课程:《密码与安全新技术专题》
班级: 1892
姓名: 张鸿羽
学号:20189217
上课教师:孙莹
上课日期:2019年3月12日
必修/选修: 选修
1.本次讲座的学习总结
1.1 量子密码研究背景
传统密码
| 对称密码体制 | 公钥密码体制 | |
|---|---|---|
| 优点 | 加密速度快,适合批量加密数据 | 可解决密钥分配、管理问题,可用于签名 |
| 缺点 | 密钥分配、密钥管理、没有签名功能 | 加密速度慢 |
实际使用时,多用混合密码体制:用公钥密码体制分发会话密钥,用对称密码体制加密数据。
传统密码的挑战
然而,这种传统密码受到了来自量子密码的挑战:基于大数分解的Shor算法和基于快速搜索的Grover算法能够迅速破解传统密码。
Shor算法(大数分解算法)
Shor算法能在多项式时间内解决大数分解难题,从而使RSA等大多数公钥密码受到冲击。
Grover算法
Grover算法(快速搜索算法)可以加速搜索密钥,从而使DES、AES等对称密码受到冲击。
量子密码
量子秘钥分配(QKD)的特点:
- 可以检测到潜在窃听行为。
- 基于物理学原理,理论上可达到无条件安全。
也就是说,量子密码可达到无条件安全的保密通信。
1.2 基本物理概念
量子
微观世界的某些物理量不能连续变化而只能取某些分立值,相邻分立值的差称为该物理量的一个量子。
直观理解:具有特殊性质的微观粒子或光子。
量子态
- 经典信息:比特0或1,可用高低电压等表示。
- 量子信息:量子比特(Qubit) |0> (水平方向) |1> (竖直方向)
- 量子比特还可以处在不同状态的叠加态上。
量子态的可叠加性带来一系列特殊性质
- 量子计算的并行性:强大的计算能力
- 不可克隆定理:未知量子态不可准确测量
- 测不准原理:未知量子态不可准确测量
- 对未知量子态的测量可能会改变量子态
量子比特的测量--力学量、测量基
- 每个力学量都对应一个厄米算符(矩阵)
- 测量某个力学量时,测量结果为此力学量对应厄米算符的本征值(特征值)
- 测量后量子态塌缩到此本征值对应的本征态(特征向量)
1.3 典型协议--BB84量子密钥分配协议
量子密钥分配是1984年物理学家Bennett和密码学家Brassard提出了基于量子力学测量原理的BB84协议,量子密钥分配从根本上保证了密钥的安全性。
在光系统中,BB84协议使用四个光子的偏振态来传输信息,这四个量子态又可以分成相互非正交的两组,而且每组中的两个光子的偏振态是正交的同时这两组又是相互共轭的。如果是单光子通信系统,则这四个量子态分别为光子的水平偏振态 (记作 )、垂直偏振态 (记作 )、 偏振方向的偏振态 (记作↗)、 偏振方向的偏振态 (记作↘)。 其中,前两个态为一组测量基,后两个态为一组测量基。当发送方Alice与Bob进行通信时,不是只使用某一组测量基,而是按照一定的概率同时使用两组基。BB84协议的工作过程如下:
第一阶段 量子通信
1)Alice从四种偏振态中随机选择发送给Bob。
2)接收者Bob接受信息发送方Alice传输的信息,并从两组测量基中随机选择一个对接收到的光子的偏振态进行测量。
第二阶段 经典通信
3)接收者Bob发送信息给信息发送方Alice并告知他自己在哪些量子比特位上使用了哪一个测量基。信息发送方Alice 在接收到Bob发送的消息之后,与本人发送时采用的基逐一比对并通知接收者Bob在哪些位置上选择的基是正确的。
4)信息发送方Alice和接收者Bob丢掉测量基选择有分歧的部分并保存下来使用了同一测量基的粒子比特位,并从保存的信息中选取相同部分在经典信道中作对比。信道安全的情况下信息发送方Alice和接收者Bob的数据应当是没有分歧的。若存在窃听,则Alice和Bob的数据会出现不同的部分。
5) 如果没有窃听,双方将保留下来的剩余的位作为最终密钥。
1.4 基本模型介绍
四个基本步骤
- 信息传输
- 窃听检测
- 纠错
- 保密增强
信息传输:通常用到两种信道
量子信道
- 传输量子载体,例如:光纤、自由空间等。
- 允许窃听者对传输的量子消息进行任意窃听和篡改。
经典信道
- 传输经典信息,例如:测量基、测量结果等。
- 基本假设:窃听者只能窃听经典消息而不能篡改它们。
窃听检测
- 一般手段:随机选择部分量子载体,比较初末状态。
- 对好的协议:窃听必然干扰量子态,进而引入错误。
- 一旦发现存在窃听(错误率过高),则终止通信,丢弃相关数据。
- 因为传输的是密钥(即随机数),而不是秘密消息,因此可以丢弃它们而不会因此泄露秘密。
纠错和保密增强:解决噪声问题
- 理想情况(无噪声):有错误就认为有窃听
- 实际情况(有噪声):噪声也会带来一定错误率
- 对策:设定一个阈值,当错误率高于这个阈值时丢弃通信数据,反之保留(即允许有一定的错误)
- Alice和Bob的密钥可能不完全一致
- Eve可能在噪声掩饰下获得部分密钥信息
- 纠错:纠正密钥中的错误
- 保密增强:通过压缩密钥长度,将Eve可能获得的部分密钥信息压缩至任意小,得到安全的密钥
1.5 研究现状和实验进展
量子密码协议的设计与分析
- 量子密钥分发
- 量子比特承诺
- 量子秘密共享
- 量子投票
- 量子安全直接通信
- 量子签名
- 量子身份认证
- 量子公钥密码
- 量子抛币
- 量子真随机数
- 量子不经意传输
- 连续变量量子密码协议
提高性能的相关技术
- 提高效率:可重用基、纠缠增强、双光子、双探测器
- 提高抗干扰能力:无消想干子空间、量子纠错码
- 提高实际系统抗攻击能力:诱骗态、设备无关
实验技术
速率更高、距离更远、安全性更强
实验进展(国外)
最新进展
- 光纤:250公里(15b/s,1.9%);1Mb/s(10-20公里)
- 美、欧、日已建成自己的量子密码通信网络
热点:实用化
长时间稳定运行,现有光纤网络通信,不同GKD系统组网
2001年,第一个商用量子密码系统诞生了,它的最大传输距离为60km,最大密钥分发速率为1000bits/s。
美国DARPA网络、欧洲SECOQC网络、日本Tokyo QKD网络
实验进展(国内)
-
2016年8月,中国成功发射了世界首颗量子科学实验卫星“墨子号”。
-
2017年9月,我国首个商用量子保密通信专网通过技术验收。
-
2017年8月,量子科学实验卫星“墨子号”圆满完成了散发科学实验任务:量子纠缠分发、量子密钥分发、量子隐形传态。
-
2017年9月,世界首条千公里级量子保密通信干线--“京沪干线”正式开通。利用“京沪干线”与“墨子号”的天地链路,北京和维也纳之间成功实现国际上首次洲际量子保密通信。
2.学习中遇到的问题及解决
- 问题1:量子密码技术的应用化还面临哪些障碍?
- 问题1解决方案:通过查阅相关资料,发现量子密码技术的应用化的障碍主要有量子密码系统的实际安全性问题,即由于器件等的非理想性导致安全性漏洞。量子密码系统必须能经受得住现有所有可能手段的攻击才可以实际应用。另外,提高密码比特率、研制实用量子中继器等也是重要的问题。
3.本次讲座的学习感悟和思考
在本次讲座之前,我几乎没有了解过关于量子密码的任何知识,通过本次讲座,我对量子密码这一前沿学科有了大体的认知,第一次知道了原来我国在量子密码的研究上已经颇有建树,曾与2016年成功发射世界首颗量子科学实验卫星“墨子号”。我认为,我国应当加强这方面的人才的培养,继续提高技术水平,在核心技术上掌握话语权。
4.量子密码最新研究现状
论文1
IND-CCA-Secure Key Encapsulation Mechanism in the Quantum Random Oracle Model, Revisited
- 期刊/会议名称:IACR2018
- 作者信息:Haodong Jiang, Zhenfeng Zhang, Long Chen, Hong Wang and Zhi Ma
研究进展
随着NIST量子密码术后标准化的逐步推进,第1轮KEM提案已发布供公众讨论和评估。在INDCA安全KEM结构中,首先介绍了一种INDCA安全(或OWCPA安全)公钥加密(PKE)方案,然后对其进行了一些通用转换。所有这些通用转换都是在随机Oracle模型(ROM)中构建的。为了全面评估后量子安全性,量子随机预言模型(QROM)中的安全性分析是首选。然而,目前的作品要么缺乏qrom安全性证明,要么只是遵循了targhi和unruh的证明技术(tcc-b 2016),并通过在密文中添加额外的哈希来修改原始转换,以实现qrom安全性。在本文中,通过使用一种新的证明技术,我们提出了两种广泛使用的qrom安全性降低。无需任何密文开销的通用转换。同时,安全界限比使用targhi和unruh的证明技术得到的要严格得多。因此,我们的qrom安全证明不仅为NIST round-1 KEM方案提供了坚实的后量子安全保证,而且简化了构造并减小了密文大小。我们还为Hofheinz-H_velmanns-Kiltz模块化转换(TCC 2017)提供QROM安全降低,这有助于获得具有不同要求和属性的各种组合转换。
论文2
- 期刊/会议名称:IACR2018
- 作者信息:Alice Pellet-Mary (Univ Lyon, CNRS, ENS de Lyon, Inria, Université Claude Bernard Lyon 1, LIP UMR 5668, F-69007 LYON, France)
研究进展
Alice Pellet-Mary (Univ Lyon, CNRS, ENS de Lyon, Inria, Université Claude Bernard Lyon 1, LIP UMR 5668, F-69007 LYON, France)
本论文提出了一个量子多项式时间攻击的GMMSSZ分支程序模糊加格等人。当用garg等人的ggh13多行图实例化时。在Miles等人提出的弱多行映射模型中,该候选模糊器被证明是安全的。我们的攻击使用了Cramer等人的短主理想解算器。在量子多项式时间内恢复ggh13多行映射的一个秘密元素。然后,我们使用这个秘密元素对GMMSSZ模糊器进行(经典)多项式时间混合输入攻击。因此,本文的主要结果可以看作是从GMMSSZ模糊器的安全性到短主理想问题(量子设置仅用于在多项式时间内解决这个问题)的经典约简。作为另一项贡献,我们解释了如何将相同的思想应用于对D_ttling等人的dggmm模糊器进行量子多项式时间攻击。这在弱多行地图模型中也被证明是安全的。
论文3
Quantum FHE (Almost) as Secure as Classical
- 期刊/会议名称:IACR2018
- 作者信息:Zvika Brakerski
研究进展
完全同态加密方案(fhe)允许对加密数据应用任意有效的计算,而不需要先对其进行解密。在量子fhe(qfhe)中,我们可能希望对(经典或量子)加密的数据应用任意的量子效率计算。
本论文提出了一种具有经典密钥生成(如果加密消息本身是经典的,则采用经典加密和解密)的qfhe方案,其性能与经典fhe相当。安全性依赖于具有多项式模的误差学习(LWE)问题的硬度,这转化为将格中的短向量问题近似为多项式因子内的最差情况硬度。在多项式因子中,这与经典fhe最著名的假设相匹配。与经典设置类似,仅依赖于LWE仅意味着水平的qfhe(其中公钥长度与允许的最大评估深度成线性关系)。需要一个额外的循环安全假设来支持完全无边界的深度。有趣的是,我们的循环安全性假设与实现无边界深度多密钥经典FHE的假设相同。
从技术上讲,本论文依赖于Mahadev的大纲(arxiv 2017),它通过依赖超级多项式LWE模和新的循环安全假设来实现这一功能。我们观察到评价量子门的功能与经典同态加密的电路隐私性之间的联系。虽然这种连接本身不足以暗示qfhe,但它引导我们找到一条最终允许使用具有多项式模的经典fhe方案来构造具有相同模的qfhe的路径。
论文4
- 期刊/会议名称:IACR2018
- 作者信息:Zhengfeng Ji, Yi-Kai Liu, Fang Song
研究进展
本论文提出了伪随机量子态的概念,它对任何一个量子多项式时间对手都是随机的。它提供了与密码伪随机发生器在本质上类似的完全随机量子态的计算近似,而不是以前研究过的量子伪随机性的统计概念,如与T向独立分布类似的量子T设计。
在量子安全单向函数存在的假设下,给出了伪随机态的有效构造,证明了我们的定义是可行的。然后证明了伪随机态的几个基本性质,证明了我们的定义的实用性。首先,我们展示了一个密码不克隆定理:当给定多项式多个副本作为输入时,没有一个有效的量子算法可以创建一个伪随机状态的额外副本。第二,正如对随机量子态的预期,我们发现伪随机量子态的平均纠缠度很高。最后,作为一个主要应用,我们证明了任何一类伪随机态都会自然产生一个私钥量子货币方案。
论文5
Quantum Backscatter Communication: A New Paradigms
- 期刊/会议名称: ISWCS2018
- 作者信息:
* Roberto Di Candia
(Dahlem Center for Complex Quantum Systems, Freie Universität Berlin, Berlin, 14195, Germany)
* Riku Jäntti
(Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
* Ruifeng Duan
(Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
* Jari Lietzen
(Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
* Hany Khalifa
(Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
* Kalle Ruttik
(Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
研究进展
本文以量子光照(qi)概念为基础,提出了一种新的量子后向散射通信(qbc)协议。在QBC范式中,发射器产生纠缠光子对。信号光子被传输,引导光子保持在接收器上。标签天线通过对撞击天线的信号进行脉冲幅度调制(PAM)、二进制相移键控(BPSK)或二次相移键控(QPSK)进行通信。我们的QBC协议使用和频生成接收机,PAM和BPSK的误差指数增益为6分贝,而QPSK的增益为3分贝,超过了经典的对应。最后,我们讨论了qi增强的安全后向散射通信。