, 对于 CCA 安全性的参数, 大约 60% 的带宽比 BIKE 大。 在第一轮和第二轮提交中, LEDAcrypt 的私人该键相对于 BIKE 的结构有额外的点。 与 BIKE 一样, 私钥由一个稀疏的准圆矩阵组成, 但在 LEDAcrypt 的情况下, 这个稀疏的准圆矩阵是通过将两个稀疏的准圆矩阵相乘得到的。 这种额外的结构使得在第二轮中被破解成为可能, 主要由一大类弱密钥组成, 其中修改的信息集解码导致更有效的密钥恢复攻击由提交承担。 提交者的回应是提出了一项对策, 以使结构与 BIKE 基本相同。 NIST 认为这是一个太大的修改, 无法考虑将该方案纳入第三轮。 由于这些原因, NIST 没有选择 LEDAcrypt。
        3.12 NewHope NewHope 是一个基于RLWE 问题假设难度的KEM。 其最初想法的核心是 Regev 对来自普通 LWE 的公钥加密, 但专门针对 2 的幂、子环结构、支持更小的密钥以及通过 NTT 快速计算密钥大小。 CCA 安全性是通过标准的 Fujisaki-Okamoto 转换实现的, 并得到经典和量子随机预言模型中的证明的支持。 在所有提交的基于 LWE 的格方案中, NewHope(和其他 RLWE 方案)可以被认为是最结构化的, MLWE 是中等结构的情况, plain LWE 是最差的结构情况。 由于这种结构, 该方案适用于几乎所有应用。 从技术上讲, NewHope 的安全性永远不会比 KYBER 好。 实际情况是, 根据ABC小牛联盟的深度挖掘,

NewHope的算法虽然不错, 但在参数调整和技术表现上, 却没有做好充分的准备,

并没有展现出最好的表现。 最近的论文提出了从 RLWE 到 MLWE 的高度参数化的、本质上线性的时间递减。 如果这个减量是特定于 NewHope 的情况, 人们会发现以下内容:减少 RLWE 实例并输出一个 MLWE 实例; 它是模保留的; 它“几乎”是样本保存; 它的误差分布保持; 它把 RINGRLWE 的维度转换为 MLWE 的环维度乘以模块级别的乘积。 因此, 对底层 MLWE 实例的任何攻击都意味着与 NewHope 底层 RLWE 实例的成本基本相似的攻击。 有一些小警告。 然而, NIST 并不认为这些问题会实质性地改变 NewHope 相对特定的安全特性, 而 KYBER 等 MLWE 方案的存在表明这种紧凑性和效率是存在的。 此外, NIST 观察到 NewHope 和 KYBER 的 CoreSVP 优势,

据估计它们基本具有可比性, KYBER 在大多数基准测试中的效率略高。 尽管 NewHopeKEM 提案有许多优点, 但 NIST 开发了一个稍微但 KYBER 和低在 KEM 应用程序设置中, 秩 MLWE 方案明显优于 RLWE 方案。 因此, NIST 没有选择新希望进入第三轮。 3.13NTS-KEMNTS-KEM 提交于 2020 年 2 月与 ClassicMcEliece 合并。两个规范非常相似。 合并后的团队选择采用 ClassicMcEliece 的规范以及合并提交的名称。 NIST 对两个提交团队合作的意愿表示赞赏。 3.14 ROLLO 在第 2 轮开始时, ROLLO 由三个基于秩度量编码的 KEM 组成,

其中安全性基于秩综合征解码 (RSD) 问题。 第一轮报告指出, 对 RSD 的代数攻击的强度尚不清楚, 应该进行探索。 从那时起, 新的代数裂缝已经浮出水面, 将解码问题建模为使用来自扩展域结构的方程求解的多元方程系统。 最近的代数攻击比结合 ROLLO 中给出的参数集更有效, 导致所有三个 KEMS 几乎完全中断。 所有ROLLO II和III的安全级别都降低到128位以下, 而ROLLOI的5类参数降低到1类安全。
        提出了一组新的参数, 从而产生了实现 CPA 安全性的新 ROLLOI 方案和实现 CCA 安全性的 ROLLOII 方案, 均具有类别 1、3 和 5 安全级别。 新的 ROLLOI 公钥和私钥比以前大了很多, 尽管它们仍然比 RQC 小得多。 虽然新密钥和密钥大小仍然具有竞争力, 但 ROLLO 的安全分析需要更多时间才能成熟。 NIST 没有选择 ROLLO 来推进 PQC 标准化过程。
        尽管代数攻击得到了发展, 但 NIST 认为应该继续研究基于层次的密码学。 秩度量密码系统为传统的汉明度量提供了一个很好的替代方案。 3.15Round5Round5 是一种基于格的方案, 可提供针对各种用例优化的参数集。 安全性基于对舍入问题的(环)学习。 纠错码 XEf 用于纠正解密失败, 类似于 LAC 使用的技术, CCA 安全性是通过应用 Fujisaki-Okamoto 变换来实现的。 Round5 在带宽要求和处理时间方面的表现都令人印象深刻。 Round5 的统一设计, 允许在环或非环设置中对其进行实例化。 Round5 的安全性在第二轮中被更仔细地分析, 导致了两次轻微的违规行为。 因此, 该团队对提议的参数集进行了小幅更新, 以防止这些攻击。 第二轮 Round5 指定使用 TupleHash 和 TupleHashXOF 来保证域分离。 还进行了一些小的修改, 以进一步优化 Round5 的实现并防止侧信道攻击。 总体而言, Round5 规范优于所有其他第二轮候选者复杂得多。 此外, 第 5 轮提交不提供专利豁免许可, 并且存在基于格的​​竞争方案。 Round5 中的矩阵 A 是使用三种不同的技术从短种子确定性地生成的, 在 {0, 1, 2} 中由 τ 参数化。 NIST 仅对其中一种技术的安全性有信心(τ=0), 并指出其他两种技术没有安全性证据。 由于上述原因, NIST 认为第 5 轮不会比第 3 轮更有希望选择基于网格的决赛选手。 NIST 试图将社区的注意力集中在少数算法上, 因此需要减少结构化格方案的数量。 因此, 尽管Round5表现不错, 但并未入选晋级。 3.16 RQCRQC 是一种基于结构化秩度量编码的 KEM, 具有基于 RSD 问题的安全性, 用于 IND-CCA 安全性。 RQC 与ROLLO 的不同之处在于它使用了一个通用的纠错码, 而不是NTRU 的使用类似LWE 的结构的结构。 这使得 RQC 的解密失败率为零, 但它也需要比任一变体更大的密文 Rollo。 第一轮报告指出, 针对 RSD 的代数攻击的强度还不是很清楚, 应该进行探索。 从那时起, 新的代数攻击已经浮出水面, 通过将解码问题建模为多变量方程系统扩展域结构来解决解码问题。 与 RQC 第 2 轮规范中给出的参数集的组合方法相比, 最近的代数攻击导致几乎完全中断。 RQC 的所有安全级别都降低到 128 位安全以下。 提出了一个新的参数集, 以提供足够的安全性来抵御代数攻击。 这导致密钥和密文的大小比第二轮开始时大一倍多。 尽管新的密钥和密文大小仍然具有竞争力(虽然不如 ROLLO), 但 RQC 的安全分析需要更多时间才能成熟。 NIST 没有选择 RQC 来推进 PQC 标准化过程。 尽管代数攻击得到了发展, 但 NIST 认为应该继续研究基于层次的密码学。 秩度量密码系统为传统的汉明度量提供了一个很好的替代方案, 具有可比带宽的代码。 3.17 ThreeBearsThreeBears 是一个 KEM, 其安全性基于整数模块整数强度容错学习 (I-MLWE) 问题, 这是 MLWE 问题的一个新变体。 更具体地说, 从 KYBER 和相关改进中, 随着时间的推移设计了一种类似 MLWE 的设计范式。 ThreeBears 是“TwoBears”之一, 是无环晶格 KEM 的候选示例。 在选定的 ThreeBears 中, 模结构后面的多项式环与整数同构, 模广义梅森素数, 并且环的元素在提供的实现中简单地写为(大)整数。 该方案还在所有参数集中使用内部 Melas 前向纠错码。 总而言之, 这成为一种有效的解决方案。 在第二轮, 提交文件在安全证明草图更新为官方证明。 此外, 为了降低解密失败率, 以及对限速的详细分析, 稍微修改了参数。 在第二轮调整后规范中强制执行了隐式拒绝。 NIST 指出安全性有所降低, 这证明了渐近安全性等同于 RLWE 和 Integer-RLWE 的通常概念, 并且该证明似乎直接适用于 MLWE 和 I-MLWE 的情况。 然而, NIST 指出, I-MLWE 强度假设(其本质上是为提交给 NISTPQC 标准过程而创建的)尚未经过更广泛的密码学研究社区的充分审查。 尽管 I-MLWE 和 MLWE 之间存在递减, 但仍然存在特定破解的可能性, 利用未完全捕获的 I-MLWE 结构的安全性降低或其他可能尚未发现的新问题。 同样, 似乎整个 ThreeBears 提交包似乎没有被第三方研究人员、其他 KEM 提交, 尤其是其他 lattice KEM 提交所忽视。 虽然 NIST 认为 ThreeBears 的技术和科学价值很重要,

但它并不是替代足够广泛的社区关注的门槛。 因此 NIST 选择不将 ThreeBears 纳入标准化考虑, 因为还有其他具有可比安全性和性能的选项。 以上是ABC小牛联盟支持翻译的公钥候选的简要分析。

Copyright © 2002-2016 贵阳贸易有限公司 guiyangmaoyiyouxiangongsi ,All Rights Reserved (mcleskovac.com) ICP备案号:辽T3-20165757