族蚂建站怎么样,代理网页免费,莱芜二手房网站,wordpress 4.9.1目录 笔记后续的研究方向摘要引言贡献 AIM: Symmetric Primitive for Shorter Signatures with Stronger Security CCS 2023 笔记
后续的研究方向
摘要
基于头部MPC#xff08;MPCitH#xff09;范式的后量子签名方案最近引起了人们的极大关注#xff0c;因为它们的安全性… 目录 笔记后续的研究方向摘要引言贡献 AIM: Symmetric Primitive for Shorter Signatures with Stronger Security CCS 2023 笔记
后续的研究方向
摘要
基于头部MPCMPCitH范式的后量子签名方案最近引起了人们的极大关注因为它们的安全性仅取决于底层原语的单向性为后量子密码学中的硬度假设提供了多样性。最近的MPCitH友好密码是使用在大域上操作的简单代数S盒来设计的以提高所得签名方案的性能。由于其代数结构简单因此应全面研究其对抗代数攻击的安全性。
在本文中我们改进了二进制扩展域上基于幂映射的S盒的代数密码分析以及基于这种S盒的密码原语。特别是对于F2上的Groübner基攻击我们通过实验证明从底层S盒获得的布尔二次方程的确切数量对于正确估计理论复杂性至关重要基于规则性的程度。同样当从S盒中找到并使用所有可能的二次方程时XL攻击可能会更快。这种精细的密码分析导致基于代数S盒的密码原语的更精确的代数分析。
考虑到精细的代数密码分析我们提出了一种新的单向函数称为AIM作为一种MPCitH友好的对称原语具有很高的代数攻击抵抗力。从代数攻击、统计攻击、量子攻击和一般攻击等方面全面分析了AIM的安全性。AIM与BN证明系统相结合产生了一种新的签名方案称为AIMer。我们的实现表明AIMer在签名大小和签名时间方面优于现有的基于对称基元的签名方案。
引言
近年来随着对量子计算机的大量研究量子计算机带来的安全威胁正在迅速成为现实。密码学在量子计算环境中被认为是特别危险的因为最广泛使用的公钥方案的安全性依赖于因子分解或离散对数的硬度而这是用量子计算机在多项式时间内解决的[89]。这鼓励密码社区研究对量子攻击具有弹性的后量子密码方案。NIST发起了一场后量子密码术PQC标准化竞赛最近宣布了其选定的算法CRYSTAL Kyber[87]作为公钥加密方案CRYSTAL Dilithium[79]、Falcon[83]和SPHINCS[55]作为数字签名方案。
基于头部的签名中的MPC。Ishai等人[56]提出的头部MPCMPCitH是一种从多方计算MPC协议构建零知识证明ZKP系统的范例。它的实用性通过ZKBoo方案得到了证明这是Giacomelli等人提出的第一个有效的基于MPCitH的证明方案。[48]。MPCitH范式的主要应用之一是构建如下的后量子签名。给定一个单向函数和一个输入输出对(, )使得() ,可以构造具有密钥的数字签名方案,公钥,和秘密的知识的非交互式零知识证明NIZKPoK作为签名。
基于MPCitH的签名方案的主要优点是它们的安全性仅取决于密钥生成中使用的单向函数的安全性这使得它们与安全性基于某些数学问题的硬度假设的方案相比更可靠这些数学问题在安全性降低方面存在潜在差距。例如多元签名方案Rainbow[34]最近通过利用其硬度假设和实际安全性之间的差距而被打破[19]。此外基于同源性的密钥交换算法SIKE[60]揭示了其弱点因为其安全假设不成立[23]。在这种情况下基于MPCitH的签名方案吸引了人们的极大关注因为它们为潜在的硬度假设提供了多样性。NIST最近呼吁增加数字签名方案[82]也表达了对非基于结构化格的签名方案的主要兴趣。
Picnic[24]是第一个也是最著名的基于MPCitH范式的签名方案它结合了MPC友好的分组密码LowMC[3]和称为ZKB的MPCitH证明系统ZKB是ZKBoo的优化变体。Katz等人[62]通过预处理进一步提高ZKB的效率提出了一种新的证明系统KKW并相应地更新了Picnic。Picnic的更新版本是唯一一个晋级NIST PQC第三轮比赛的基于ZKP的方案。
LowMC是一种相对较新的设计它可以在MPC环境中有效地计算其中与XOR相比AND运算非常昂贵。LowMC受到了各种攻击部分原因是LowMC挑战1其中一些攻击有效[1011383972757684]LowMC参数也进行了相应的修改。由于针对LowMC的安全问题有人试图从标准AES分组密码的单向性构建基于MPCitH的签名方案。2这样从AES的单一评估中恢复密钥的难度降低到了基于签名方案的安全性。BBQ[31]和Banque[15]是基于AES的签名方案其中BBQ采用KKW证明系统Banquet通过为中间状态注入份额来改进BBQ。
为了在宴会证明系统中充分利用大域上的有效乘法Dobraunig等人提出了MPCitH友好密码LS-AES和Rain。它们是基于大域上的逆S盒的置换置换密码[40]。这种设计策略提高了基于MPCitH的签名方案的效率同时由于其代数结构简单应通过对任何可能的代数攻击进行综合分析来仔细确定轮数。Kales和Zaverucha[61]提出了许多优化技术来进一步提高Baum和Nof证明系统的效率[14]他们的变体被称为BN。当Rain与BN相结合时据我们所知在相同的签名/验证时间水平下与现有的基于MPCitH的签名相比得到的签名方案具有最短的签名大小。
最近在MPCitH范式中考虑了许多计算问题如综合症解码问题[45]、子集和问题[46]、多元二次问题和格问题[1820]。还研究了交替模量的PRF[37]。这些方案中的大多数都是基于众所周知的安全假设而它们的性能通常不具有竞争力因此我们认为它们与我们的基于对称基元的方案相当正交。
贡献
本文的主要贡献有两个方面。首先我们改进了二进制扩展域上基于幂映射的S盒的代数密码分析以及基于这种S盒的密码原语。特别是我们关注Groübner基和XL扩展线性化攻击因为它们允许人们仅从单向函数的单个求值来求解方程组这是在基于MPCitH的签名方案中使用的情况。以前关于大域上对称基元的大多数工作仅在大域上分析了它们对Groübner基攻击的安全性[144049]。Dobraunig等人考虑了对F2的分析[40]但只处理高次方程。我们使用中间变量将Groübner基攻击应用于F2上的低阶方程组。当谈到F2上的Groübner基攻击时我们通过实验证明从底层S盒获得的布尔二次方程的确切数量对于基于正则度正确估计理论复杂度至关重要。同样当从S盒中找到并使用所有可能的二次方程时XL攻击可能会更快。这些结果导致了基于代数S盒的密码原语的更精确的代数分析。
其次根据基于精细代数密码分析的设计原理我们提出了一种新的单向函数称为AIM3作为一种MPCitH友好的对称原语具有很高的代数攻击抵抗力。AIM使用基于幂映射的梅森S盒幂映射具有形式2的指数 −1.与典型的逆S盒相比Mersenne S盒对代数攻击具有更高的抵抗力。从代数攻击、统计攻击、量子攻击和一般攻击等方面全面分析了AIM的安全性。AIM与BN证明系统相结合BN证明是最先进的MPCitH证明系统之一适用于大型领域产生了一种新的签名方案称为AIMer。AIM函数旨在充分利用BN证明系统的各种优化技术在不显著牺牲签名和验证时间的情况下减少整体签名大小。
我们实现了AIMer签名方案并将其基准与同一机器上现有的后量子签名进行了比较。我们的实施可在https://anonymous.4open.science/r/AMER-CCS23结果总结在第6节中。与基于BN证明系统和3轮分别为4轮Rain相结合的签名方案相比AIMer在128位安全级别下签名大小缩短了8.21%分别为21.15%签名性能提高了1.22%分别为13.41%被设置为16。
