Постквантовая криптография

Cryptography secured against quantum computers

Постквантовая криптография ( PQC ), иногда называемая квантово-устойчивой , квантово-безопасной или квантово-устойчивой , представляет собой разработку криптографических алгоритмов (обычно алгоритмов с открытым ключом ), которые считаются защищенными от криптоаналитической атаки со стороны квантовый компьютер . Проблема с популярными алгоритмами, используемыми в настоящее время на рынке, заключается в том, что их безопасность зависит от одной из трех сложных математических задач: задачи целочисленной факторизации , задачи дискретного логарифма или задачи дискретного логарифма на основе эллиптической кривой . Все эти проблемы можно было бы легко решить на достаточно мощном квантовом компьютере, использующем алгоритм Шора ^{[1] [2]} или даже более быстрые и менее требовательные (с точки зрения количества требуемых кубитов) альтернативы. ^[3]

Хотя по состоянию на 2023 год квантовым компьютерам не хватает вычислительной мощности для взлома широко используемых криптографических алгоритмов, ^[4] криптографы разрабатывают новые алгоритмы для подготовки к Q-Day , дню, когда существующие алгоритмы будут уязвимы для атак квантовых вычислений. Их работа привлекла внимание ученых и промышленности благодаря серии конференций PQCrypto , проводимых с 2006 года, нескольким семинарам по квантовой безопасной криптографии, организованным Европейским институтом телекоммуникационных стандартов (ETSI) и Институтом квантовых вычислений . ^{[5] [6] [7]} Слухи о широко распространенном распространении программ «сбор сейчас, расшифровка позже» также рассматривались как мотивация для раннего внедрения постквантовых алгоритмов, поскольку данные, записанные сейчас, могут оставаться конфиденциальными много лет в будущем. . ^{[8] [9] [10]}

В отличие от угрозы, которую квантовые вычисления представляют для современных алгоритмов с открытым ключом, большинство современных симметричных криптографических алгоритмов и хэш-функций считаются относительно безопасными против атак со стороны квантовых компьютеров. ^{[2] [11]} Хотя квантовый алгоритм Гровера действительно ускоряет атаки на симметричные шифры, удвоение размера ключа может эффективно блокировать эти атаки. ^[12] Таким образом, постквантовая симметричная криптография не должна существенно отличаться от современной симметричной криптографии.

Алгоритмы

Исследования постквантовой криптографии в основном сосредоточены на шести различных подходах: ^{[2] [6]}

Решеточная криптография

Этот подход включает в себя криптографические системы, такие как обучение с ошибками , кольцевое обучение с ошибками ( ring-LWE ), ^{[13] [14] [15]} кольцевое обучение с обменом ключами с ошибками и кольцевое обучение с сигнатурой ошибок , более старый NTRU или GGH. схемы шифрования, а также новые подписи NTRU и подписи BLISS . ^[16] Некоторые из этих схем, такие как шифрование NTRU, изучались в течение многих лет, но никто не нашел реальной атаки. Другие алгоритмы, такие как кольцевые алгоритмы LWE, имеют доказательства того, что их безопасность сводится к проблеме наихудшего случая. ^[17] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле-Штайнфельда для стандартизации, а не алгоритм NTRU. ^{[18] [19]} В то время NTRU все еще был запатентован. Исследования показали, что NTRU может обладать более безопасными свойствами, чем другие алгоритмы на основе решетки. ^[20]

Многомерная криптография

Сюда входят криптографические системы, такие как схема «Радуга» ( несбалансированное масло и уксус ), которая основана на сложности решения систем многомерных уравнений. Различные попытки построить безопасные схемы шифрования многомерных уравнений потерпели неудачу. Однако схемы многомерной подписи, такие как Rainbow, могут стать основой для квантовобезопасной цифровой подписи. ^[21] Схема Rainbow Signature запатентована.

Криптография на основе хеша

Сюда входят криптографические системы, такие как подписи Лампорта , схема подписи Меркла , XMSS, ^[22] SPHINCS, ^[23] и схемы WOTS. Цифровые подписи на основе хэша были изобретены в конце 1970-х годов Ральфом Мерклем и с тех пор изучаются как интересная альтернатива теоретико-числовым цифровым подписям, таким как RSA и DSA. Их основной недостаток заключается в том, что для любого открытого ключа на основе хэша существует ограничение на количество подписей, которые можно подписать с использованием соответствующего набора закрытых ключей. Этот факт снизил интерес к этим подписям, пока интерес не возродился из-за стремления к криптографии, устойчивой к атакам квантовых компьютеров. Похоже, что на схему подписи Меркла не существует патентов ^{[ нужна ссылка ]} , и существует множество незапатентованных хэш-функций, которые можно использовать с этими схемами. Схема подписи XMSS на основе хэша с сохранением состояния, разработанная группой исследователей под руководством Йоханнеса Бухмана, описана в RFC 8391. ^[24]

Обратите внимание, что все вышеперечисленные схемы являются одноразовыми или ограниченными по времени подписями. Мони Наор и Моти Юнг изобрели хеширование UOWHF в 1989 году и разработали подпись, основанную на хешировании (схема Наора-Юнга) ^[25] , которая может быть неограниченной по времени в использование (первая подобная подпись, не требующая свойств лазейки).

Криптография на основе кода

Сюда входят криптографические системы, которые полагаются на коды, исправляющие ошибки , такие как алгоритмы шифрования МакЭлиса и Нидеррайтера и связанная с ними схема подписи Куртуа, Финиаса и Сендрие . Оригинальная подпись МакЭлиса с использованием случайных кодов Гоппы выдерживала проверку более 40 лет. Однако многие варианты схемы МакЭлиса, направленные на придание большей структуры используемому коду для уменьшения размера ключей, оказались небезопасными. ^[26] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала систему шифрования с открытым ключом McEliece в качестве кандидата для долгосрочной защиты от атак квантовых компьютеров. ^[18]

Криптография на основе изогении

Эти криптографические системы полагаются на свойства графов изогении эллиптических кривых (и абелевых многообразий более высокой размерности ) над конечными полями, в частности, суперсингулярных графов изогении , для создания криптографических систем. Среди наиболее известных представителей этой области — метод обмена ключами, подобный Диффи-Хеллману , CSIDH , который может служить прямой квантовостойкой заменой широко распространенных методов обмена ключами Диффи-Хеллмана и эллиптической кривой Диффи-Хеллмана. использовать сегодня ^[27] и схему сигнатур SQISign, которая основана на категориальной эквивалентности между суперсингулярными эллиптическими кривыми и максимальными порядками в определенных типах кватернионных алгебр. ^[28] Другая широко известная конструкция, SIDH/SIKE , была взломана в 2022 году. ^[29] Однако атака специфична для семейства схем SIDH/SIKE и не распространяется на другие конструкции, основанные на изогении. ^[30]

Симметричное ключевое квантовое сопротивление

При условии использования ключей достаточно большого размера криптографические системы с симметричным ключом, такие как AES и SNOW 3G, уже устойчивы к атакам квантового компьютера. ^[31] Кроме того, системы и протоколы управления ключами, которые используют криптографию с симметричным ключом вместо криптографии с открытым ключом, такие как Kerberos и структура аутентификации мобильной сети 3GPP, также по своей сути защищены от атак со стороны квантового компьютера. Учитывая его широкое распространение в мире, некоторые исследователи рекомендуют более широкое использование симметричного управления ключами, подобного Kerberos, как эффективный способ получить постквантовую криптографию сегодня. ^[32]

Снижение безопасности

При исследовании криптографии желательно доказать эквивалентность криптографического алгоритма и известной сложной математической задачи. Эти доказательства часто называют «снижением безопасности» и используются для демонстрации сложности взлома алгоритма шифрования. Другими словами, безопасность данного криптографического алгоритма сводится к безопасности известной сложной проблемы. Исследователи активно ищут возможности снижения безопасности в перспективах постквантовой криптографии. Текущие результаты приведены здесь:

Криптография на основе решеток — подпись Ring-LWE

В некоторых версиях Ring-LWE существует сведение безопасности к задаче кратчайшего вектора (SVP) в решетке в качестве нижней границы безопасности. SVP, как известно, является NP-трудным . ^[33] Конкретные системы кольцевого LWE, которые имеют доказуемое снижение безопасности, включают вариант сигнатур кольцевого LWE Любашевского, определенный в статье Гюнейсу, Любашевского и Поппельмана. ^[14] Схема подписи GLYPH представляет собой вариант подписи Гюнейсу, Любашевского и Пёппельмана (GLP), которая учитывает результаты исследований, полученные после публикации подписи GLP в 2012 году. Еще одна подпись Ring-LWE — Ring-TESLA. . ^[34] Также существует «дерандомизированный вариант» LWE, называемый «Обучение с округлением» (LWR), который обеспечивает «улучшенное ускорение (за счет устранения небольших ошибок выборки из гауссовского распределения с детерминированными ошибками) и пропускную способность». ^[35] В то время как LWE использует добавление небольшой ошибки для сокрытия младших битов, LWR использует округление с той же целью.

Решётчатая криптография – NTRU, BLISS

Считается , что безопасность схемы шифрования NTRU и подписи BLISS ^[16] связана с задачей ближайшего вектора (CVP) в решетке, но не доказуемо сводится к ней. Известно, что CVP является NP-трудным . Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант Стеле-Штайнфельда NTRU, который действительно имеет снижение безопасности, для долгосрочного использования вместо исходного алгоритма NTRU. ^[18]

Многомерная криптография – несбалансированное масло и уксус

Несбалансированные схемы подписей Oil and Vinegar представляют собой асимметричные криптографические примитивы, основанные на многомерных полиномах над конечным полем . Булыгин, Петцольдт и Бухманн показали сведение общих многомерных квадратных UOV-систем к задаче решения многомерных квадратных уравнений NP-Hard. ^[36] ${\displaystyle \mathbb {F} }$

Криптография на основе хэша - схема подписи Меркла

В 2005 году Луис Гарсия доказал, что безопасность подписей Merkle Hash Tree снижается до безопасности базовой хеш-функции. Гарсиа показал в своей статье, что если существуют односторонние хэш-функции с вычислительной точки зрения, то подпись хеш-дерева Меркла доказуемо безопасна. ^[37]

Следовательно, если бы кто-то использовал хеш-функцию с доказуемым снижением безопасности до известной сложной проблемы, он получил бы доказуемое снижение безопасности сигнатуры дерева Меркла до этой известной сложной проблемы. ^[38]

Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать схему подписи Меркла для долгосрочной защиты от квантовых компьютеров. ^[18]

Криптография на основе кода – МакЭлис

Система шифрования McEliece снижает уровень безопасности до проблемы синдромного декодирования (SDP). Известно, что СДП является NP-жесткой . ^[39] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать эту криптографию для долгосрочной защиты от атак со стороны квантового компьютера. ^[18]

Криптография на основе кода – RLCE

В 2016 году Ван предложил схему шифрования случайного линейного кода RLCE ^[40] , основанную на схемах МакЭлиса. Схема RLCE может быть построена с использованием любого линейного кода, такого как код Рида-Соломона, путем вставки случайных столбцов в базовую матрицу генератора линейного кода.

Криптография изогении суперсингулярной эллиптической кривой

Безопасность связана с задачей построения изогении между двумя суперсингулярными кривыми с одинаковым числом точек. Самое последнее исследование сложности этой проблемы, проведенное Делфсом и Гэлбрейтом, показывает, что эта проблема настолько сложна, насколько предполагают изобретатели обмена ключами. ^[41] Не существует снижения безопасности к известной NP-сложной задаче.

Сравнение

Одной из общих характеристик многих алгоритмов постквантовой криптографии является то, что они требуют ключей большего размера, чем обычно используемые «доквантовые» алгоритмы с открытым ключом. Часто приходится идти на компромисс между размером ключа, вычислительной эффективностью и размером зашифрованного текста или подписи. В таблице приведены некоторые значения для различных схем на 128-битном постквантовом уровне безопасности.

Практическим соображением при выборе постквантового криптографического алгоритма является усилие, необходимое для отправки открытых ключей через Интернет. С этой точки зрения алгоритмы Ring-LWE, NTRU и SIDH удобно обеспечивают размеры ключей менее 1 КБ, открытые ключи хеш-подписи — менее 5 КБ, а McEliece на основе MDPC занимает около 1 КБ. С другой стороны, схемы Rainbow требуют около 125 КБ, а McEliece на основе Goppa требует ключ размером почти 1 МБ.

Криптография на основе решеток – обмен ключами LWE и обмен ключами Ring-LWE

Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университете Цинциннати в 2011 году Цзиньтаем Дином. Основная идея исходит из ассоциативности матричных умножений, а ошибки используются для обеспечения безопасности. Статья ^[51] появилась в 2012 г. после подачи предварительной заявки на патент в 2012 г.

В 2014 году Пейкерт ^[52] представил ключевую транспортную схему, следующую той же базовой идее, что и Дин, где также используется новая идея отправки дополнительного 1-битного сигнала для округления в конструкции Дина. Для защиты, превышающей 128 бит , Сингх представляет набор параметров, которые имеют 6956-битные открытые ключи для схемы Пейкерта. ^[53] Соответствующий закрытый ключ будет иметь длину примерно 14 000 бит.

В 2015 году обмен ключами с проверкой подлинности и доказуемой прямой безопасностью, следующий той же базовой идее, что и Дин, был представлен на Eurocrypt 2015 ^[54] , который является расширением конструкции HMQV ^[55] в Crypto2005. В документе представлены параметры для различных уровней безопасности от 80 до 350 бит, а также соответствующие размеры ключей. ^[54]

Решётчатая криптография – шифрование NTRU

Для 128-битной безопасности в NTRU Хиршхорн, Хоффштейн, Хогрейв-Грэм и Уайт рекомендуют использовать открытый ключ, представленный в виде полинома 613 степени с коэффициентами. В результате открытый ключ имеет длину 6130 бит. Соответствующий закрытый ключ будет иметь длину 6743 бита. ^[42] ${\displaystyle {\bmod {\left(2^{10}\right)}}}$

Многомерная криптография – Радужная подпись

Для обеспечения 128-битной безопасности и наименьшего размера подписи в схеме подписи многомерных квадратных уравнений Rainbow Петцольдт, Булыгин и Бухман рекомендуют использовать уравнения с размером открытого ключа чуть более 991 000 бит, закрытого ключа чуть более 740 000 бит и цифрового подписи длиной 424 бита. ^[43] ${\displaystyle \mathbb {F} _{31}}$

Криптография на основе хэша - схема подписи Меркла

Чтобы получить 128 бит безопасности для подписей на основе хэша для подписи 1 миллиона сообщений с использованием метода фрактального дерева Меркла Наора Шенхава и Вула, размеры открытого и закрытого ключей составляют примерно 36 000 бит в длину. ^[56]

Криптография на основе кода – МакЭлис

Для 128-битной безопасности в схеме МакЭлиса группа исследования пост-квантовой криптографии Европейской комиссии рекомендует использовать двоичный код Гоппы длиной не менее и размерностью не менее , способный исправлять ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой занимает биты. Соответствующий закрытый ключ, который состоит из поддержки кода с элементами из и генераторного полинома с коэффициентами из , будет иметь длину 92 027 бит ^[18] ${\displaystyle n=6960}$ ${\displaystyle k=5413}$ ${\displaystyle t=119}$ ${\displaystyle k\times (n-k)=8373911}$ ${\displaystyle n=6960}$ ${\displaystyle \mathrm {GF} (2^{13})}$ ${\displaystyle t=119}$ ${\displaystyle \mathrm {GF} (2^{13})}$

Группа также исследует использование квазициклических кодов MDPC длиной не менее и размерностью не менее 1,000 и способных исправлять ошибки. При этих параметрах открытым ключом для системы МакЭлиса будет первая строка систематической порождающей матрицы, неидентичная часть которой принимает биты. Закрытый ключ, квазициклическая матрица проверки четности с ненулевыми элементами в столбце (или в два раза больше в строке), занимает не более битов, если он представлен в виде координат ненулевых элементов в первой строке. ${\displaystyle n=2^{16}+6=65542}$ ${\displaystyle k=2^{15}+3=32771}$ ${\displaystyle t=264}$ ${\displaystyle k=32771}$ ${\displaystyle d=274}$ ${\displaystyle d\times 16=4384}$

Баррето и др. рекомендуют использовать двоичный код Гоппы длиной не менее и размерностью не менее , способный исправлять ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой занимает биты. ^[57] Соответствующий закрытый ключ, который состоит из поддержки кода с элементами из и полинома генератора с коэффициентами из , будет иметь длину 40 476 бит. ${\displaystyle n=3307}$ ${\displaystyle k=2515}$ ${\displaystyle t=66}$ ${\displaystyle k\times (n-k)=1991880}$ ${\displaystyle n=3307}$ ${\displaystyle \mathrm {GF} (2^{12})}$ ${\displaystyle t=66}$ ${\displaystyle \mathrm {GF} (2^{12})}$

Криптография изогении суперсингулярной эллиптической кривой

Для 128-битной безопасности в методе суперсингулярной изогении Диффи-Хеллмана (SIDH) Де Фео, Джао и Плут рекомендуют использовать суперсингулярную кривую по модулю 768-битного простого числа. Если используется сжатие точек эллиптической кривой, длина открытого ключа должна быть не более 8x768 или 6144 бит. ^[58] В статье, опубликованной в марте 2016 года авторами Азардерахшем, Джао, Калачем, Козиэлем и Леонарди, было показано, как сократить количество передаваемых битов вдвое. Этот метод был дополнительно улучшен авторами Костелло, Джао, Лонгой, Наеригом, Ренесом и Урбаником, в результате чего версия протокола SIDH со сжатым ключом с открытыми ключами размером всего 2640 бит. ^[50] Это делает количество передаваемых битов примерно эквивалентным неквантовому безопасному RSA и алгоритму Диффи-Хеллмана при том же классическом уровне безопасности. ^[59]

Криптография на основе симметричного ключа

Как правило, для 128-битной безопасности в системе на основе симметричных ключей можно безопасно использовать ключи длиной 256 бит. Лучшая квантовая атака против обычных систем с симметричным ключом — это применение алгоритма Гровера , который требует работы, пропорциональной квадратному корню из размера ключевого пространства. Для передачи зашифрованного ключа на устройство, обладающее симметричным ключом, необходимым для расшифровки этого ключа, также требуется примерно 256 бит. Понятно, что системы с симметричными ключами предлагают наименьшие размеры ключей для постквантовой криптографии. ^{[ нужна цитата ]}

Прямая секретность

Система с открытым ключом демонстрирует свойство, называемое совершенной прямой секретностью, когда она генерирует случайные открытые ключи за сеанс для целей соглашения о ключах. Это означает, что компрометация одного сообщения не может привести к компрометации других, а также что не существует ни одного секретного значения, которое могло бы привести к компрометации нескольких сообщений. Эксперты по безопасности рекомендуют использовать криптографические алгоритмы, поддерживающие прямую секретность, а не те, которые ее не поддерживают. ^[60] Причина этого в том, что прямая секретность может защитить от компрометации долгосрочных закрытых ключей, связанных с парами открытого/частного ключей. Это рассматривается как средство предотвращения массовой слежки со стороны спецслужб.

И обмен ключами Ring-LWE, и обмен ключами суперсингулярной изогении Диффи-Хеллмана (SIDH) могут поддерживать прямую секретность при одном обмене с другой стороной. И Ring-LWE, и SIDH также можно использовать без прямой секретности, создав вариант классического варианта шифрования Эль-Гамаля Диффи-Хеллмана.

Другие алгоритмы в этой статье, такие как NTRU, не поддерживают прямую секретность как таковую.

Любая аутентифицированная система шифрования с открытым ключом может использоваться для организации обмена ключами с прямой секретностью. ^[61]

Открыть проект Quantum Safe

Проект Open Quantum Safe ( OQS ) был запущен в конце 2016 года и направлен на разработку и прототипирование квантово-устойчивой криптографии. ^{[62] [63]} Он направлен на интеграцию текущих постквантовых схем в одну библиотеку: liboqs . ^[64] liboqs — это библиотека C с открытым исходным кодом для квантовоустойчивых криптографических алгоритмов. Первоначально он фокусируется на алгоритмах обмена ключами, но на данный момент включает несколько схем подписи. Он предоставляет общий API, подходящий для алгоритмов постквантового обмена ключами, и объединяет различные реализации. liboqs также будет включать в себя средства тестирования и процедуры сравнительного анализа для сравнения производительности постквантовых реализаций. Кроме того, OQS также обеспечивает интеграцию liboqs в OpenSSL . ^[65]

По состоянию на март 2023 года поддерживаются следующие алгоритмы обмена ключами: ^[62]

Старые поддерживаемые версии, которые были удалены в связи с развитием проекта стандартизации пост-квантовой криптографии NIST:

Выполнение

Одной из основных задач постквантовой криптографии считается внедрение потенциально квантовобезопасных алгоритмов в существующие системы. Были проведены тесты, например, компанией Microsoft Research , реализующей PICNIC в PKI с использованием аппаратных модулей безопасности . ^[79] Тестовые реализации алгоритма Google NewHope также были выполнены поставщиками HSM . В августе 2023 года Google выпустила реализацию ключа безопасности FIDO2 гибридной схемы подписи ECC /Dilithium, которая была создана в сотрудничестве с ETH Zürich . ^[80]

21 февраля 2024 года Apple объявила, что собирается обновить свой протокол iMessage новым протоколом PQC под названием «PQ3», который будет использовать постоянный ключ. ^{[81] [82] [83]} Apple заявила, что, хотя квантовых компьютеров еще не существует, они хотели снизить риски, связанные с будущими квантовыми компьютерами, а также с так называемыми сценариями атак « Собери сейчас, расшифровай позже ». Apple заявила, что, по их мнению, их реализация PQ3 обеспечивает защиту, которая «превосходит защиту всех других широко распространенных приложений для обмена сообщениями, поскольку она использует постоянный ввод ключей. Apple намерена полностью заменить существующий протокол iMessage во всех поддерживаемых диалогах PQ3 к концу 2024 года. также определил шкалу, чтобы упростить сравнение свойств безопасности приложений для обмена сообщениями, при этом шкала представлена ​​уровнями от 0 до 3. ^[81]

Другие известные реализации включают в себя:

• надувной замок ^[84]
• либоки ^[85]

Смотрите также

• Стандартизация постквантовой криптографии NIST
• Квантовая криптография - криптография, основанная на квантовой механике.
• Крипто-шреддинг – удаление ключей шифрования.
• Соберите сейчас, расшифруйте позже

Рекомендации

1. Шор, Питер В. (1997). «Алгоритмы полиномиального времени для простой факторизации и дискретных логарифмов на квантовом компьютере». SIAM Journal по вычислительной технике . 26 (5): 1484–1509. arXiv : Quant-ph/9508027 . Бибкод : 1995quant.ph..8027S. дои : 10.1137/S0097539795293172. S2CID  2337707.
2. Бернштейн, Дэниел Дж. (2009). «Введение в постквантовую криптографию» (PDF) . Постквантовая криптография .
3. Крамер, Анна (2023). «Удивительно и очень круто». Квантовый алгоритм предлагает более быстрый способ взлома интернет-шифрования». Наука . 381 (6664): 1270. doi :10.1126/science.adk9443. PMID  37733849. S2CID  262084525.
4. «Новый контроль кубитов служит хорошим предзнаменованием для будущего квантовых вычислений» . физ.орг .
5. «Криптографы берутся за квантовые компьютеры» . IEEE-спектр . 01 января 2009 г.
6. «Вопросы и ответы с исследователем пост-квантовой криптографии Цзиньтаем Дином» . IEEE-спектр . 01.11.2008.
7. "Мастерская ETSI по квантовой безопасной криптографии" . Семинар ETSI по квантовой безопасной криптографии . ЕТСИ. Октябрь 2014. Архивировано из оригинала 17 августа 2016 года . Проверено 24 февраля 2015 г. .
8. Гассер, Линус (2023), Малдер, Валентин; Мермуд, Ален; Кредиторы, Винсент; Телленбах, Бернхард (ред.), «Постквантовая криптография», Тенденции в области защиты данных и технологий шифрования , Cham: Springer Nature Switzerland, стр. 47–52, doi : 10.1007/978-3-031-33386-6_10 , ISBN 978-3-031-33386-6
9. Таунсенд, Кевин (16 февраля 2022 г.). «Решение задачи квантового дешифрования «Собери сейчас, расшифровай позже»». Неделя Безопасности . Проверено 9 апреля 2023 г.
10. «Квантово-безопасная безопасная связь» (PDF) . Национальная программа Великобритании по квантовым технологиям . Октябрь 2021 года . Проверено 9 апреля 2023 г.
11. Дэниел Дж. Бернштейн (17 мая 2009 г.). «Анализ затрат на коллизии хешей: сделают ли квантовые компьютеры SHARCS устаревшими?» (PDF) .
12. Дэниел Дж. Бернштейн (3 марта 2010 г.). «Гровер против МакЭлиса» (PDF) .
13. Пейкерт, Крис (2014). «Решетчатая криптография для Интернета» (PDF) . МАКР. Архивировано из оригинала 12 мая 2014 года . Проверено 10 мая 2014 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
14. Гюнейсу, Тим; Любашевский Вадим; Пёппельманн, Томас (2012). «Практическая решетчатая криптография: схема подписи для встраиваемых систем» (PDF) . ИНРИА . Проверено 12 мая 2014 г.
15. Чжан, Цзян (2014). «Аутентифицированный обмен ключами из идеальных решеток» (PDF) . iacr.org . МАКР. Архивировано из оригинала 7 сентября 2014 года . Проверено 7 сентября 2014 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
16. Дукас, Лео; Дурмус, Ален; Лепойнт, Танкред; Любашевский, Вадим (2013). «Решеточные сигнатуры и бимодальные гауссианы». Архив электронной печати по криптологии . Проверено 18 апреля 2015 г.
17. Любашевский, Вадим; Пейкерт; Регев (2013). «Об идеальных решетках и обучении с ошибками в кольцах» (PDF) . МАКР. Архивировано из оригинала 31 января 2014 года . Проверено 14 мая 2013 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
18. Ого, Дэниел (7 сентября 2015 г.). «Первоначальные рекомендации по созданию долгосрочных безопасных постквантовых систем» (PDF) . PQCRYPTO . Проверено 13 сентября 2015 г.
19. Стеле, Дэмиен; Стейнфельд, Рон (1 января 2013 г.). «Сделать NTRUEncrypt и NTRUSign такими же безопасными, как стандартные проблемы наихудшего случая в отношении идеальных решеток». Архив электронной печати по криптологии .
20. Исттом, Чак (01 февраля 2019 г.). «Анализ ведущих асимметричных криптографических примитивов на основе решеток». 9-й ежегодный семинар и конференция IEEE по вычислительной технике и связи (CCWC) , 2019 г. стр. 0811–0818. дои : 10.1109/CCWC.2019.8666459. ISBN 978-1-7281-0554-3. S2CID  77376310.
21. Дин, Цзиньтай; Шмидт (7 июня 2005 г.). «Радуга, новая схема сигнатур многовариантного полинома». В Иоаннидисе, Джон (ред.). Прикладная криптография и сетевая безопасность . Конспекты лекций по информатике. Том. 3531. стр. 64–175. дои : 10.1007/11496137_12. ISBN 978-3-540-26223-7. S2CID  6571152.
22. Бухманн, Йоханнес; Дамен, Эрик; Хюльсинг, Андреас (2011). «XMSS - практическая схема прямой безопасной подписи, основанная на минимальных предположениях о безопасности». Постквантовая криптография. PQCrypto 2011 . Конспекты лекций по информатике. Том. 7071. стр. 117–129. CiteSeerX 10.1.1.400.6086 . дои : 10.1007/978-3-642-25405-5_8. ISSN  0302-9743. 
23. Бернштейн, Дэниел Дж.; Хопвуд, Дайра; Хюльсинг, Андреас; Ланге, Таня ; Нидерхаген, Рубен; Папахристодулу, Луиза; Шнайдер, Майкл; Швабе, Питер; Уилкокс-О'Хирн, Зуко (2015). «SPHINCS: Практические подписи на основе хэша без сохранения состояния». В Освальде, Элизабет ; Фишлин, Марк (ред.). Достижения в криптологии -- EUROCRYPT 2015 . Конспекты лекций по информатике. Том. 9056. Шпрингер Берлин Гейдельберг. стр. 368–397. CiteSeerX 10.1.1.690.6403 . дои : 10.1007/978-3-662-46800-5_15. ISBN  9783662467992.
24. Хюлсинг, А.; Бутин Д.; Газдаг, С.; Райневельд, Дж.; Мохайсен, А. (2018). «RFC 8391 – XMSS: расширенная схема подписи Меркла». www.tools.ietf.org . doi : 10.17487/RFC8391.
25. Наор, Мони; Юнг, Моти (1989), Универсальные односторонние хеш-функции и их криптографические приложения. STOC , стр. 33–43.
26. Овербек, Рафаэль; Сендрие (2009). «Кодовая криптография». Бернштейн, Дэниел (ред.). Постквантовая криптография . стр. 95–145. дои : 10.1007/978-3-540-88702-7_4. ISBN 978-3-540-88701-0.
27. Кастрик, Воутер; Ланге, Таня; Мартиндейл, Хлоя; Панни, Лоренц; Ренес, Йост (2018). «CSIDH: эффективное постквантовое коммутативное групповое действие». В Пейрине, Томас; Гэлбрейт, Стивен (ред.). Достижения в криптологии – ASIACRYPT 2018 . Конспекты лекций по информатике. Том. 11274. Чам: Springer International Publishing. стр. 395–427. дои : 10.1007/978-3-030-03332-3_15. hdl : 1854/LU-8619033. ISBN 978-3-030-03332-3. S2CID  44165584.
28. Де Фео, Лука; Кохель, Дэвид; Леру, Антонен; Пети, Кристоф; Весоловский, Бенджамин (2020). «SQISign: компактные постквантовые сигнатуры кватернионов и изогений» (PDF) . В Мориаи, Сихо; Ван, Хуасюн (ред.). Достижения в криптологии – ASIACRYPT 2020 . Конспекты лекций по информатике. Том. 12491. Чам: Springer International Publishing. стр. 64–93. дои : 10.1007/978-3-030-64837-4_3. ISBN 978-3-030-64837-4. S2CID  222265162.
29. Кастрик, Воутер; Декрю, Томас (2023), Хазай, Кармит; Стам, Мартейн (ред.), «Эффективная атака с восстановлением ключа на SIDH», Достижения в криптологии – EUROCRYPT 2023 , том. 14008, Cham: Springer Nature Switzerland, стр. 423–447, doi : 10.1007/978-3-031-30589-4_15, ISBN 978-3-031-30588-7, S2CID  258240788 , получено 21 июня 2023 г.
30. "SIKE уже сломан?" . Проверено 23 июня 2023 г.
31. Перлнер, Рэй; Купер (2009). Квантовоустойчивая криптография с открытым ключом: обзор. 8-й симпозиум по вопросам идентичности и доверия в Интернете (IDtrust 2009). НИСТ . Проверено 23 апреля 2015 г.
32. Кампанья, Мэтт; Харджоно; Пинцов; Романский; Ю (2013). «Возврат к квантово-безопасной аутентификации Kerberos» (PDF) . ЕТСИ.
33. Любашевский, Вадим; Пейкерт; Регев (25 июня 2013 г.). «Об идеальных решетках и обучении с ошибками в кольцах» (PDF) . Спрингер . Проверено 19 июня 2014 г.
34. Аклейлек, Седат; Биндель, Нина; Бухманн, Йоханнес; Кремер, Джулиана; Марсон, Джорджия Адзурра (2016). «Эффективная схема подписи на основе решетки с доказуемо безопасным созданием экземпляра». Архив электронной печати по криптологии .
35. Неджатоллахи, Хамид; Датт, Никил; Рэй, Сандип; Регаццони, Франческо; Банерджи, Индранил; Каммарота, Росарио (27 февраля 2019 г.). «Реализации постквантовой решетчатой ​​криптографии: обзор». Обзоры вычислительной техники ACM . 51 (6): 1–41. дои : 10.1145/3292548. ISSN  0360-0300. S2CID  59337649.
36. Булыгин, Станислав; Петцольдт; Бухманн (2010). «К доказуемой безопасности несбалансированной схемы подписи масла и уксуса при прямых атаках». Прогресс в криптологии – INDOCRYPT 2010 . Конспекты лекций по информатике. Том. 6498. стр. 17–32. CiteSeerX 10.1.1.294.3105 . дои : 10.1007/978-3-642-17401-8_3. ISBN  978-3-642-17400-1.
37. Перейра, Джеовандро; Пуодзиус, Кассий; Баррето, Пауло (2016). «Более короткие подписи на основе хеша». Журнал систем и программного обеспечения . 116 : 95–100. дои : 10.1016/j.jss.2015.07.007.
38. Гарсия, Луис. «О безопасности и эффективности схемы подписи Меркла» (PDF) . Архив электронной печати по криптологии . МАКР . Проверено 19 июня 2013 г.
39. Блаум, Марио; Фаррелл; Тилборг (31 мая 2002 г.). Информация, кодирование и математика . Спрингер. ISBN 978-1-4757-3585-7.
40. Ван, Юнге (2016). «Схема шифрования с открытым ключом на основе квантовостойкого случайного линейного кода RLCE». Труды по теории информации (ИСИТ) . IEEE ISIT: 2519–2523. arXiv : 1512.08454 . Бибкод : 2015arXiv151208454W.
41. Делфс, Кристина; Гэлбрейт (2013). «Вычисление изогений между суперсингулярными эллиптическими кривыми над F_p». arXiv : 1310,7789 [math.NT].
42. Хиршборрн, П; Хоффштейн; Хогрейв-Грэм; Уайт. «Выбор параметров NTRUEncrypt в свете комбинированного подхода к сокращению решеток и MITM» (PDF) . НТРУ. Архивировано из оригинала (PDF) 30 января 2013 года . Проверено 12 мая 2014 г.
43. Петцольдт, Альбрехт; Булыгин; Бухманн (2010). «Выбор параметров для схемы радужной подписи - расширенная версия -» (PDF) . Архивировано из оригинала 4 марта 2016 года . Проверено 12 мая 2014 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
44. «SPHINCS+: Представление в постквантовом проекте NIST» (PDF) .
45. Чопра, Арджун (2017). «ГЛИФ: новая версия схемы цифровой подписи GLP». Архив электронной печати по криптологии .
46. Алким, Эрдем; Дукас, Лео; Поппельманн, Томас; Швабе, Питер (2015). «Постквантовый обмен ключами – новая надежда» (PDF) . Архив криптологии ePrint, отчет 2015/1092 . Проверено 1 сентября 2017 г.
47. Ван, Юнге (2017). «Пересмотренная квантово-устойчивая схема шифрования с открытым ключом RLCE и безопасность IND-CCA2 для схем McEliece». Архив электронной печати по криптологии .
48. Мисочки, Р.; Тиллих, JP; Сендрие, Н.; Баррето, PSLM (2013). «MDPC-McEliece: Новые варианты McEliece из кодов проверки четности умеренной плотности». Международный симпозиум IEEE по теории информации , 2013 г. стр. 2069–2073. CiteSeerX 10.1.1.259.9109 . дои : 10.1109/ISIT.2013.6620590. ISBN  978-1-4799-0446-4. S2CID  9485532.
49. Костелло, Крейг; Лонга, Патрик; Наэриг, Майкл (2016). «Эффективные алгоритмы для суперсингулярной изогении Диффи-Хеллмана» (PDF) . Достижения криптологии – CRYPTO 2016 . Конспекты лекций по информатике. Том. 9814. стр. 572–601. дои : 10.1007/978-3-662-53018-4_21. ISBN 978-3-662-53017-7.
50. Костелло, Крейг; Джао; Лонга; Нериг; Ренес; Урбаник. «Эффективное сжатие открытых ключей SIDH» . Проверено 8 октября 2016 г.
51. Дин, Цзиньтай; Се, Сян; Линь, Сяодун (01 января 2012 г.). «Простая доказуемо безопасная схема обмена ключами, основанная на проблеме обучения с ошибками». Архив электронной печати по криптологии .
52. Пейкерт, Крис (1 января 2014 г.). «Решетчатая криптография для Интернета». Архив электронной печати по криптологии .
53. Сингх, Викрам (2015). «Практический обмен ключами в Интернете с использованием решетчатой ​​криптографии». Архив электронной печати по криптологии . Проверено 18 апреля 2015 г.
54. Чжан, Цзян; Чжан, Чжэньфэн; Дин, Цзиньтай; Снук, Майкл; Дагделен, Озгюр (26 апреля 2015 г.). «Аутентифицированный обмен ключами из идеальных решеток». В Освальде, Элизабет; Фишлин, Марк (ред.). Достижения в криптологии – EUROCRYPT 2015 . Конспекты лекций по информатике. Том. 9057. Шпрингер Берлин Гейдельберг. стр. 719–751. CiteSeerX 10.1.1.649.1864 . дои : 10.1007/978-3-662-46803-6_24. ISBN  978-3-662-46802-9.
55. Кравчик, Хьюго (14 августа 2005 г.). «HMQV: Высокопроизводительный безопасный протокол Диффи-Хеллмана». В Шупе, Виктор (ред.). Достижения в криптологии – КРИПТО 2005 . Конспекты лекций по информатике. Том. 3621. Спрингер. стр. 546–566. дои : 10.1007/11535218_33. ISBN 978-3-540-28114-6.
56. Наор, Далит; Шенхав; Шерсть (2006). «Возвращение к одноразовым подписям: практические быстрые подписи с использованием фрактального обхода дерева Меркла» (PDF) . ИИЭЭ . Проверено 13 мая 2014 г.
57. Баррето, Пауло СЛМ; Биази, Фелипе Пьяцца; Дахаб, Рикардо; Лопес-Эрнандес, Хулио Сезар; Мораис, Эдуардо М. де; Оливейра, Ана Д. Салина де; Перейра, Геовандро CCF; Рикардини, Джефферсон Э. (2014). Коч, Четин Кая (ред.). Панорама постквантовой криптографии . Международное издательство Спрингер. стр. 387–439. дои : 10.1007/978-3-319-10683-0_16. ISBN 978-3-319-10682-3.
58. Де Фео, Лука; Джао; Плут (2011). «На пути к квантово-устойчивым криптосистемам на основе суперсингулярных изогений эллиптических кривых» (PDF) . Архивировано из оригинала 11 февраля 2014 года . Проверено 12 мая 2014 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
59. «Архив криптологии ePrint: отчет 2016/229» . eprint.iacr.org . Проверено 2 марта 2016 г.
60. Ристич, Иван (25 июня 2013 г.). «Развертывание прямой секретности». SSL-лаборатории . Проверено 14 июня 2014 г.
61. «Обеспечивает ли NTRU идеальную прямую секретность?» crypto.stackexchange.com .
62. «Открыть квантовый сейф». openquantumsafe.org .
63. Стебила, Дуглас; Моска, Мишель. «Постквантовый обмен ключами для Интернета и проект открытой квантовой безопасности». Архив криптологии ePrint, отчет 2016/1017, 2016 г. . Проверено 9 апреля 2017 г.
64. «liboqs: библиотека C для квантовоустойчивых криптографических алгоритмов» . 26 ноября 2017 г. – через GitHub.
65. «openssl: форк OpenSSL, который включает квантово-устойчивые алгоритмы и наборы шифров, основанные на liboqs» . 9 ноября 2017 г. – через GitHub.
66. «ВЕЛОСИПЕД – инкапсуляция ключей с переворотом битов» . сайт Bikesuite.org . Проверено 21 августа 2023 г.
67. ​ pqc-hqc.org . Проверено 21 августа 2023 г.
68. «Быстрая и эффективная аппаратная реализация HQC» (PDF) .
69. Бос, Йоппе; Костелло, Крейг; Дукас, Лео; Миронов Илья; Наэриг, Майкл; Николаенко Валерия; Рагунатан, Анант; Стебила, Дуглас (01 января 2016 г.). «Фродо: Сними кольцо! Практичный квантово-безопасный обмен ключами от LWE». Архив электронной печати по криптологии .
70. "ФродоКЭМ". frodokem.org . Проверено 21 августа 2023 г.
71. "NTRUOpenSourceProject/NTRUEncrypt" . Гитхаб . Проверено 10 апреля 2017 г.
72. Швабе, Питер. «Дилитиум». pq-crystals.org . Проверено 19 августа 2023 г.
73. «Криптографический набор для алгебраических решеток, цифровая подпись: дилитий» (PDF) .
74. Стебила, Дуглас (26 марта 2018 г.). «Информация об алгоритме liboqs nist-branch: kem_newhopenist». Гитхаб . Проверено 27 сентября 2018 г.
75. "Библиотека решетчатой ​​криптографии" . Исследования Майкрософт . 19 апреля 2016 г. Проверено 27 сентября 2018 г.
76. "Библиотека SIDH - Исследования Microsoft" . Исследования Майкрософт . Проверено 10 апреля 2017 г.
77. Фео, Лука Де; Джао, Дэвид; Плю, Жером (01 января 2011 г.). «К квантовоустойчивым криптосистемам на основе суперсингулярных изогений эллиптических кривых». Архив электронной печати по криптологии . PQCrypto 2011. Архивировано из оригинала 3 мая 2014 г.
78. Бернштейн, Дэниел Дж.; Чжоу, Дун; Швабе, Питер (01 января 2015 г.). «McBits: быстрая криптография на основе кода с постоянным временем». Архив электронной печати по криптологии .
79. «Майкрософт/Пикник» (PDF) . Гитхаб . Проверено 27 июня 2018 г.
80. «На пути к квантовым устойчивым ключам безопасности». Блог Google по онлайн-безопасности . Проверено 19 августа 2023 г.
81. Apple Security Engineering and Architecture (SEAR) (21 февраля 2024 г.). «iMessage с PQ3: новый уровень квантово-безопасной передачи сообщений в больших масштабах». Исследование безопасности Apple . Apple Inc. Проверено 22 февраля 2024 г. Благодаря устойчивому к компрометации шифрованию и обширной защите даже от самых сложных квантовых атак PQ3 является первым протоколом обмена сообщениями, достигшим того, что мы называем безопасностью уровня 3, обеспечивая защиту протокола, превосходящую защиту во всех других широко используемых приложениях для обмена сообщениями.
82. Россиньуа, Джо (21 февраля 2024 г.). «Apple объявляет о« новаторском »новом протоколе безопасности для iMessage» . МакСлухи . Проверено 22 февраля 2024 г.
83. Потук, Майкл (21 февраля 2024 г.). «Apple запускает защиту квантового компьютера для iMessage с iOS 17.4, вот что это значит». 9to5Mac . Проверено 22 февраля 2024 г.
84. "Бета-версия надувного замка" .
85. «Открыть квантовый сейф».

дальнейшее чтение

• Постквантовая криптография. Спрингер. 2008. с. 245. ИСБН 978-3-540-88701-0.
• Изогении в квантовом мире. Архивировано 2 мая 2014 г. в Wayback Machine.
• Об идеальных решетках и обучении с ошибками по кольцам
• Возвращение к Kerberos: квантовобезопасная аутентификация
• Схема подписи на пикнике

Внешние ссылки

• PQCrypto, конференция по постквантовой криптографии
• Усилия ETSI по стандартам Quantum Secure
• Постквантовый криптопроект NIST
• Использование и развертывание PQCrypto
• Стоимость сертификации ISO 27001