×

打破LWC候选:量子设置中的sESTATE和Elephant。 (英语) 兹比尔1466.94038

摘要:国家标准与技术研究所(NIST)发起的轻量级加密(LWC)竞赛是一个正在进行的项目,要求轻量级加密算法的标准化。《轻量级密码报告》明确要求,当需要长期安全时,提交的文件必须是量子安全的。然而,这并没有包括在“轻型密码标准化过程的提交要求和评估标准”中。因此,包括sESTATE和Elephant在内的大多数候选人都没有就量子攻击的安全性提出任何要求。我们建议对第二轮候选进行量子密钥恢复攻击。sESTATE是一种受SUNDAE启发的认证加密模式,如[S.巴尼克等,“SUNDAE:物联网的小型通用确定性认证加密”,IACR Trans。对称加密。2018年,第3期,1-35页(2018;doi:10.13154/tosc.v2018.i3.1-35)]. 它声称对手无法获得有关简化的可调整分组密码的信息。然而,我们表明量子对手可以提取内部值,从而对唯一推荐的方案进行密钥恢复攻击,sESTATE_TweAES-128-6,使用\(2^{42.3}\)Q2查询,时间相当于\(2 ^{52}\)AES加密。从技术上讲,该攻击是基于量子提取方法和量子平方攻击的组合。对于大象模式,其内部使用由线性反馈移位寄存器(LFSR)屏蔽的置换,类似于中提出的屏蔽Even-Mansour构造[R.格兰杰等人,Lect。注释计算。科学。9665, 263–293 (2016;Zbl 1384.94065号)],我们基于十、邦内坦等【“AES的量子安全分析”,IACR Trans.Symmetric Cryptol.2019,No.2,55–93(2019;doi:10.13154/tosc.v2019.i2.55-93)],这取决于没有叠加查询的Simon算法和Grover算法。我们的攻击是通用的,与内部排列无关;因此,我们在经典查询和量子查询之间进行权衡,获得了对所有实例的量子攻击。值得注意的是,这两种推荐实例的攻击复杂性都低于对密钥的一般量子攻击,即在时间\(\mathcal{O}({2}^{|K|/{2}})\)和\(\mathcal{0}(1)\)查询中。

MSC公司:

94A60型 密码学
81页94 量子密码术(量子理论方面)
PDF格式BibTeX公司 XML格式引用
全文: 内政部

参考文献:

[1] Alagic G.,Russell A.:基于隐藏移位的量子安全对称密钥加密。摘自:《密码学进展》——EUROCRYPT 2017-36第36届密码技术理论与应用年度国际会议,2017年4月30日至5月4日,法国巴黎,《会议记录》,第三部分,第65-93页(2017年)。doi:10.1007/978-3-319-56617-73·Zbl 1394.94924号
[2] Anand M.V.、Targhi E.E.、Tabia G.N.、Unruh D.:CBC、CFB、OFB、CTR和XTS操作模式的量子后安全性。摘自:《量子密码术后——第七届国际研讨会》,PQCrypto 2016,日本福冈,2016年2月24日至26日,会议记录,第44-63页(2016)。doi:10.1007/978-3-319-29360-84·Zbl 1405.81023号
[3] Andreeva E.、Bogdanov A.、Luykx A.、Mennink B.、Mouha N.、Yasuda K.:如何在经过身份验证的加密中安全地释放未经验证的明文。收录于:《密码学进展——2014年第20届亚洲密码与信息安全理论与应用国际会议》,2014年12月7日至11日,台湾高雄。《会议记录》,第一部分,第105-125页(2014年)。doi:10.1007/978-3-662-45611-8_6·Zbl 1306.94021号
[4] Banik S.、Bogdanov A.、Luykx A.、Tischhauser E.:SUNDAE:物联网的小型通用确定性认证加密。IACR事务处理。对称加密。2018(3), 1-35 (2018). doi:10.13154/tosc.v2018.i3.1-35。
[5] 贝拉雷,M。;Namprempre,C.,认证加密:概念之间的关系和通用组合范式的分析,J.Cryptol。,21, 4, 469-491 (2008) ·Zbl 1161.94435号 ·doi:10.1007/s00145-008-9026-x
[6] Bernstein D.J.:Wegman-Carter-Shoup验证器的更强安全边界。收录于:《密码学进展-2005年欧洲密码》,第24届密码技术理论与应用国际年会,丹麦奥胡斯,2005年5月22日至26日,会议记录,第164-180页(2005)。doi:10.1007/11426639_10·Zbl 1137.94364号
[7] Bertoni G.、Daemen J.、Peeters M.、Assche G.V.:凯克。加密电子打印存档。报告2015/389(2015)。http://eprint.iacr.org/2015/389。
[8] Beyne T.、Chen Y.L.、DobraunigC.、。,Mennink B.:大象1.1版。提交轻型密码竞赛(2019年)。https://csrc.nist.gov/csrc/media/Projects/lightweight-cryptography/documents/round-2/spec-doc-rnd2/elephant-spec-round2.pdf。
[9] 布莱克,J。;Rogaway,P.,任意长度消息的CBC macs:三键结构,J.Cryptol。,18, 2, 111-131 (2005) ·Zbl 1084.68045号 ·doi:10.1007/s00145-004-0016-3
[10] Bogdanov A.、Knezevic M.、Leander G.、Toz D.、Varici K.、Verbauwhede I.:海绵:轻量级散列函数。2011年9月28日至10月1日,日本奈良,密码硬件和嵌入式系统-CHES 2011-13国际研讨会。《会议记录》,第312-325页(2011年)。doi:10.1007/978-3642-23951-921·Zbl 1365.94406号
[11] Boneh,D.,Zhandry,M.:量子计算世界中的安全签名和选择密文安全。2013年8月18日至22日,美国加利福尼亚州圣巴巴拉,密码学进展-2013年第33届年度密码学会议。《会议记录》,第二部分,第361-379页(2013年)。doi:10.1007/978-3642-40084-121·Zbl 1317.81074号
[12] Bonnetain,X.:全AEZ上的量子密钥恢复。2017年8月16日至18日,加拿大安大略省渥太华市,《密码学选定领域——SAC 2017-24国际会议》,修订论文集,第394-406页(2017)。doi:10.1007/978-3-319-72565-9_20·Zbl 1384.94037号
[13] Bonnetain,X.,Hosoyamada,A.,Naya-Plasencia,M.,Sasaki,Y.,Schrottenloher,A.:无叠加查询的量子攻击:离线simon算法。收录于:《密码学进展——2019-25年亚洲密码与信息安全理论与应用国际会议》,2019年12月8日至12日,日本神户,《会议记录》,第一部分,第552-583页(2019年)。doi:10.1007/978-3-030-34578-5-20·兹比尔1456.94052
[14] Bonnetain X.,Jaques S.:实践中对称基元的量子周期发现。IACR加密。电子打印架构。2020, 1418. (2020). https://eprint.iacr.org/2020/1418。
[15] Bonnetain X.,Naya-Plasencia M.,Schrottenloher A.:AES的量子安全分析。IACR事务处理。对称加密。2019(2), 55-93 (2019). doi:10.13154/tosc.v2019.i2.55-93·兹比尔1453.94062
[16] Brassard G.、Hoyer P.、Mosca M.、Tapp A.:量子振幅放大和估计。AMS目录。数学。序列号。(2000年)。doi:10.1090/conm/305/05215·Zbl 1063.81024号
[17] Canteaut A.、Duval S.、Leurent G.、Naya-Plasencia M.、Perrin L.、Pornin T.、Schrottenloher A.:Saturnin:一套用于量子后安全的轻量级对称算法。提交轻量级密码学竞赛(2019)。https://csrc.nist.gov/csrc/media/Projects/lightweight-cryptography/documents/round-2/spec-doc-rnd2/saturnin-spec-round2.pdf。
[18] Chakraborti A.、Datta N.、Jha A.、Lopez C.M.、Nandi M.、Sasaki Y.:房地产。提交轻型密码竞赛(2019年)。https://csrc.nist.gov/csrc/media/Projects/lightweight-cryptography/documents/round-2/spec-doc-rnd2/estate-spec-round2.pdf。
[19] Daemen J.,Rijmen V.:AES提案:rijndael(1998)·兹比尔1065.94005
[20] Daemen J.,Rijmen V.:Rijndael的设计:AES-高级加密标准。信息安全和加密。斯普林格。(2002). doi:10.1007/978-3-662-04722-4·兹比尔1065.94005
[21] Ferguson N.、Kelsey J.、Lucks S.、Schneier B.、Stay M.、Wagner D.A.、Whiting D.:改进了rijndael的密码分析。摘自:《快速软件加密》,第七届国际研讨会,FSE 2000,美国纽约州纽约市,2000年4月10日至12日,会议记录,第213-230页。(2000年)。doi:10.1007/3-540-44706-7_15·Zbl 0994.68631号
[22] Granger R.、Jovanovic P.、Mennink B.、Neves S.:改进可调整块密码的屏蔽,并应用于认证加密。摘自:《密码学进展——2016年欧洲密码》第35届国际密码技术理论与应用年会,2016年5月8日至12日,奥地利维也纳,会议记录,第一部分,第263-293页(2016)。doi:10.1007/978-3662-49890-311·Zbl 1384.94065号
[23] Grassl M.、Langenberg B.、Roettler M.、Steinwandt R.:将grover算法应用于AES:量子资源估算。摘自:《量子密码术后——第七届国际研讨会》,PQCrypto 2016,日本福冈,2016年2月24日至26日,《会议记录》,第29-43页(2016)。doi:10.1007/978-3-319-29360-83·Zbl 1405.81026号
[24] Grover L.K.:用于数据库搜索的快速量子力学算法。载:《美国计算机学会第二十八届年度计算理论研讨会论文集》,美国宾夕法尼亚州费城,1996年5月22日至24日,第212-219页。(1996). doi:10.1145/237814.237866·Zbl 0922.68044号
[25] Hosoyamada A.,Sasaki Y.:量子非晶态selçuk在中间相遇攻击:6轮通用feistel结构的应用。收录于:《网络安全与加密——第十一届国际会议》,SCN 2018,意大利阿马尔菲,2018年9月5-7日,《会议记录》,第386-403页(2018)。doi:10.1007/978-3-319-98113-0_21·Zbl 1514.81107号
[26] Kaplan M.、Leurent G.、Leverirer A.、Naya-Plasencia M.:使用量子周期发现打破对称密码系统。2016年8月14日至18日,美国加利福尼亚州圣巴巴拉市,《密码学进展》,第二部分,第207-237页(2016)。doi:10.1007/978-3662-53008-58·Zbl 1391.94766号
[27] Kaplan M.,Leurent G.,Leverrier A.,Naya Plasencia M.:量子微分和线性密码分析。IACR事务处理。对称加密。2016(1), 71-94 (2016). doi:10.13154/tosc.v2016.21.71-94·兹比尔1391.94766
[28] Kuwakado H.,Morii M.:三轮feistel密码和随机置换之间的量子区分。摘自:IEEE信息理论国际研讨会,ISIT 2010年6月13日至18日,美国德克萨斯州奥斯汀,会议记录,第2682-2685页。(2010). doi:10.1109/ISIT.2010.5513654。
[29] Kuwakado H.,Morii M.:量子型偶感密码的安全性。摘自:《信息理论及其应用国际研讨会论文集》,ISITA 2012,美国夏威夷州火奴鲁鲁,2012年10月28日至31日,第312-316页。(2012). http://ieeexplore.ieee.org/document/6400943/
[30] Leander G.,May A.:格罗弗遇到西蒙,定量攻击fx结构。收录于:《密码学进展——2017-233年密码学和信息安全理论与应用国际会议》,中国香港,2017年12月3-7日,《会议记录》,第二部分,第161-178页(2017)。doi:10.1007/978-3-319-70697-96·Zbl 1380.94109号
[31] McKay K.A.、Bassham L.、Turan M.S.、Mouha N.:Nistir 8114轻量级加密报告。In:技术报告,美国商务部,国家标准与技术研究所(2017)
[32] NIST:分组密码操作模式建议:方法和技术。NIST特别出版物800-38A(2001)
[33] NIST:后量子密码术。量子密码术后标准化(2016)。https://csrc.nist.gov/Projects/post-quantum-cryptography网站
[34] NIST:轻量级加密。提交轻型密码竞赛(2017年)。https://www.nist.gov/programs-projects/lightweight-cryptography网站
[35] Rogaway,P.,Shrimpton,T.:密钥捕获问题的可证明安全性处理。载:《密码学进展》,2006年欧洲密码技术年会,第25届加密技术理论与应用国际年会,2006年5月28日至6月1日,俄罗斯圣彼得堡,会议记录,第373-390页。(2006). doi:10.1007/11761679_23·Zbl 1140.94369号
[36] Shor P.W.:《量子计算算法:离散对数和因子分解》,载于:第35届计算机科学基础年会,美国新墨西哥州圣达菲,1994年11月20日至22日,第124-134页(1994)。doi:10.1109/SFCS.1994.365700。
[37] Shoup V.:关于基于通用散列的快速且可证明安全的消息认证。1996年8月18日至22日,美国加利福尼亚州圣巴巴拉市,第16届国际密码学年会,《密码学进展》,第313-328页(1996)。doi:10.1007/3-540-68697-5_24·Zbl 1329.94087号
[38] 西蒙·D·R:关于量子计算的力量。1994年11月20日至22日,美国新墨西哥州圣达菲,第35届计算机科学基础年度研讨会,第116-123页(1994年)。doi:10.1109/SFCS.1994.365701。
[39] 明尼苏达州韦格曼;Carter,L.,《新散列函数及其在身份验证和集合相等中的使用》,J.Compute。系统。科学。,22, 3, 265-279 (1981) ·兹比尔0461.68074 ·doi:10.1016/0022-0000(81)90033-7
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。