艾米、马修;奥利维亚·迪·马特奥;弗拉德·乔尔吉;米歇尔·莫斯卡;父母,亚历克斯;约翰·申克 估计针对SHA-2和SHA-3的通用量子预图像攻击的成本。 (英语) Zbl 1418.94028号 Avanzi,Roberto(编辑)等人,《密码学选定领域——SAC 2016》。第23届国际会议,2016年8月10日至12日,加拿大北卡罗来纳州圣约翰。修订了选定的论文。查姆:斯普林格。莱克特。注释计算。科学。10532, 317-337 (2017). 摘要:我们研究了Grover量子搜索算法在对SHA-2和SHA-3系列散列函数进行图像前攻击时的成本。我们的成本模型假设攻击是在基于表面代码的容错量子计算机上进行的。我们的估计依赖于一个时区度量,其代价是逻辑量子位的数量乘以以表面代码周期为单位的电路深度。由于表面代码周期涉及重要的经典处理阶段,我们的成本估算允许对经典算法和量子算法进行粗略但直接的比较。{}我们展示了一个对SHA-256进行预映像攻击的电路,该电路的表面代码深度约为(2^{153.8})个,并且需要大约(2^}12.6})逻辑量子位。这产生了\(2^{166.4}\)个逻辑量子周期的总成本。同样,我们展示了一个SHA3-256电路,它大约有\(2^{146.5}\)个表面码周期深,并且需要大约\(2^{20}\)个逻辑量子位,总成本再次为\(2^{166.5}\)个逻辑量子位周期。这两种攻击都需要在量子黑盒模型中按(2^{128})个查询的顺序执行,因此我们的结果表明,执行这些攻击的成本可能比简单查询分析的成本高出2750亿倍。关于整个系列,请参见[Zbl 1378.94001号]. 引用于23文件 MSC公司: 94A60型 密码学 81页94 量子密码术(量子理论方面) 关键词:后量子密码术;散列函数;图像前攻击;对称密码原语 PDF格式BibTeX公司 XML格式引用 \textit{M.Amy}等人,Lect。注释计算。科学。10532317--337(2017;Zbl 1418.94028) 全文: 内政部 arXiv公司 参考文献: [1] Shor,PW,量子计算机上素因式分解和离散对数的多项式时间算法,SIAM J.Compute。,26, 5, 1484-1509 (1997) ·Zbl 1005.11065号 ·doi:10.1137/S009753979529393172 [2] Boneh,D。;利普顿,RJ;Coppersmith,D.,隐藏线性函数的量子密码分析,密码学进展-CRYPT0'95,424-437(1995),海德堡:Springer,Heidelberg·Zbl 0876.94023号 ·doi:10.1007/3-5440-44750-4_34 [3] 格罗弗,LK,量子力学帮助大海捞针,物理。修订稿。,79, 325-328 (1997) ·doi:10.1103/PhysRevLett.79.325 [4] Boyer,M.,Brassard,G.,Höyer,P.,Tapp,A.:量子搜索的严格界限。《物理学报》46(4-5),493-505(1998)。doi:10.1002/(SICI)1521-3978(199806)46:4/5<493::AID-PROP493>3.0.CO;2-P型 [5] Gilles,B.,Peter,H.,Michele,M.,Alain,T.:量子振幅放大和估计。量子计算。《量子信息》305,53-74(2002)。电子打印arXiv:quant-ph/0005055。Lomonaco Jr.,S.J.(编辑)AMS当代数学·Zbl 1063.81024号 [6] 美国国家安全局:NSA Suite B Cryptography-NSA/CSS。国家安全局。https://www.nsa.gov/ia/programs/suiteb_cryptography/ [7] Chen,L.、Jordan,S.、Liu,Y.K.、Moody,D.、Peralta,R.、Perlner,R.和Smith-Tone,D.:后量子加密报告。国家标准与技术研究所内部报告81052016年2月 [8] Lenstra,A.K.:密钥长度。摘自:《信息安全手册》。威利(2004) [9] 阿拉斯加州伦斯特拉;Verheul,ER,选择加密密钥大小,J.Cryptol。,2015年4月14日-293(2001年)·Zbl 1006.94020号 ·doi:10.1007/s00145-001-0009-4 [10] Blaze,M.、Diffie,W.、Rivest,R.、Schneier,B.、Shimomura,T.、Thompson,E.、Weiner,M.:对称密码的最小密钥长度,以提供足够的商业安全。技术报告,密码学家和计算机科学家特设小组(1996年) [11] 艾米,M。;马斯洛夫,D。;Mosca,M.,通过拟阵划分对Clifford+t电路进行多项式时间t-深度优化,IEEE Trans。计算-辅助设计。集成。电路系统。,33, 10, 1476-1489 (2014) ·doi:10.1109/TCAD.2014.2341953 [12] Grassl,M.、Langenberg,B.、Roettler,M.和Steinwandt,R.:将Grover算法应用于AES:量子资源估算,电子打印arXiv:1512.04965[quant-ph]·Zbl 1405.81026号 [13] 福勒公司;Mariantoni,M。;马丁尼斯,吉咪;克莱兰德,AN,《表面代码:走向实用的大规模量子计算》,《物理学》。版本A,86,032324(2012)·doi:10.103/物理版A.86.032324 [14] 福勒公司;怀特塞德,AC;Hollenberg,LCL,面向表面代码的实用经典处理:时序分析,Phys。版本A,86,4,042313(2012)·doi:10.1103/PhysRevA.86.042313 [15] 福勒公司;Mariantoni,M。;JM马提尼丝;克莱兰德,AN,《表面代码:走向实用的大规模量子计算》,《物理学》。版本A,86,3,032324(2012)·doi:10.1103/PhysRevA.86.032324 [16] 福勒公司;怀特塞德,AC;Hollenberg,LCL,面向表面代码的实用经典处理,Phys。修订稿。,108, 18, 180501 (2012) ·doi:10.1103/PhysRevLett.108.180501 [17] Fowler,A.G.:平均并行时间内容错拓扑量子纠错的最小重量完美匹配。arXiv:1307.1740[quant-ph],2013年7月 [18] 采矿硬件比较。比特币维基,2015年9月。https://en.bitcoin.it/wiki/Mining_hardware_comparison。2016年3月30日访问 [19] Bernstein,D.J.,Lange,T.(编辑):eBACS:加密系统的ECRYPT基准测试。http://bench.cr.yp.to。2016年3月30日访问 [20] Selinger,P.:深度1的量子电路。物理学。版本A,87,042302(2013)。doi:10.1103/PhysRevA.87.042302 [21] NIST:联邦信息处理标准出版物180-2(2002)。另请参阅维基百科条目http://en.wikipedia.org/wiki/SHA-2 [22] Parent,A.,Roettler,M.,Svore,K.M.:具有空间约束的可逆电路编译。arXiv预印arXiv:1510.00377(2015)·Zbl 1487.68108号 [23] Cuccaro,S.A.,Draper,T.G.,Kutin,S.A.,Moulton,D.P.:一种新的量子波纹进位加法电路。arXiv预打印arXiv:quant-ph/0410184(2004) [24] 艾米,M。;马斯洛夫博士。;莫斯卡,M。;Roettler,M.,《用于深度最优量子电路快速合成的中间相遇算法》,IEEE Trans。计算-辅助设计。集成。电路系统。,32, 6, 818-830 (2013) ·doi:10.1109/TCAD.2013.244643 [25] NIST:联邦信息处理标准出版物202(2015)。另请参阅维基百科条目http://en.wikipedia.org/wiki/SHA-3 [26] Bertoni,G.、Daemen,J.、Peeters,M.、Assche,G.V.:海绵功能。In:2007年加密哈希研讨会,2007年5月 [27] Bennett,CH,计算的逻辑可逆性,IBM J.Res.Dev.,17,525-532(1973)·Zbl 0267.68024号 ·doi:10.1147/rd.176.0525 [28] Bennett,CH,可逆计算的时间/空间权衡,SIAM J.Compute。,18, 766-776 (1989) ·Zbl 0676.68010号 ·数字对象标识代码:10.1137/0218053 [29] Bertoni,G.、Daemen,J.、Peeters,M.、Assche,G.V.:KeccakTools软件,2012年4月。http://keccak.noekeon.org/ [30] Amy,M.,Parent,A.,Roettler,M.:ReVerC软件,2016年9月。https://github.com/msr-quarc/ReVerC [31] Amy,M.、Roettler,M.和Svore,K.M.:经验证的节省空间的可逆电路汇编。arXiv预印arXiv:1603.01635(2016)·Zbl 1494.68045号 [32] 布拉维,S。;Kitaev,A.,《具有理想Clifford门和噪声Ancillas的通用量子计算》,Phys。版本A,71,022316(2005)·Zbl 1227.81113号 ·doi:10.1103/PhysRevA.71.022316 [33] Fowler,A.G.、Devitt,S.J.、Jones,C.:块代码状态蒸馏的表面代码实现。《科学报告》3,1939 EP-(2013)。doi:10.1038/srep.01939 此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。