1. 引言
密码学的安全性取决于其底层的数学难题猜想。当今密码学的2大主流数学难题为:
- 整数因式分解难题
- 离散对数难题
而目前已知的经典算法破解这些难题需要指数级时间,Shor Sho94 Algorithms for quantum computation: Discrete logarithms and factoring 中证明了可 以量子多项式时间 来破解这些难题。这就意味着,在量子计算机领域,当今大多数密码学算法都将被破解。虽然还不清楚量子计算机何时会成为现实,但最近在这一领域取得了重大进展,人们普遍认为,迫切需要开发针对量子计算机的安全密码系统。为此,NIST(National Institute of Standards and Technology),在2016年启动了一个后量子加密项目(post-quantumcryptography project),该项目旨在征求、评估和标准化一个或多个抗量子公钥密码算法。
本文既不关注构建量子计算机的进展,也不关注经典计算机与量子计算机的差异。本文重点关注量子困难的数学难题猜想,并讨论量子密码学的某些应用。
2. 后量子密码学的方向
根据后量子密码学底层的数学难题,可将后量子密码学主要分为:
-
1)基于Lattice的密码学:作为后量子密码学候选者,基于Lattice的密码学是最受欢迎的一个。所谓lattice(格),是指具有 n n n维空间的一组点组成的周期性结构。格无处不在,存在于 从晶体到成堆的水果,再到古代伊斯兰艺术,从拉格朗日、明可夫斯基和高斯等古代数学家到现代计算机科学家,对格进行了广泛的研究。格可以某basis来表示,基于basis生成点,已知某basis,最基本的问题在于找到相应格内的最小非零点。最短向量难题(SVP,shortest vector problem)为经典难题,与后面看到的许多其它难题有关。
目前还没有性能明显优于经典算法的有效的量子算法能够解决lattice难题。事实上,量子计算机的唯一优势是适度的通用加速。
格密码学还有其它优势,如:- 其算法简单、高效、可高度并行化
- 具有a surprising connection between average case and worst case hardness特性,这个特性很有吸引力。密码学是基于average case难题的,即意味着随机选中的难题实例将很难被破解。而复杂性理论则通常研究的是worst case的hardness,即很难找到并破解某个难题实例。Ajtai Ajt96 . Generating hard instances of lattice problems (extended abstract) 论文中指出,若相关lattice难题在worst case情况下难破解,则其在average case下也是难破解的。
-
2)多变量多项式密码学
-
3)基于编码的密码学
-
4)基于Hash的密码学