量子计算的挑战与思考
开篇:润墨网以专业的文秘视角,为您筛选了一篇量子计算的挑战与思考范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 量子计算时代使用什么密码,是摆在我们面前的紧迫的战略问题,研究并建立我国独立自主的抗量子计算密码是唯一正确的选择.从基于HASH函数的数字签名、基于格的公钥密码、MQ公钥密码、基于纠错码的公钥密码4个方面讨论了抗量子密码的发展现状,介绍了自己的研究工作,并从量子信息论、量子计算理论、量子计算环境下的密码安全性、抗量子计算密码的构造理论与关键技术4个方面给出了进一步研究的建议.
关键词: 信息安全;密码学;量子计算;抗量子计算密码
中图分类号:TP 183 文献标志码:A 文章编号:1672-8513(2011)05-0388-08
The Challenge of Quantum Computing to Information Security and Our Countermeasures
ZHANG Huanguo, GUAN Haiming, WANG Houzheng
(Key Lab of Aerospace Information Security and Trusted Computing of Ministry of Education, Computer School, Whan University, Wuhan 430072, China)
Abstract: What cryptosystem to use is a severe challenge that we face in the quantum computing era. It is the only correct choice to research and establish an independent resistant quantum computing cryptosystem. This paper introduces to the research and development of resistant quantum computing cryptography, especially the signature scheme based on HASH function,lattice-based public key cryptosystem,MQ public key cryptosystem and public key cryptosystem based on error correcting codes. Also the paper gives some suggestions for further research on the quantum information theory,the complexity theory of quantum computing,design and analysis of resistant quantum computing cryptosystems .
Key words: information security; cryptography; quantum computing; resistant quantum computing cryptography
1 量子信息时代
量子信息技术的研究对象是实现量子态的相干叠加并对其进行有效处理、传输和存储,以创建新一代高性能的、安全的计算机和通信系统.量子通信和量子计算的理论基础是量子物理学.量子信息科学技术是在20世纪末期发展起来的新学科,预计在21世纪将有大的发展[1].
量子有许多经典物理所没有的奇妙特性.量子的纠缠态就是其中突出的一个.原来存在相互作用、以后不再有相互作用的2个量子系统之间存在瞬时的超距量子关联,这种状态被称为量子纠缠态[1].
量子的另一个奇妙特性是量子通信具有保密特性.这是因为量子态具有测不准和不可克隆的属性,根据这种属性除了合法的收发信人之外的任何人窃取信息,都将破坏量子的状态.这样,窃取者不仅得不到信息,而且窃取行为还会被发现,从而使量子通信具有保密的特性.目前,量子保密通信比较成熟的技术是,利用量子器件产生随机数作为密钥,再利用量子通信分配密钥,最后按传统的“一次一密”方式加密.量子纠缠态的超距作用预示,如果能够利用量子纠缠态进行通信,将获得超距和超高速通信.
量子计算机是一种以量子物理实现信息处理的新型计算机.奇妙的是量子计算具有天然的并行性.n量子位的量子计算机的一个操作能够处理2n个状态,具有指数级的处理能力,所以可以用多项式时间解决一些指数复杂度的问题.这就使得一些原来在电子计算机上无法解决的困难问题,在量子计算机上却是可以解决的.
2 量子计算机对现有密码提出严重挑战
针对密码破译的量子计算机算法主要有以下2种.
第1种量子破译算法叫做Grover算法[3].这是贝尔实验室的Grover在1996年提出的一种通用的搜索破译算法,其计算复杂度为O(N).对于密码破译来说,这一算法的作用相当于把密码的密钥长度减少到原来的一半.这已经对现有密码构成很大的威胁,但是并未构成本质的威胁,因为只要把密钥加长1倍就可以了.
第2种量子破译算法叫做Shor算法[4].这是贝尔实验室的Shor在1997年提出的在量子计算机上求解离散对数和因子分解问题的多项式时间算法.利用这种算法能够对目前广泛使用的RSA、ECC公钥密码和DH密钥协商体制进行有效攻击.对于椭圆曲线离散对数问题,Proos和Zalka指出:在N量子位(qbit)的量子计算机上可以容易地求解k比特的椭圆曲线离散对数问题[7],其中N≈5k+8(k)1/2+5log 2k.对于整数的因子分解问题,Beauregard指出:在N量子位的量子计算机上可以容易地分解k比特的整数[5],其中N≈2k.根据这种分析,利用1448qbit的计算机可以求解256位的椭圆曲线离散对数,因此也就可以破译256位的椭圆曲线密码,这可能威胁到我国第2代身份证的安全.利用2048qbit的计算机可以分解1024位的整数,因此也就可以破译1024位的RSA密码,这就可能威胁到我们电子商务的安全
Shor算法的攻击能力还在进一步扩展,已从求广义解离散傅里叶变换问题扩展到求解隐藏子群问题(HSP),凡是能归结为HSP的公钥密码将不再安全.所以,一旦量子计算机能够走向实用,现在广泛应用的许多公钥密码将不再安全,量子计算机对我们的密码提出了严重的挑战.
3 抗量子计算密码的发展现状
抗量子计算密码(Resistant Quantum Computing Cryptography)主要包括以下3类:
第1类,量子密码;第2类,DNA密码;第3类是基于量子计算不擅长计算的那些数学问题所构建的密码.
量子保密的安全性建立在量子态的测不准与不可克隆属性之上,而不是基于计算的[1,6].类似地,DNA密码的安全性建立在一些生物困难问题之上,也不是基于计算的[7-8].因此,它们都是抗量子计算的.由于技术的复杂性,目前量子密码和DNA密码尚不成熟.
第3类抗量子计算密码是基于量子计算机不擅长的数学问题构建的密码.基于量子计算机不擅长计算的那些数学问题构建密码,就可以抵御量子计算机的攻击.本文主要讨论这一类抗量子计算密码[9].
所有量子计算机不能攻破的密码都是抗量子计算的密码.国际上关于抗量子计算密码的研究主要集中在以下4个方面.
3.1 基于HASH函数的数字签名
1989年Merkle提出了认证树签名方案(MSS)[10]. Merkle 签名树方案的安全性仅仅依赖于Hash函数的安全性.目前量子计算机还没有对一般Hash函数的有效攻击方法, 因此Merkle签名方案具有抗量子计算性质.与基于数学困难性问题的公钥密码相比,Merkle签名方案不需要构造单向陷门函数,给定1个单向函数(通常采用Hash函数)便能造1个Merkle签名方案.在密码学上构造1个单向函数要比构造1个单向陷门函数要容易的多,因为设计单向函数不必考虑隐藏求逆的思路, 从而可以不受限制地运用置换、迭代、移位、反馈等简单编码技巧的巧妙组合,以简单的计算机指令或廉价的逻辑电路达到高度复杂的数学效果.新的Hash标准SHA-3[11]的征集过程中,涌现出了许多新的安全的Hash函数,利用这些新的Hash算法可以构造出一批新的实用Merkle签名算法.
Merkle 签名树方案的优点是签名和验证签名效率较高,缺点是签名和密钥较长,签名次数受限.在最初的Merkle签名方案中, 签名的次数与需要构造的二叉树紧密相关.签名的次数越多,所需要构造的二叉树越大,同时消耗的时间和空间代价也就越大.因此该方案的签名次数是受限制的.近年来,许多学者对此作了广泛的研究,提出了一些修改方案,大大地增加了签名的次数, 如CMSS方案[12]、GMSS方案[13]、DMSS方案等[14].Buchmann, Dahmen 等提出了XOR树算法[12,15],只需要采用抗原像攻击和抗第2原像攻击的Hash函数,便能构造出安全的签名方案.而在以往的Merkle签名树方案中,则要求Hash函数必须是抗强碰撞的.这是对原始Merkle签名方案的有益改进.上述这些成果,在理论上已基本成熟,在技术上已基本满足工程应用要求, 一些成果已经应用到了Microsoft Outlook 以及移动路由协议中[16].
虽然基于Hash函数的数字签名方案已经开始应用,但是还有许多问题需要深入研究.如增加签名的次数、减小签名和密钥的尺寸、优化认证树的遍历方案以及如何实现加密和基于身份的认证等功能,均值得进一步研究.
3.2 基于纠错码的公钥密码
基于纠错码的公钥密码的基本思想是: 把纠错的方法作为私钥, 加密时对明文进行纠错编码,并主动加入一定数量的错误, 解密时运用私钥纠正错误, 恢复出明文.
McEliece利用Goppa码有快速译码算法的特点, 提出了第1个基于纠错编码的McEliece公钥密码体制[17].该体制描述如下, 设G是二元Goppa码[n;k;d]的生成矩阵,其中n=2h;d=2t+1;k=n-ht,明密文集合分别为GF(2)k和GF(2)n.随机选取有限域GF(2)上的k阶可逆矩阵S和n阶置换矩阵P,并设G′=SGP,则私钥为,公钥为G′.如果要加密一个明文m∈GF(2)k,则计算c=mG′+z,这里z∈GF(2)n是重量为t的随机向量.要解密密文c, 首先计算cP-1=mSGPP-1+zP-1=mSG+zP-1,由于P是置换矩阵, 显然z与zP-1的重量相等且为t,于是可利用Goppa的快速译码算法将cP-1译码成m′= mS,则相应明文m= m′S-1.
1978年Berlekamp等证明了一般线性码的译码问题是NPC问题[18],McEliece密码的安全性就建立在这一基础上.McEliece密码已经经受了30多年来的广泛密码分析,被认为是目前安全性最高的公钥密码体制之一.虽然McEliece 公钥密码的安全性高且加解密运算比较快, 但该方案也有它的弱点, 一是它的公钥尺寸太大,二是只能加密不能签名.
1986年Niederreiter提出了另一个基于纠错码的公钥密码体制[19]. 与McEliece密码不同的是它隐藏的是Goppa码的校验矩阵.该系统的私钥包括二元Goppa码[n;k;d]的校验矩阵H以及GF(2)上的可逆矩阵M和置换矩阵P.公钥为错误图样的重量t和矩阵H′=MHP.假如明文为重量为t 的n 维向量m, 则密文为c=mH′T .解密时,首先根据加密表达式可推导出z(MT )-1=mPTHT,然后通过Goppa码的快速译码算法得到mPT,从而可求出明文m .1994年我国学者李元兴、王新梅等[20]证明了Niederreiter密码与McEliece密码在安全性上是等价的.
McEliece密码和Niederreiter密码方案不能用于签名的主要原由是,用Hash算法所提取的待签消息摘要向量能正确解码的概率极低.2001年Courtois等提出了基于纠错码的CFS签名方案[21].CFS 签名方案能做到可证明安全, 短签名性质是它的最大优点. 其缺点是密钥量大、签名效率低,影响了其实用性.
因此, 如何用纠错码构造一个既能加密又签名的密码, 是一个相当困难但却非常有价值的开放课题.
3.3 基于格的公钥密码
近年来,基于格理论的公钥密码体制引起了国内外学者的广泛关注.格上的一些难解问题已被证明是NP难的,如最短向量问题(SVP)、最近向量问题(CVP)等.基于格问题建立公钥密码方案具有如下优势:①由于格上的一些困难性问题还未发现量子多项式破译算法,因此我们认为基于格上困难问题的密码具有抗量子计算的性质.②格上的运算大多为线性运算,较RSA等数论密码实现效率高,特别适合智能卡等计算能力有限的设备.③根据计算复杂性理论,问题类的复杂性是指该问题类在最坏情况下的复杂度.为了确保基于该类困难问题的密码是安全的,我们希望该问题类的平均复杂性是困难的,而不仅仅在最坏情况下是困难的.Ajtai在文献[22]中开创性地证明了:格中一些问题类的平均复杂度等于其最坏情况下的复杂度.Ajtai和Dwork利用这一结论设计了AD公钥密码方案[23].这是公钥密码中第1个能被证明其任一随机实例与最坏情况相当.尽管AD公钥方案具有良好的安全性, 但它的密钥量过大以及实现效率太低、而缺乏实用性.
1996年Hoffstein、Pipher和Silverman提出NTRU(Number Theory Research Unit)公钥密码[24]. 这是目前基于格的公钥密码中最具影响的密码方案.NTRU的安全性建立在在一个大维数的格中寻找最短向量的困难性之上.NTRU 密码的优点是运算速度快,存储空间小.然而, 基于NTRU的数字签名方案却并不成功.
2000年Hoffstein等利用NTRU格提出了NSS签名体制[25], 这个体制在签名时泄露了私钥信息,导致了一类统计攻击,后来被证明是不安全的.2001年设计者改进了NSS 体制,提出了R-NSS 签名体制[26],不幸的是它的签名仍然泄露部分私钥信息.Gentry 和Szydlo 结合最大公因子方法和统计方法,对R-NSS 作了有效的攻击.2003年Hoffstein等提出了NTRUSign数字签名体制[27].NTRUSign 签名算法较NSS与R-NSS两个签名方案做了很大的改进,在签名过程中增加了对消息的扰动, 大大减少签名中对私钥信息的泄露, 但却极大地降低了签名的效率, 且密钥生成过于复杂.但这些签名方案都不是零知识的,也就是说,签名值会泄露私钥的部分相关信息.以NTRUSign 方案为例,其推荐参数为(N;q;df;dg;B;t;N)= (251;128;73;71;1;"transpose";310),设计值保守推荐该方案每个密钥对最多只能签署107 次,实际中一般认为最多可签署230次.因此,如何避免这种信息泄露缺陷值得我们深入研究.2008 年我国学者胡予濮提出了一种新的NTRU 签名方案[28],其特点是无限制泄露的最终形式只是关于私钥的一组复杂的非线性方程组,从而提高了安全性.总体上这些签名方案出现的时间都还较短,还需要经历一段时间的安全分析和完善.
由上可知,进一步研究格上的困难问题,基于格的困难问题设计构造既能安全加密又能安全签名的密码,都是值得研究的重要问题.
3.4 MQ公钥密码
MQ公钥密码体制, 即多变量二次多项式公钥密码体制(Multivariate Quadratic Polynomials Public Key Cryptosystems).以下简称为MQ密码.它最早出现于上世纪80年代,由于早期的一些MQ密码均被破译,加之经典公钥密码如RSA算法的广泛应用,使得MQ公钥算法一度遭受冷落.但近10年来MQ密码的研究重新受到重视,成为密码学界的研究热点之一.其主要有3个原因:一是量子计算对经典公钥密码的挑战;二是MQ密码孕育了代数攻击的出现[29-31],许多密码(如AES)的安全性均可转化为MQ问题,人们试图借鉴MQ密码的攻击方法来分析这些密码,反过来代数攻击的兴起又带动了MQ密码的蓬勃发展;三是MQ密码的实现效率比经典公钥密码快得多.在目前已经构造出的MQ密码中, 有一些非常适用于智能卡、RFID、移动电话、无线传感器网络等计算能力有限的设备, 这是RSA等经典公钥密码所不具备的优势.
MQ密码的安全性基于有限域上的多变量二次方程组的难解性.这是目前抗量子密码学领域中论文数量最多、最活跃的研究分支.
设U、T 是GF(q)上可逆线性变换(也叫做仿射双射变换),而F 是GF(q)上多元二次非线性可逆变换函数,称为MQ密码的中心映射.MQ密码的公钥P为T 、F 和U 的复合所构成的单向陷门函数,即P = T•F•U,而私钥D 由U、T 及F 的逆映射组成,即D = {U -1; F -1; T -1}.如何构造具有良好密码性质的非线性可逆变换F是MQ密码设计的核心.根据中心映射的类型划分,目前MQ密码体制主要有:Matsumoto-Imai体制、隐藏域方程(HFE) 体制、油醋(OV)体制及三角形(STS)体制[32].
1988年日本的Matsumoto和Imai运用"大域-小域"的原理设计出第1个MQ方案,即著名的MI算法[33].该方案受到了日本政府的高度重视,被确定为日本密码标准的候选方案.1995年Patarin利用线性化方程方法成功攻破了原始的MI算法[34].然而,MI密码是多变量公钥密码发展的一个里程碑,为该领域带来了一种全新的设计思想,并且得到了广泛地研究和推广.改进MI算法最著名的是SFLASH签名体制[35],它在2003年被欧洲NESSIE 项目收录,用于智能卡的签名标准算法.该标准签名算法在2007年美密会上被Dubois、Fouque、Shamir等彻底攻破[36].2008年丁津泰等结合内部扰动和加模式方法给出了MI的改进方案[37-38].2010年本文作者王后珍、张焕国也给出了一种SFLASH的改进方案[39-40],改进后的方案可以抵抗文献[36]的攻击.但这些改进方案的安全性还需进一步研究.
1996年Patarin针对MI算法的弱点提出了隐藏域方程HFE(Hidden Field Equations)方案[41].HFE可看作为是对MI的实质性改进.2003 年Faugere利用F5算法成功破解了HFE体制的Challenge-1[42].HFE主要有2种改进算法.一是HFEv-体制,它是结合了醋变量方法和减方法改进而成,特殊参数化HFEv-体制的Quartz签名算法[43].二是IPHFE体制[44],这是丁津泰等结合内部扰动方法对HFE的改进.这2种MQ密码至今还未发现有效的攻击方法.
油醋(OilVinegar)体制[45]是Patarin在1997年利用线性化方程的原理,构造的一种MQ公钥密码体制.签名时只需随机选择一组醋变量代入油醋多项式,然后结合要签名的文件,解一个关于油变量的线性方程组.油醋签名体制主要分为3类:1997年Patarin提出的平衡油醋(OilVinegar)体制, 1999年欧密会上Kipnis、Patarin 和Goubin 提出的不平衡油醋(Unbalanced Oil and Vinegar)体制[46]以及丁津泰在ACNS2005会议上提出的彩虹(Rainbow)体制[47].平衡的油醋体制中,油变量和醋变量的个数相等,但平衡的油醋体制并不安全.彩虹体制是一种多层的油醋体制,即每一层都是油醋多项式,而且该层的所有变量都是下一层的醋变量,它也是目前被认为是相对安全的MQ密码之一.
三角形体制是现有MQ密码中较为特殊的一类,它的签名效率比MI和HFE还快,而且均是在较小的有限域上进行.1999年Moh基于Tame变换提出了TTM 密码体制[48],并在美国申请了专利.丁津泰等指出当时所有的TTM实例均满足线性化方程.Moh等随后又提出了一个新的TTM 实例,这个新的实例被我国学者胡磊、聂旭云等利用高阶线性化方程成功攻破[49].目前三角形体制的设计主要是围绕锁多项式的构造、结合其它增强多变量密码安全性的方法如加减(plus-minus) 模式以及其它的代数结构如有理映射等.
我国学者也对MQ密码做了大量研究,取得了一些有影响的研究成果.2007年管海明引入单向函数链对MQ密码进行扩展,提出了有理分式公钥密码系统[50].胡磊、聂旭云等利用高阶线性化方程成功攻破了Moh提出的一个TTM新实例[51].2010年本文作者王后珍、张焕国给出了一种SFLASH的改进方案[39-40].2010年王后珍、张焕国基于扩展MQ,设计了一种Hash函数[52-53],该Hash函数具有一些明显的特点.同年,王后珍、张焕国借鉴有理分式密码单向函数链的思想[52],对MQ密码进行了扩展,设计了一种新的抗量子计算扩展MQ密码[54].这些研究对于扩展MQ密码结构,做了有益的探索.但是这些方案提出的时间较短,其安全性有待进一步分析.
根据上面的介绍,目前还没有一种公认安全的MQ公钥密码体制.目前MQ公钥密码的主要缺点是:只能签名,不能安全加密(加密时安全性降低),公钥大小较长,很难设计出既安全又高效的MQ公钥密码体制.
3.5 小结
无论是量子密码、DNA密码,还是基于量子计算不擅长计算的那些数学问题所构建的密码,都还存在许多不完善之处,都还需要深入研究.
量子保密通信比较成熟的是,利用量子器件产生随机数作为密钥,再利用量子通信分配密钥,最后按“一次一密”方式加密.在这里,量子的作用主要是密钥产生和密钥分配,而加密还是采用的传统密码.因此,严格说这只能叫量子保密,尚不能叫量子密码.另外,目前的量子数字签名和认证方面还存在一些困难.
对于DNA密码,目前虽然已经提出了DNA传统密码和DNA公钥密码的概念和方案,但是理论和技术都还不成熟[9-10].
对于基于量子计算不擅长计算的那些数学问题所构建的密码,现有的密码方案也有许多不足.如,Merkle树签名可以签名,不能加密;基于纠错码的密码可以加密,签名不理想;NTRU密码可以加密,签名不理想;MQ密码可以签名,加密不理想.这说明目前尚没有形成的理想的密码体制.而且这些密码的安全性还缺少严格的理论分析.
总之,目前尚未形成理想的抗量子密码.
4 我们的研究工作
我们的研究小组从2007年开始研究抗量子计算密码.目前获得了国家自然科学基金等项目的支持,并取得了以下2个阶段性研究成果.
4.1 利用多变量问题,设计了一种新的Hash函数
Hash 函数在数字签名、完整性校验等信息安全技术中被广泛应用.目前 Hash 函数的设计主要有3类方法:①直接构造法.它采用大量的逻辑运算来确保Hash函数的安全性. MD系列和SHA系列的Hash函数均是采用这种方法设计的.②基于分组密码的Hash 函数,其安全性依赖于分组密码的安全性.③基于难解性问题的构造法.利用一些难解性问题诸如离散对数、因子分解等来构造Hash 函数.在合理的假设下,这种Hash函数是可证明安全的,但一般来讲其效率较低.
我们基于多变量非线性多项式方程组的难解性问题,构造了一种新的Hash 函数[54-55].它的安全性建立在多变量非线性多项式方程组的求解困难性之上.方程组的次数越高就越安全,但是效率就越低.它的效率主要取决多变量方程组的稀疏程度,方程组越稀疏效率就越高,但安全性就越低.我们可以权衡安全性和效率来控制多变量多项式方程组的次数和稠密度,以构造出满足用户需求的多变量Hash 函数.
4.2 对MQ密码进行了扩展,把Hash认证技术引入MQ密码,得到一种新的扩展MQ密码
扩展MQ密码的基本思想是对传统MQ密码的算法空间进行拓展. 如图1所示, 我们通过秘密变换L将传统MQ密码的公钥映G:GF(q)nGF(q)n, 拓展隐藏到更大算法空间中得到新的公钥映射G′:GF(q)n+δGF(q)n+μ, 且G′的输入输出空间是不对称的, 原像空间大于像空间(δ>|μ|), 即具有压缩性, 但却并未改变映射G的可逆性质. 同时, 算法空间的拓展破坏了传统MQ密码的一些特殊代数结构性质, 从攻击者的角度, 由于无法从G′中成功分解出原公钥映射G, 因此必须在拓展空间中求解更大规模的非线性方程组G′, 另外, 新方案中引入Hash认证技术, 攻击者伪造签名时, 伪造的签名不仅要满足公钥方程G′、 还要通过Hash函数认证, 双重安全性保护极大地提升了传统MQ公钥密码系统的安全性. 底层MQ体制及Hash函数可灵活选取, 由此可构造出一类新的抗量子计算公钥密码体制.这种扩展MQ密码的特点是,既可安全签名,又可安全加密[56].
我们提出的基于多变量问题的Hash函数和扩展MQ密码,具有自己的优点,也有自己的缺点.其安全性还需要经过广泛的分析与实践检验才能被实际证明.
5 今后的研究工作
5.1 量子信息论
量子信息建立在量子的物理属性之上,由于量子的物理属性较之电子的物理属性有许多特殊的性质,据此我们估计量子的信息特征也会有一些特殊的性质.这些特殊性质将会使量子信息论对经典信息论有一些新的扩展.但是,具体有哪些扩展,以及这些新扩展的理论体系和应用价值体现在哪里?我们尚不清楚.这是值得我们研究的重要问题.
5.2 量子计算理论
这里主要讨论量子可计算性理论和量子计算复杂性理论.
可计算性理论是研究计算的一般性质的数学理论.它通过建立计算的数学模型,精确区分哪些是可计算的,哪些是不可计算的.如果我们研究清楚量子可计算性理论,将有可能构造出量子计算环境下的绝对安全密码.但是我们目前对量子可计算性理论尚不清楚,迫切需要开展研究.
计算复杂性理论使用数学方法对计算中所需的各种资源的耗费作定量的分析,并研究各类问题之间在计算复杂程度上的相互关系和基本性质.它是密码学的理论基础之一,公钥密码的安全性建立在计算复杂性理论之上.因此,抗量子计算密码应当建立在量子计算复杂性理论之上.为此,应当研究以下问题.
1) 量子计算的问题求解方法和特点.量子计算复杂性建立在量子图灵机模型之上,问题的计算是并行的.但是目前我们对量子图灵机的计算特点及其问题求解方法还不十分清楚,因此必须首先研究量子计算问题求解的方法和特点.
2) 量子计算复杂性与传统计算复杂性之间的关系.与电子计算机环境的P问题、NP问题相对应, 我们记量子计算环境的可解问题为QP问题, 难解问题为QNP问题.目前人们对量子计算复杂性与传统计算复杂性的关系还不够清楚,还有许多问题需要研究.如NP与QNP之间的关系是怎样的? NPC与QP的关系是怎样的?NPC与QNP的关系是怎样的?能否定义QNPC问题?这些问题关系到我们应基于哪些问题构造密码以及所构造的密码是否具有抗量子计算攻击的能力.
3) 典型难计算问题的量子计算复杂度分析.我们需要研究传统计算环境下的一些NP难问题和NPC问题,是属于QP还是属于QNP问题?
5.3 量子计算环境下的密码安全性理论
在分析一个密码的安全性时,应首先分析它在电子计算环境下的安全性,如果它是安全的,再进一步分析它在量子计算环境下的安全性.如果它在电子计算环境下是不安全的,则可肯定它在量子计算环境下是不安全的.
1) 现有量子计算攻击算法的攻击能力分析.我们现在需要研究的是Shor算法除了攻击广义离散傅里叶变换以及HSP问题外,还能攻击哪些其它问题?如果能攻击,攻击复杂度是多大?
2) 寻找新的量子计算攻击算法.因为密码的安全性依赖于新攻击算法的发现.为了确保我们所构造的密码在相对长时间内是安全的,必须寻找新的量子计算攻击算法.
3) 密码在量子计算环境下的安全性分析.目前普遍认为, 基于格问题、MQ问题、纠错码的译码问题设计的公钥密码是抗量子计算的.但是,这种认识尚未经过量子计算复杂性理论的严格的论证.这些密码所依赖的困难问题是否真正属于QNP问题?这些密码在量子计算环境下的实际安全性如何?只有经过了严格的安全性分析,我们才能相信这些密码.
5.4 抗量子计算密码的构造理论与关键技术
通过量子计算复杂性理论和密码在量子计算环境下的安全性分析的研究,为设计抗量子计算密码奠定了理论基础,并得到了一些可构造抗量子计算的实际困难问题.但要实际设计出安全的密码,还要研究抗量子计算密码的构造理论与关键技术.
1) 量子计算环境下的单向陷门设计理论与方法.理论上,公钥密码的理论模型是单向陷门函数.要构造一个抗量子计算公钥密码首先就要设计一个量子计算环境下的单向陷门函数.单向陷门函数的概念是简单的,但是单向陷门函数的设计是困难的.在传统计算复杂性下单向陷门函数的设计已经十分困难,我们估计在量子计算复杂性下单向陷门函数的设计将更加困难.
2) 抗量子计算密码的算法设计与实现技术.有了单向陷门函数,还要进一步设计出密码算法.有了密码算法,还要有高效的实现技术.这些都是十分重要的问题.都需要认真研究才能做好.
6 结语
量子计算时代我们使用什么密码,是摆在我们面前的重大战略问题.研究并建立我国独立自主的抗量子计算密码是我们的唯一正确的选择.本文主要讨论了基于量子计算机不擅长计算的数学问题所构建的一类抗量子计算的密码,介绍了其发展现状,并给出了进一步研究的建议.
参考文献:
[1]张镇九,张昭理,李爱民.量子计算与通信保密[M].武汉:华中师范大学出版社,2002.
[2]管海明. 国外量子计算机进展、对信息安全的挑战与对策[J].计算机安全,2009(4):1-5.
[3]GROVER L K. A fast quantum mechanical algorithm for database search[C]// Proceedings of the Twenty-Eighth Annual Symposium on the Theory of Computing. New York: ACM Press, 1996.
[4]SHOR P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer [J]. SIAM J Computer, 1997(26) :1484-1509.
[5]HANKERSON D, MENEZES A, VANSTONE S. 椭圆曲线密码学导论[M].张焕国,译.北京:电子工业出版社,2005.
[6]曾贵华. 量子密码学[M].北京:科学出版社,2006.
[7]来学嘉, 卢明欣, 秦磊, 等. 基于DNA 技术的非对称加密与签名方法[J]. 中国科学E辑:信息科学, 2010, 40(2): 240-248.
[8]卢明欣,来学嘉,肖国镇,等. 基于DNA技术的对称加密方法[J]. 中国科学E辑:信息科学, 2007(2): 175-182.
[9]BERNSTEIN D J, BUCHMANN J A, DAHMEN E. Post-quantum cryptography [M]. Berlin:Springer, 2009.
[10]MERKLE R C. A certified digital signature[C]//Advances in Cryptology-CRYPTO 1989 Proceedings, LNCS. Berlin:Springer, 1989,435:218-238.
[11]NIST. Plan for new cryptographic hash functions[EB/OL]. [2010-12-30]..
[49]DING J, HU L, NIE X Y, et al. High order linearization equation (HOLE) attack on multivariate public key cryptosystems[C]//Proceedings of PKC 2007. Berlin: Springer-Verlag, 2007: 233-248.
[50]管海明.有理分式公钥密码体制[C]//第五届中国信息与通信安全学术会议(CCICS’2007)论文集.科学出版社,2007:135-141.
[51]胡磊,聂旭云.多变量公钥密码的研究进展[C]//中国密码学发展报告.北京:电子工业出版社, 2007: 235-254.
[52]王后珍,张焕国.多变量Hash函数的构造理论与方法[J].中国科学:信息科学版,2010,40(10):1299-1311.
[53]WANG H Z, ZHANG H G. Design theory and method of multivariate hash function[J].SCIENCE CHINA:Information Sciences, 2010, 53(10):1 917-2 158.
[54]王后珍, 张焕国.一种新的轻量数字签名方法[J].通信学报,2010(11):25-29.
收稿日期:2011-04-20.
基金项目:国家自然科学基金(60970115,91018008).
作者简介:张焕国(1945-),男,教授,博士生导师.主要研究方向:信息安全、密码学、可信计算机、容错计算.