НьюХоуп

В постквантовой криптографии NewHope — это протокол согласования ключей, разработанный Эрдемом Алкимом, Лео Дукасом, Томасом Пёппельманном и Питером Швабе, который разработан для защиты от квантовых компьютерных атак. ^[1]^[2]

NewHope основан на кольцевом математическом обучении с ошибками (RLWE), которое считается трудным для решения. NewHope была выбрана в качестве участника второго тура конкурса NIST по стандартизации пост-квантовой криптографии . ^[3] и использовался в эксперименте Google CECPQ1 X25519 в качестве квантовобезопасного алгоритма наряду с классическим алгоритмом . ^[4]^[5]

Выбор дизайна [ править ]

Разработчики NewHope сделали несколько вариантов при разработке алгоритма: ^[6]

Биномиальная выборка : Хотя выборка для высококачественного дискретного распределения Гаусса важна в постквантовой схеме компактной сигнатуры на основе решетки, такой как Falcon (парадигма Hash-and-Sign в стиле GPV) и BLISS в стиле GLP Фиата – Шамира ( парадигма ), чтобы предотвратить утечку информации о секретном ключе из подписи, в противном случае это не так важно для схем обмена ключами. Автор решил выбрать векторы ошибок из биномиального распределения .
Согласование ошибок . Что отличает NewHope от своих предшественников, так это метод согласования ошибок. Предыдущие схемы кольцевого обучения со схемами обмена ключами ошибок исправляют ошибки по одному коэффициенту за раз, тогда как NewHope исправляет ошибки по 2 или 4 коэффициента за раз на основе многомерной геометрии. Это позволяет снизить частоту неудачных дешифровок и повысить безопасность.
Генерация базового вектора : авторы NewHope предложили получить базовый вектор-генератор (обычно обозначаемый как A или $a$ ) из вывода функции XOF SHAKE-128 , чтобы предотвратить использование «скрытых» значений, как это может произойти с традиционной Диффи-Хеллмана через атакой Logjam .
Уровни безопасности . В ранних версиях статей, описывающих NewHope, авторы предлагали использовать полином со степенью 1024 для 128-битного «постквантового» уровня безопасности и полином со степенью 512 в качестве «игрушечного» экземпляра для задачи криптоанализа. ^[7] В версии, представленной в NIST, 512-градусная версия кодифицирована для обеспечения 128-битного «классического» уровня безопасности.

См. также [ править ]

Ссылки [ править ]

^ «Инкапсуляция пост-квантового ключа NewHope» .
^ «Chrome: не позволяйте будущим компьютерам взламывать текущее шифрование» . CNET .
^ Отдел компьютерной безопасности, Лаборатория информационных технологий (3 января 2017 г.). «Представления второго раунда — постквантовая криптография — CSRC» . Csrc.nist.gov . Проверено 14 ноября 2019 г.
^ «Эксперименты с постквантовой криптографией» . security.googleblog.com . 7 июля 2016 года . Проверено 14 ноября 2019 г.
^ «Результаты CECPQ1 (28 ноября 2016 г.)» . Адам Лэнгли, сотрудник службы безопасности Google.
^ Оригинальный документ с предложением
^ «Постквантовый обмен ключами — новая надежда» . eprint.iacr.org . 10 ноября 2016 года . Проверено 14 ноября 2019 г.

Внешние ссылки [ править ]

Эталонная реализация

[cf-1] «Инкапсуляция пост-квантового ключа NewHope» .

[cnet-2] «Chrome: не позволяйте будущим компьютерам взламывать текущее шифрование» . CNET .

[3] Отдел компьютерной безопасности, Лаборатория информационных технологий (3 января 2017 г.). «Представления второго раунда — постквантовая криптография — CSRC» . Csrc.nist.gov . Проверено 14 ноября 2019 г.

[4] «Эксперименты с постквантовой криптографией» . security.googleblog.com . 7 июля 2016 года . Проверено 14 ноября 2019 г.

[results-5] «Результаты CECPQ1 (28 ноября 2016 г.)» . Адам Лэнгли, сотрудник службы безопасности Google.

[6] Оригинальный документ с предложением

[7] «Постквантовый обмен ключами — новая надежда» . eprint.iacr.org . 10 ноября 2016 года . Проверено 14 ноября 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]