Standardizace post-kvantové kryptografie - Post-Quantum Cryptography Standardization

Standardizace post-kvantové kryptografie je projekt od NIST standardizovat postkvantová kryptografie.[1] Bylo předloženo 23 podpisových schémat, 59 schémat šifrování / KEM[2] do počáteční lhůty pro podání přihlášek na konci roku 2017, z nichž bylo 69 považováno za úplné a správné a zúčastnilo se prvního kola. Sedm z nich postoupilo do třetího kola, které bylo oznámeno 22. července 2020 (čtyři šifrování / klíč založení a tři podpisové režimy).

Pozadí

Zpráva zveřejněná NIST z dubna 2016 uvádí odborníky, kteří uznávají možnost kvantové technologie vykreslit běžně používané RSA algoritmus nejistý do roku 2030.[3] Výsledkem je potřeba standardizace kvantově zabezpečené vznikly kryptografické primitivy. Jelikož většinu symetrických primitiv lze relativně snadno upravit způsobem, který je činí kvantově rezistentními, zaměřila se snaha na kryptografii veřejného klíče, a to digitální podpisy a klíčové zapouzdřovací mechanismy. V prosinci 2016 zahájila NIST standardizační proces vyhlášením výzvy k podávání návrhů.[4]

Soutěž je nyní ve třetím kole z očekávaných čtyř, kde jsou v každém kole některé algoritmy vyřazeny a jiné jsou studovány pečlivěji. NIST doufá, že zveřejní standardizační dokumenty do roku 2024, ale může urychlit proces, pokud dojde k zásadním průlomům kvantové výpočty jsou vyrobeny.

V současné době není rozhodnuto, zda budou budoucí standardy zveřejněny jako FIPS nebo jako NIST Special Publication (SP).

První kolo

Uvažovány byly:[5]
(přeškrtnuto znamená, že byla stažena)

TypPKE / KEMPodpisPodpis a PKE / KEM
Mříž
  • Kompaktní LWE
  • CRYSTALS-KYBER
  • Výměna klíčů Ding
  • EMBLEM a R.EMBLEM
  • FrodoKEM
  • HILA5 (stažen a sloučen do Round5)
  • KCL (pka OKCN / AKCN / CNKE)
  • KINDI
  • LAC
  • LIMA
  • Ještěrka
  • LOTUS
  • Nová naděje
  • NTRUEncrypt[6]
  • NTRU-HRSS-KEM
  • NTRU Prime
  • Zvláštní Manhattan
  • 2. kolo (stažen a sloučen do Round5)
  • Round5 (sloučení Round2 a Hila5, oznámeno 4. srpna 2018)[7]
  • ŠAVLE
  • Tři medvědi
  • Titan
Na základě kódu
  • VELKÉ TŘASENÍ
  • KOLO
  • Klasické McEliece
  • DAGS
  • Edon-K
  • HQC
  • JEZERO (stažen a sloučen do ROLLO)
  • LEDAkem
  • LEDApkc
  • Lepton
  • ZÁMEK (stažen a sloučen do ROLLO)
  • McNie
  • NTS-KEM
  • ROLLO (fúze společností Ouroboros-R, LAKE a LOCKER) [8]
  • Ouroboros-R (stažen a sloučen do ROLLO)
  • QC-MDPC KEM
  • Ramstake
  • RLCE-KEM
  • RQC
  • pqsigRM
  • RaCoSS
  • RankSign
Hash-based
  • Gravitační SPHINCS
  • SPHINCS +
Vícerozměrný
  • CFPKM
  • Giophantus
  • DualModeMS
  • GeMSS
  • Gui
  • HiMQ-3
  • LUOV
  • MQDSS
  • Duha
  • SRTPI
  • DME
Prýmková skupina
  • WalnutDSA
Supersingulární eliptická křivka isogeny
  • SIKE
Satirické podřízení
jiný
  • Hádej znovu
  • HK17
  • Mersenne-756839
  • RVB
  • Piknik

První kolo zveřejněné útoky

  • Hádejte znovu od Lorenza Pannyho [11]
  • RVB od Lorenza Pannyho[12]
  • RaCoSS od Daniel J. Bernstein, Andreas Hülsing, Tanja Lange a Lorenz Panny[13]
  • HK17 Daniel J. Bernstein a Tanja Lange[14]
  • SRTPI od Bo-Yin Yang[15]
  • WalnutDSA
    • Ward Beullens a Simon R. Blackburn[16]
    • Matvei Kotov, Anton Menshov a Alexander Ushakov[17]
  • DRS Yang Yu a Léo Ducas [18]
  • DAGS od Elise Barelli a Alaina Couvreura[19]
  • Edon-K Matthieu Lequesne a Jean-Pierre Tillich[20]
  • RLCE Alain Couvreur, Matthieu Lequesne a Jean-Pierre Tillich[21]
  • Hila5 Daniel J. Bernstein, Leon Groot Bruinderink, Tanja Lange a Lorenz Panny[22]
  • Giophantus od Warda Beullense, Woutera Castrycka a Frederika Vercauterena[23]
  • RankSign od Thomase Debris-Alazarda a Jean-Pierre Tillicha [24]
  • McNie od Philippe Gaborit [25]; Terry Shue Chien Lau a Chik How Tan [26]

Druhé kolo

Kandidáti postupující do druhého kola byli vyhlášeni 30. ledna 2019. Jsou to:[27]

TypPKE / KEMPodpis
Mříž
Na základě kódu
Hash-based
Vícerozměrný
Supersingulární eliptická křivka isogeny
Důkazy nulových znalostí

Třetí kolo

22. července 2020 NIST oznámila sedm finalistů („první skladba“) a osm alternativních algoritmů („druhá skladba“). První skladba obsahuje algoritmy, které vypadají, že mají největší příslib, a ke standardizaci budou zváženy na konci třetího kola. Algoritmy ve druhé stopě by se i po skončení třetího kola mohly stát součástí standardu.[48] NIST očekává, že někteří z alternativních kandidátů budou zváženi ve čtvrtém kole.

Finalisté

TypPKE / KEMPodpis
Mříž[A]
Na základě kódu
Vícerozměrný

Alternativní kandidáti

TypPKE / KEMPodpis
Mříž
  • FrodoKEM
  • NTRU Prime
Na základě kódu
  • KOLO
  • HQC
Hash-based
  • SPHINCS +
Vícerozměrný
  • GeMSS
Supersingulární eliptická křivka isogeny
  • SIKE
Důkazy nulových znalostí
  • Piknik

Po celou dobu soutěže, zejména poté NIST oznámení týkající se finalistů a náhradních kandidátů zazněly různé obavy o duševní vlastnictví, zejména okolní systémy založené na mřížích, jako je Kyber a Nová naděje. NIST tvrdí, že tyto úvahy zohlední při výběru vítězných algoritmů. NIST uchovává podepsaná prohlášení odesílatelů, která likviduje veškeré právní nároky[49], zatímco se snaží vyjasnit možnost, že třetí strany takové nároky vznesou.

Viz také

Poznámky

  1. ^ NIST zamýšlí standardizovat nanejvýš jedno z těchto mřížkových schémat PKE / KEM a nanejvýš jedno z těchto mřížkových podpisových schémat.[48]

Reference

  1. ^ „Standardizace post-kvantové kryptografie - post-kvantová kryptografie“. Csrc.nist.gov. 3. ledna 2017. Citováno 31. ledna 2019.
  2. ^ „Archivovaná kopie“. Archivovány od originál dne 2017-12-29. Citováno 2017-12-29.CS1 maint: archivovaná kopie jako titul (odkaz)
  3. ^ „NIST vydal NISTIR 8105, zpráva o post-kvantové kryptografii“. Citováno 5. listopadu 2019.
  4. ^ „NIST žádá veřejnost o pomoc s elektronickými informacemi zajišťujícími budoucnost“. Citováno 5. listopadu 2019.
  5. ^ Divize počítačové bezpečnosti, laboratoř informačních technologií (3. ledna 2017). „Zaslání 1. kola - postkvantová kryptografie - CSRC“. Csrc.nist.gov. Citováno 31. ledna 2019.
  6. ^ A b C „Archivovaná kopie“. Archivovány od originál dne 2017-12-29. Citováno 2017-12-29.CS1 maint: archivovaná kopie jako titul (odkaz)
  7. ^ A b „Skupiny Google“. Groups.google.com. Citováno 31. ledna 2019.
  8. ^ A b „ROLLO“. Pqc-rollo.org. Citováno 31. ledna 2019.
  9. ^ RSA pomocí 231 4096bitové prvočísla pro celkovou velikost klíče 1 TiB. „Klíč téměř zapadne na pevný disk“Bernstein, Daniel (2010-05-28). „McBits a postkvantová RSA“ (PDF). Citováno 2019-12-10.
  10. ^ Bernstein, Daniel; Heninger, Nadia (2017-04-19). „Postkvantová RSA“ (PDF). Citováno 2019-12-10.
  11. ^ „Vážení, následující skript v Pythonu rychle získá zprávu z daného šifrovacího textu„ Hádej znovu “bez znalosti soukromého klíče.“ (PDF). Csrc.nist.gov. Citováno 30. ledna 2019.
  12. ^ Panny, Lorenz (25. prosince 2017). „Rychlý útok na obnovení klíče proti odeslání„ RVB “do #NISTPQC: t…. Vypočítá soukromý z veřejného klíče.“. Cvrlikání. Citováno 31. ledna 2019.
  13. ^ „Archivovaná kopie“. Archivovány od originál dne 2017-12-26. Citováno 2018-01-04.CS1 maint: archivovaná kopie jako titul (odkaz)
  14. ^ „Archivovaná kopie“. Archivovány od originál dne 01.01.2018. Citováno 2018-01-04.CS1 maint: archivovaná kopie jako titul (odkaz)
  15. ^ „Vážení, prolomili jsme SRTPI pod CPA a TPSig pod KMA“ (PDF). Csrc.nist.gov. Citováno 30. ledna 2019.
  16. ^ Beullens, Ward; Blackburn, Simon R. (2018). „Praktické útoky proti schématu digitálních podpisů Walnut“. Eprint.iacr.org.
  17. ^ Kotov, Matvei; Menshov, Anton; Ushakov, Alexander (2018). „ÚTOK NA OŘECHOVÝ DIGITÁLNÍ PODPISOVÝ ALGORITMUS“. Eprint.iacr.org.
  18. ^ Yu, Yang; Ducas, Léo (2018). „Učení znovu udeří: případ podpisového schématu DRS“. Eprint.iacr.org.
  19. ^ Barelli, Elise; Couvreur, Alain (2018). Msgstr "Efektivní strukturální útok na NIST podání DAGS". arXiv:1805.05429 [cs.CR ].
  20. ^ Lequesne, Matthieu; Tillich, Jean-Pierre (2018). "Útok na mechanismus enkapsulace klíčů Edon-K". arXiv:1802.06157 [cs.CR ].
  21. ^ Couvreur, Alain; Lequesne, Matthieu; Tillich, Jean-Pierre (2018). Msgstr "Obnova krátkých tajných klíčů RLCE v polynomiálním čase". arXiv:1805.11489 [cs.CR ].
  22. ^ Bernstein, Daniel J .; Groot Bruinderink, Leon; Lange, Tanja; Lange, Lorenz (2017). „Hila5 Pindakaas: O zabezpečení CCA mřížkového šifrování s opravou chyb“. Citovat deník vyžaduje | deník = (Pomoc)
  23. ^ „Oficiální komentáře“ (PDF). Csrc.nist.gov. 13. září 2018.
  24. ^ Debris-Alazard, Thomas; Tillich, Jean-Pierre (2018). „Dva útoky na hodnostní metrická kódová schémata: RankSign a schéma šifrování podle identity“. arXiv:1804.02556 [cs.CR ].
  25. ^ „Obávám se, že parametry v tomto návrhu mají maximálně 4 až 6bitové zabezpečení pod útokem ISD (Information Set Decoding).“ (PDF). Csrc.nist.gov. Citováno 30. ledna 2019.
  26. ^ Lau, Terry Shue Chien; Tan, Chik How (31. ledna 2019). "Útok na obnovu klíčů na McNie založený na kódech kontroly parity s nízkým hodnocením a jeho reparaci". V Inomata, Atsuo; Yasuda, Kan (eds.). Pokroky v oblasti informační a počítačové bezpečnosti. Přednášky z informatiky. 11049. Springer International Publishing. 19–34. doi:10.1007/978-3-319-97916-8_2. ISBN  978-3-319-97915-1.
  27. ^ Divize počítačové bezpečnosti, laboratoř informačních technologií (3. ledna 2017). „Zaslání druhého kola - postkvantová kryptografie - CSRC“. Csrc.nist.gov. Citováno 31. ledna 2019.
  28. ^ A b Schwabe, Peter. "KRYSTÁLY". Pq-crystals.org. Citováno 31. ledna 2019.
  29. ^ „FrodoKEM“. Frodokem.org. Citováno 31. ledna 2019.
  30. ^ Schwabe, Peter. "Nová naděje". Newhopecrypto.org. Citováno 31. ledna 2019.
  31. ^ „Archivovaná kopie“. Archivovány od originál dne 01.09.2019. Citováno 2019-01-30.CS1 maint: archivovaná kopie jako titul (odkaz)
  32. ^ "ŠAVLE". Citováno 17. června 2019.
  33. ^ "Tři medvědi". SourceForge.net. Citováno 31. ledna 2019.
  34. ^ "Sokol". Sokol. Citováno 26. června 2019.
  35. ^ „qTESLA - efektivní a postkvantově bezpečné schéma podpisu založené na mřížce“. Citováno 31. ledna 2019.
  36. ^ „BIKE - zapouzdření klíče převrácení bitů“. Bikesuite.org. Citováno 31. ledna 2019.
  37. ^ „HQC“. Pqc-hqc.org. Citováno 31. ledna 2019.
  38. ^ "Modul zapouzdření klíčů LEDAkem". Ledacrypt.org. Citováno 31. ledna 2019.
  39. ^ „Kryptosystém veřejného klíče LEDApkc“. Ledacrypt.org. Citováno 31. ledna 2019.
  40. ^ „Archivovaná kopie“. Archivovány od originál dne 2017-12-29. Citováno 2017-12-29.CS1 maint: archivovaná kopie jako titul (odkaz)
  41. ^ „RQC“. Pqc-rqc.org. Citováno 31. ledna 2019.
  42. ^ [1]
  43. ^ „Archivovaná kopie“. Archivovány od originál dne 31. 1. 2019. Citováno 2019-01-30.CS1 maint: archivovaná kopie jako titul (odkaz)
  44. ^ „LUOV - schéma podpisu MQ“. Citováno 22. ledna 2020.
  45. ^ „Postkvantový podpis MQDSS“. Mqdss.org. Citováno 31. ledna 2019.
  46. ^ „SIKE - Supersingular Isogeny Key Encapsulation“. Sike.org. Citováno 31. ledna 2019.
  47. ^ "Piknik. Rodina postkvantových zabezpečených digitálních podpisových algoritmů". microsoft.github.io. Citováno 26. února 2019.
  48. ^ A b „Zpráva o stavu druhého kola procesu standardizace postkvantové kryptografie NIST“. Citováno 2020-07-23.
  49. ^ „Požadavky na podání a kritéria hodnocení“ (PDF).

externí odkazy