现代密码学:第55讲 后量子密码学
量子密码
例如,N = 250, 量子存储器可同时存储比宇宙 中原子数目还要多的数据。
12
量子计算的基本原理(续)
计算是对数据的变换 对 N 个存储器运算一次, 只变换一个数据。 对 N个存储器运算一次, 同时变换2N个数据。
经典计算机
量子计算机
13
量子计算的基本原理(续)
可见:对N个量子存储器实行一次操作,其
成果
第一个演示实验,传播距离为32厘米, 误码率为4%
2000
自 由 空 间 2002 2005 2007
实现传输距离1.6km
用激光成功传输光子密钥达23.4km 完成了13km的纠缠光子分配, 并演示了BB84-E91协议 演示了144km的decoy态量子密钥分配
40
BB84协议的实验验证(续)
10
量子计算的基本原理
一个存储器
经典 可存储0或1(一个数) 量子 可同时存储0和1(两个数)
两个存储器 经典 量子
11
可存储00,01,10或11(一个数) 可同时存储00,01,10,11(四个数)
量子计算的基本原理(续)
N 个存储器
经典:可存储一个数 (2N 个可能的数之中的一个数) 量子:可同时存储 2N 个数 因此,量子存储器的存储数据能力是经典的 2N 倍, 且随 N 指数增长。
若 N=250, 要用8×105年
例
N=1000,要用1025年(比宇宙年龄还长)
15
Shor量子并行算法对RSA的破译
16
Grover量子搜索算法
问题:从N个未分类的客体中寻找出某个特定客体。
例如: 从按姓名排列的106个电话号码中找出某个特 定的号码。
经典计算机 量子计算机
量子密码学
量子密码学密码学(cryptography)简单的说就是通过某种方式只能将信息传递给特定的接受者。
实现的手段基本上就是对要传递的信息实行加密 (encryption) 和解密 (decryption) 算法,从而使任何其它人没有办法获得原始信息。
密钥 (key) 指的是一串特定的参数,发送信息的一方用密钥和原始信息进行加密运算得到密文 (cryptogram),接收方用密钥和密文进行解密运算得到原始信息。
加密和解密的算法是公开的,密文的保密性依赖于密钥的保密性。
密钥的保密性依赖于密钥的随机性和有足够的长度。
密钥分两类,一类是对称密钥 (Symmetric key) ,发送和接收方用同样的密钥进行加密解密,比如DES (Data Encryption Standard) 算法;另一类是非对称密钥 (Asymmetric key) ,发送和接收方用不同的密钥进行加密解密,发送方用公用密钥 (Public key) 加密,接收方用私有密钥 (Private key) 解密。
两个密钥有一定的数学关系,但是很难从公用密钥获得私有密钥,比如RSA算法采用的分解大数法。
一旦双方获得相应的密钥,密文就可以在公共信道上传递而不必顾忌公共信道上可能存在的窃听者,因为窃听者没有密钥,无法成功解密。
但是为了通信双方成功建立密钥,必须要有一个可靠和高度机密的信道传递密钥。
然而从理论上说,任何经典的密钥传递 (key distribution) 都不能保证总能察觉密钥是否被窃听。
因为经典的信息是无法区分的 (跟量子相比) ,窃听者可以读取信息然后还原该信息,接收方无法知道中间是否发生过窃听。
非对称密钥的好处就在于避免了密钥的传递,由于双方的密钥有一定的数学关系,但又不是用现有的计算能力能够快速破解的,比如RSA的分解大数关系,所以达到保密的目的。
这种方法的缺陷在于如果有一种比现有快很多的计算方法出现,就很容易获得私有密钥。
量子密码学
密码学
密码学简介
密码学目的
经典的密码学是一门古老的学科,它的起源可以追溯到几千年前的古埃及、古罗马时代。早在四千年前,古 埃及一些贵族墓碑上的铭文就已经具备了密码的两个基本要素:秘密性和信息的有意变形。尽管如此,密码学作 为一门严格的科学建立起来还仅仅是近五十年的事。可以说,直到1949年以前,密码研究更像是一门艺术而非科 学。主要原因在于,在这个时期没有任何公认的客观标准衡量各种密码体制的安全性,因此也就无法从理论上深 入研究信息安全问题。1949年,on发表了《保密系统的通信理论》,把密码学建立在严格的数学基础之上。密码 学从此才成为真正意义上的科学。
谢谢观看
量子密码学
一门很有前途的新领域
01 密码学
03 后
目录
02 简介
量子密码学(Quantum Cryptography)是一门很有前途的新领域,许多国家的人员都在研究它,而且在一 定的范围内进行了试验。离实际应用只有一段不很长的距离。量子密码体系采用量子态作为信息载体,经由量子 通道在合法的用户之间传送密钥。量子密码的安全性由量子力学原理所保证
密码学的目的是改变信息的原有形式使得局外人难以读懂。密码学中的信息代码称为密码,尚未转换成密码 的文字信息称为明文,由密码表示的信息称为密文,从明文到密文的转换过程称为加密,相反的过程称为解密, 解密要通过所谓的密钥进行。因此,一个密码体制的安全性只依赖于其密钥的保密性。在设计、建立一个密码体 制时,必须假定破译对手能够知道关于密码体制的一切信息,而唯一不知道的是具体的一段密文到底是用哪一个 密钥所对应的加密映射加密的。在传统的密码体制中,只要知道了加密映射也就知道了解密映射。因此,传统密 码体制要求通信双方在进行保密通信之前必须先约定并通过“安全通道”传递密钥。此外,在传统的密码体制下, 每一对用户都需要有一个密钥。这样,在n个用户的通讯网络中,要保证任意两个用户都能进行保密通信,就需要 很多“安全通道”传送n(n-1)/2个密钥。如果n很大,保证安全将是很困难的。
现代密码学
摘要数字签名是现代密码学的主要研究课题之一,它是实现认证的重要工具,保证了数据的可靠性。
数字签名在金融、商业、军事等领域,尤其是在电子支票、电子邮件、电子贸易、电子购物、数据交换、电子出版以及知识产权保护等方面有着重要作用。
近些年来随着对数字签名的不断深入研究,产生了许多特殊的数字签名,例如盲签名、群签名、代理签名、多重签名、前向安全签名。
正是由于特殊数字签名具有的独特功能和实际用途,在一些特殊行业有广泛应用,特别是在数据完整性检验、身份证明、身份鉴别和防否认等方面功能独特。
关键词:盲签名1 盲签名的研究现状盲签名是一种特殊的数字签名,其特殊性体现在签名者并不知道签署的内容,即便签名者知道了签名与消息对,也无法将它们联系起来。
因此,盲签名技术应用广泛,尤其是电子投票和电子货币系统等。
盲签名的概念首先被David Chaum提出来,Chaum给出了一个基于RSA的盲签名方案,此后人们分别基于因子分解问题、离散对数问题、二次剩余问题等提出各种盲签名方案。
1992年,Okamoto基于Schnorr签名体制提出了第一个基于离散对数问题的盲签名方案[2]。
1994年,Camenisch等提出了基于离散对数的两个离散方案。
第一个方案是由DSA变形得出,第二个方案建立在Nyberg-Ruep pel签名体制之上。
1996年,Fan等基于二次剩余方根的难解性提出了一个盲签名方案,之后两年,Fan又提出一个部分盲签名方案,可以减少电子现金系统的计算量。
同年再次提出可以增强计算效率的一个盲签名方案。
2000年,姚亦峰等以Harn和Xu提出的十八种安全广义ElGamal型数字签名方案为基础,利用二元仿射变换,通过分析得到其中十二种方案是强盲签名方案。
2001年,Ch-ien 等根据RSA公钥密码系统提出一个部分盲签名方案,它能减少数据库的大小以及避免电子现金的重复花费。
2002年,黄少寅等基于Schnorr体制提出了一个必须经过多人同时盲签名才可生效的新方案,可以方便应用在电子现金需银行多个部门同时进行盲签名才可生效的情形中。
量子密码
最后,让我们一起期待量子密码术在未来能够为我们带来更多的惊喜和可能。在信息安全的道路 上,让我们借助物理的力量,走向更美好的未来。
01 基本概念
03 实践意义 05 延伸阅读
目录
02 工作原理 04 应用实例
基本概念
量子密码术与传统的密码系统不同,它依赖于物理学作为安全模式的关键方面而不是数学。实质 上,量子密码术是基于单个光子的应用和它们固有的量子属性开发的不可破解的密码系统,因为 在不干扰系统的情况下无法测定该系统的量子状态。理论上其他微粒也可以用,只是光子具有所 有需要的品质,它们的行为相对较好理解,同时又是最有前途的高带宽通讯介质光纤电缆的信息 载体。
而且,在量子密码术中还有另一个固有的安全级别,就是入侵检测。Alice和Bob将知道Eve是否 在监听他们。Eve在光子线路上的事实将非常容易被发现,原因如下:
让我们假设Alice采用右上/左下的方式传输编号为349的光子给Bob,但这时,Eve用了直线偏光 器,仅能准确测定上下或左右型的光子。如果Bob用了线型偏光器,那么无所谓,因为他会从最 后的键值中抛弃这个光子。但如果Bob用了对角型偏光器,问题就产生了,他可能进行正确的测 量,根据Heisenberg不确定性理论,也可能错误的测量。Eve用错误的偏光器改变了光子的状态, 即使Bob用正确的偏光器也可能出错。
量子密码学
在今天的信息时代,确保防止信息的泄漏,并保证其整体完整性和真实性是人们所迫切需要的,除了制订相应的法律来保护敏感信息外,采用密码技术就是一种经济而有效的方法。
密码学包括两部分内容:一是加密算法的设计和研究;二是密码分析,所谓密码分析,就是密码破译技术密码分析是研究破译的一门技术。
也就是在不掌握密钥的情况下,利用密码体制的弱点来恢复明文的一门学科。
什么是密码?简单地说就是一组含有参数k的变换E。
设已知信息m(称作明文),通过变换Ek得密文c,即:c= Ek (m)这个过程之为加密,参数k称之为密钥。
加密算法E确定之后,由于密k不同,密文c也不同。
当然不是所有含参数k的变换都可以作为密码,它要求计算Ek (m)不困难,而且若第三者不掌握密钥k,即使获得了密文c,他也无法从c恢复信息m,也就是反过来从c求m极为困难。
从密文c恢复明文m的过程称为解密。
解密算法D是加密算法E的逆运算,解密算法也是含有参数k的变换。
通信双方一发信方,简称发方,另一方为收信方简称收方。
一.量子密码学的产生20世纪初发生了两大物理学革命:相对论和量子力学。
这两大革命把物理学的研究领域从经典物理学的宏观世界分别扩展到了宇观世界和微观世界。
量子特性在信息领域中有着独特的功能,在提高运算速度、确保信息安全、增大信息容量和提高检测精度等方面可能突破现有经典信息系统的极限,于是便诞生了一门新的学科分支――量子信息科学。
它是量子力学与信息科学相结合的产物,包括:量子密码、量子通信、量子计算等,近年来,在理论和实验上已经取得了重要突破,引起各国政府、科技界和信息产业界的高度重视。
现有的经典信息以比特作为信息单元,从物理角度讲,比特是个两态系统,它可以制备为两个可识别状态中的一个,如是或非,真或假,0或1。
在数字计算机中电容器平板之间的电压可表示信息比特,有电荷代表1,无电荷代表0。
一个比特的信息还可以用两个不同的光偏振或原子的两个不同能级来编码。
现代密码学10 - 量子密码学
相对论 狭义相对论
狭义相对论
光速恒定,是物质运 动速度的上限
高速运动时:
• 时间会变慢 • 长度会变短 • 质量会增加
4
相对论 广义相对论
广义相对论
物质作用于空间
速度变化 质量变化 空间变化 质量越大 空间弯曲越厉害
5
量子论
量子论揭示了微观世界的基本规律,能很好地解释原子 结构、化学元素的性质、光的吸收和辐射等。
45
量子密码学的未来发展方向
① 寻找量子签名、量子身份认证、量子投票等量子密码学的新研究 领域 ② 如何进一步将量子密码通信在Internet中推广应用,实现量子密 码通信的网络化 ③ 在光纤和大气环境中如何实现更长距离、更快速度、更低误码率 的量子密钥的分发,使点对点量子密码通信进入实用阶段
……
17
1927年 第五届索尔维会议
量子论 爱因斯坦对哥本哈根解释的质疑
玻尔: 量子的本质就是概率 量子理论已完备
爱因斯坦: 用概率解释现象可以,但不能解释其本质 任何现象必然有其基本规律(因果论) 量子论还不完备
19
量子论 哥本哈根解释存在的问题
波函数的坍缩:不知道什么时候,电子云突然变成一个电 子打在电子靶上。 哥本哈根解释:没测量之前,粒子的状态模糊不清,同时 处于各种可能的状态(叠加)。一旦测量,粒子便会随机 地选择一种状态出现。 但是:物理学没有一个公式能描述这种坍缩。
7
量子论 量子概念 1900年 普朗克
• 量子概念 • 普朗克常数 能量是一份一份传递的, 是不连续的,每一份就叫一 个 量子
8
量子论 光子假说 1905年 爱因斯坦(普朗克学生)
• 光子假说 光是一份一份传递的,是不 连续的,每一份叫一个 光子
量子密码
量子密码的安全性基于量子力学的基本原理,而传统密码学是基于某些数学算法的计算复杂度。传统密码学无法察觉窃听,也就无法保证密钥的安全性。
量子密码只用于产生和分发密钥,并没有传输任何实质的信息。密钥可通过某些加密算法来加密信息,加密过的信息可以在标准信道中传输。
目录 [隐藏]
1 量子密钥分发
基于纠缠态
两个或更多的量子状态能够建立某种联系,使得他们无论距离多远依然要被看做是一个整体的量子状态,而不是独立的个体。这被称为量子纠缠。他们之间的联系是,比如,对其中一个量子的测量会影响其他量子。如果纠缠的量子对被通信的双方分别持有,任何对信息的拦截会改变整个系统,使第三方的存在(以及他截获信息的数量)被检测到。
[编辑] Ekert 协议(1991年)
Alice和Bob分别接收到EPR对中的一个:
|Ψ> = .
之后双方都大量的随机选择基去测量,之后用贝尔不等式验证测量结果,来判断是否有人窃听。
BB84协议的另一种实现方法
量子密码学理论基础ppt课件
0 1 2 3 4 5 6 7 8 9 (m)
8
普朗克的量子假说
;.
h
MB(T)2hc25
1
hc
ekT1
c ——光速 k ——玻尔兹曼恒量
h—普朗克常数
h 6 .6 3 1 3 0 J 4s
9
光的量子性
;.
AK
OO
OO
OO
G
V R
OO
10
;.
爱因斯坦光子假说
h 12mvm2 A
11
;.
pxx2
pyy2
pzz2
这就是著名的海森伯测不准关系式
;.
h 2
称为约化普朗克常普数朗或克常数
14
;.
趣味实验——薛定谔的猫
15
;. 16
;.
量子理论在密码学重的应用
Thank you!
17
;.
量子理论基础
1
;.
量子密码学的诞生
2
;.
量子理论的简介
3
;.
旧量子理论的建立
4
;.
黑体辐射
5
如果一个物体能全部吸收投射在它上面的辐射而无反射,
;.
这种物体称为绝对黑体,简称黑体。
MB (T)
为了定量描述某物体在一定温度下发出的能量随波长的分布, 引入“色辐射本领”(也叫单色辐出度)的概念。波长为λ的单色 辐射本领是指单位时间内从物体的单位面积上发出的波长在λ
附近单位波长间隔所辐射的能量.通常用Mλ(T)表示。
黑体:吸收和辐射都最大 黑洞:只吸收不辐射, 电磁波为黑洞所束缚, 无法逃逸出来。
0123456
(μm)
6
;.
量子密码学发展简介
量子密码学理论基础
A K
O O O O O O
G
光电子 逸出的电子。
V
R
光电子由K飞向A,回路中形 成光电流。
O O
爱因斯坦光子假说
光是以光速 c 运动的微粒流,称为光量子(光子)
光子的能量:金属中的自由电子吸收一个光子能量h以后, 一部分用于电子从金属表面逸出所需的逸出功A ,一部分转 化为光电子的动能。
爱因斯坦 光电效应 方程
普朗克的量子假设
M B ( T )
实验值
紫 外 灾 难
维恩
M B ( T ) C1 5 e
C2 T
M B ( T ) C 34T
瑞利--金斯
0
1
2
3
4
5
6
7
8
9
( m )
8
普朗克的量子假说
(1)黑体是由带电谐振子组成,这些谐振子辐射电磁波,并和周 围的电磁场交换能量。 (2) 这些谐振子能量不能连续变化,只能取一些分立值,是最 小能量 的整数倍,这个最小能量称为能量子。
量子理论的简介
量子论是现代物理学的两大基石之一。 量子论给我们提供了新的关于自然界 的表述方法和思考方法。量子论揭示 了微观物质世界的基本规律,为原子 物理学、固体物理学、核物理学和粒 子物理学奠定了理论基础。它能很好 地解释原子结构、原子光谱的规律性、 化学元素的性质、光的吸收与辐射等。
旧量子理论的建立
(μm)
0
1
2
3
4
5
6
6
普朗克的量子假设
普朗克的新思想是与经典理论相违背的,它 冲破了经典物理传统观念对人们的长期束 缚,这就为人们建立新的概念,探索新的理 论开拓了一条新路.在这个假设的启发下, 许多微观现象得到了正确的解释,并在此基 础上建立起一个比较完整的,并成为近代物 理学重要支柱之一的量子理论体系。
量子密码学理论基础
pxx kp
h p
相关公式:d·sinθ= பைடு நூலகம்·λ 其中d为为两狭缝之间 的间距,θ为衍射角度, n为光栅级数,λ为波
长。
pxx kh h
13
px x h
经严格证明此式应为:
px x 2 py y 2 pz z 2
h
2
称为约化普朗克常数或普朗克常数
这就是著名的海森伯测不准关系式
h
1 2
mv
m
2
A
测不准关系
微观粒子的空间位置要由概率波来描述,概率波只能给出粒子 在各处出现的概率。任意时刻不具有确定的位置和确定的动量。
x
屏
电子束
a缝
2
幕
X方向电子的位置不准确量为: x a
x
电子束
a
x a
缝
2 px
X方向的分动量px的测不准量为:
屏
p幕
py
px p sin x sin k
量子密码学的诞生
19世纪末20世纪初,物理学处于新旧交替的时期。生产的发 展和技术的提高,导致了物理实验上一系列重大发现,使当时 的经典物理理论大厦越发牢固,欣欣向荣,而唯一不协调的只 是物理学天空上小小的"两朵乌云"。但是正是这两朵乌云却揭 开了物理学革命的序幕:一朵乌云下降生了量子论,紧接着从 另一朵乌云下降生了相对论。量子论和相对论的诞生,使整个 物理学面貌为之一新。
量子理论在密码学重的应用
谢谢观看! 2020
(μm)
0123456
6
普朗克的量子假设
普朗克的新思想是与经典理论相违背的,它冲 破了经典物理传统观念对人们的长期束缚,这 就为人们建立新的概念,探索新的理论开拓了 一条新路.在这个假设的启发下,许多微观现 象得到了正确的解释,并在此基础上建立起一 个比较完整的,并成为近代物理学重要支柱之 一的量子理论体系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现代密码学
第五十五讲后量子密码学信息与软件工程学院
第五十七讲后量子密码学
量子计算对密码学的影响
后量子密码学的研究方向
量子计算对密码学的威胁
•贝尔实验室,Grove算法,1996年
•针对所有密码(包括对称密码)的通用的搜索破译算法
•所有密码的安全参数要相应增大
•贝尔实验室,Shor算法,1994年
•多项式时间求解数论困难问题如大整数分解问题、求解离散对数问题等•RSA、ElGamal、ECC、DSS等公钥密码体制都不再安全
量子计算对密码学的威胁(续)
密码算法类型目的受大规模量子计算机的影响
AES对称密钥加密密钥规模增大SHA-2, SHA-3Hash函数完整性输出长度增加RSA公钥密码加密,签名,密钥建立不再安全ECDSA,ECDH公钥密码签名,密钥交换不再安全DSA公钥密码签名不再安全
量子计算机的研究进展
•2001年,科学家在具有15个量子位的核磁共振量子计算机上成功利用Shor算法对15进行因式分解。
•2007年2月,加拿大D-Wave系统公司宣布研制成功16位量子比特的超导量子计算机,但其作用仅限于解决一些最优化问题,与科学界公认的能运行各种量子算法的量子计算机仍有较大区别。
•2009年11月15日,世界首台可编程的通用量子计算机正式在美国诞生。
同年,英国布里斯托尔大学的科学家研制出基于量子光学的量子计算机芯片,可运行Shor算法。
•2010年3月31日,德国于利希研究中心发表公报:德国超级计算机成功模拟42位量子计算机。
•2011年5月11日, 加拿大的D-Wave System Inc. 发布了一款号称“全球第一款商用型量子计算机”的计算设备“D-Wave One”。
量子计算机的研究进展(续)
•2011年9月,科学家证明量子计算机可以用冯·诺依曼架构来实现。
同年11月,科学家使用4个量子位成功对143进行因式分解。
•2012年2月,IBM声称在超导集成电路实现的量子计算方面取得数项突破性进展。
同年4月,一个多国合作的科研团队研发出基于金刚石的具有两个量子位的量子计算机,可运行Grover算法,在95%的数据库搜索测试中,一次搜索即得到正确答案。
该研究成果为小体积、室温下可正常工作的量子计算机的实现提供可能。
•2013年5月D-Wave System Inc宣称NASA和Google共同预定了一台采用512量子位的D-Wave Two量子计算机。
•2017年,中科大和浙江大学联合宣布基于超导量子计算方案实现了10位量子比特的纠缠操控。
这一成果打破了美国之前保持的9个量子比特操纵的记录,形成了一个完整的超导计算机的系统,使我国在超导体系量子计算机研究领域也进入世界一流水平行列。
全球在抗量子密码方面的行动
•2006年开始至今召开了9届后量子密码学国际学术研讨会。
•各国资助机构对后量子密码的支持
•欧洲联盟(欧盟)项目pqcrypto和safecrypto
•日本的CREST密码数学项目
•行业标准组织的活动:
•自2013年以来,欧洲电信标准协会(ETSI)组织了三个“量子安全密码”研讨会•2015年NIST举行题为“后量子世界的网络安全”研讨会
•2016 年2 月美国国家标准与技术研究院正式面向全球公开了后量子密码标准化的路线图,并在同年秋正式公布征集后量子密码系统建议的计划,其中包括公钥密码、数字签名以及密钥交换算法
•2017年11月30日,第一轮算法征集截止,并公布了69个候选算法
第五十九讲后量子密码学
量子计算对密码学的威胁
后量子密码学的研究方向
后量子密码学的研究方向•基于Hash的签名体制
•基于纠错码的公钥密码学•基于格的公钥密码学
•多变量公钥密码学
基于Hash的签名体制
•安全性:Hash函数的安全性
•典型方案:Merkle, R.C.: A certified digital signature. CRYPTO 1989
•优点:签名和验证签名效率较高
•缺点:签名和密钥较长,产生密钥的代价较大
•改进方案:
•Buchmann, J., Dahmen, E., Hulsing, A.: XMSS -a practical forward secure signature scheme based on minimal security assumptions. PQCrypto 2011
•挑战:有状态性和参数优化
基于纠错码的公钥密码学
•安全性:任意线性码的译码问题是NP-完全问题
•典型方案:
•McEliece, R.J.: A public-key cryptosystem based on algebraic coding theory.
DeepSpace Network Progress Report (1978)
•Landais, G., Sendrier, N.: Implementing CFS. INDOCRYPT 2012.
•Persichetti, E.: Secure and anonymous hybrid encryption from coding theory.
PQCrypto 2013
•优点:加解密效率高(McEliece),签名长度短(CFS)
•缺点:密钥量大,签名效率较低(CFS)
•挑战:降低密钥量,提高效率
基于格的公钥密码学
•安全性:格中困难问题如最短向量问题(SVP)、最近向量问题(CVP)、learning with errors problem (LWE)和最小整数解问题(SIS)
•典型方案:
•Ducas, L., Durmus, A., Lepoint, T., Lyubashevsky, V.: Lattice signatures and bimodal gaussians. CRYPTO 2013
•Hoffstein, J., Pipher, J., Silverman, J.H.: NTRU: a ring-based public key cryptosystem. ANTS 1998
•Gentry, C.: Fully homomorphic encryption using ideal lattices. STOC 2009•优点:强安全性(允许最坏情形困难性规约到一般情形困难性)
•缺点:参数较大
•挑战:参数优化,效率提升
多变量公钥密码学
•安全性:求解有限域上随机生成的多变量非线性多项式方程组是NP-困难的•典型方案:
•Ding, J., Schmidt, D.: Rainbow, a new multivariable polynomial signature scheme. ACNS 2005.
•Petzoldt, A., Chen, M.-S., Yang, B.-Y., Tao, C., Ding, J.: Design
principles for HFEv-based multivariate signature schemes. ASIACRYPT 2015•优点:效率较高
•缺点:公钥量大,安全性不确定
•挑战:可证明安全的密码体制,降低密钥量。