La criptografía poscuántica (a veces denominada a prueba de cuánticos , cuántica segura o cuántica resistente ) se refiere a algoritmos criptográficos (generalmente algoritmos de clave pública) que se cree que son seguros contra un ataque criptoanalítico de una computadora cuántica . A partir de 2021 [actualizar], esto no es cierto para los algoritmos de clave pública más populares, que pueden romperse de manera eficiente con una computadora cuántica lo suficientemente fuerte. [ cita requerida ] El problema con los algoritmos actualmente populares es que su seguridad se basa en uno de tres problemas matemáticos difíciles: el problema de factorización de enteros, el problema del logaritmo discreto o el problema del logaritmo discreto de curva elíptica . Todos estos problemas pueden resolverse fácilmente en una computadora cuántica lo suficientemente potente que ejecute el algoritmo de Shor . [1] [2] A pesar de que las computadoras cuánticas experimentales actuales, conocidas públicamente, carecen de poder de procesamiento para romper cualquier algoritmo criptográfico real, [3] muchos criptógrafos están diseñando nuevos algoritmos para prepararse para un momento en que la computación cuántica se convierta en una amenaza. Este trabajo ha recibido una mayor atención de los académicos y la industria a través de la serie de conferencias PQCrypto desde 2006 y, más recientemente, a través de varios talleres sobre criptografía cuántica segura organizados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) y el Instituto de Computación Cuántica . [4] [5] [6]
En contraste con la amenaza que representa la computación cuántica para los algoritmos de clave pública actuales, la mayoría de los algoritmos criptográficos simétricos y las funciones hash actuales se consideran relativamente seguros contra los ataques de las computadoras cuánticas. [2] [7] Si bien el algoritmo cuántico de Grover acelera los ataques contra cifrados simétricos, duplicar el tamaño de la clave puede bloquear eficazmente estos ataques. [8] Por lo tanto, la criptografía simétrica post-cuántica no necesita diferir significativamente de la criptografía simétrica actual. Consulte la sección sobre el enfoque de clave simétrica a continuación.
Algoritmos
Actualmente, la investigación de la criptografía post-cuántica se centra principalmente en seis enfoques diferentes: [2] [5]
Criptografía basada en celosía
Este enfoque incluye sistemas criptográficos, tales como el aprendizaje con errores , aprendizaje anillo con errores ( ring-LWE ), [9] [10] [11] el aprendizaje anillo con errores de intercambio de claves y el aprendizaje anillo con errores firma , la mayor NTRU o GGH esquemas de cifrado y la firma NTRU más reciente y las firmas BLISS . [12] Algunos de estos esquemas, como el cifrado NTRU, se han estudiado durante muchos años sin que nadie haya encontrado un ataque factible. Otros, como los algoritmos ring-LWE, tienen pruebas de que su seguridad se reduce al peor de los casos. [13] El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea sugirió que la variante Stehle-Steinfeld de NTRU sea estudiada para estandarización en lugar del algoritmo NTRU. [14] [15] En ese momento, NTRU todavía estaba patentado. Los estudios han indicado que NTRU puede tener propiedades más seguras que otros algoritmos basados en celosía. [dieciséis]
Criptografía multivariante
Esto incluye sistemas criptográficos como el esquema Rainbow ( Unbalanced Oil and Vinegar ) que se basa en la dificultad de resolver sistemas de ecuaciones multivariadas. Varios intentos de construir esquemas seguros de cifrado de ecuaciones multivariantes han fracasado. Sin embargo, los esquemas de firma multivariante como Rainbow podrían proporcionar la base para una firma digital cuántica segura. [17] Existe una patente sobre el Rainbow Signature Scheme.
Criptografía basada en hash
Esto incluye sistemas criptográficos como las firmas Lamport y el esquema de firma Merkle y los esquemas más nuevos XMSS [18] y SPHINCS [19] . Las firmas digitales basadas en hash fueron inventadas a fines de la década de 1970 por Ralph Merkle y desde entonces se han estudiado como una alternativa interesante a las firmas digitales teóricas de números como RSA y DSA. Su principal inconveniente es que para cualquier clave pública basada en hash, existe un límite en la cantidad de firmas que se pueden firmar utilizando el conjunto correspondiente de claves privadas. Este hecho había reducido el interés en estas firmas hasta que se reavivó el interés debido al deseo de una criptografía resistente al ataque de las computadoras cuánticas. No parece haber patentes sobre el esquema de firma de Merkle [ cita requerida ] y existen muchas funciones hash no patentadas que podrían usarse con estos esquemas. El esquema de firma basado en hash con estado XMSS desarrollado por un equipo de investigadores bajo la dirección de Johannes Buchmann se describe en RFC 8391. [20] Tenga en cuenta que todos los esquemas anteriores son firmas únicas o de tiempo limitado, Moni Naor y Moti Yung inventó el hash UOWHF en 1989 y diseñó una firma basada en hash (el esquema Naor-Yung) [21] que puede tener un uso ilimitado (la primera firma de este tipo que no requiere propiedades de trampilla).
Criptografía basada en código
Esto incluye sistemas criptográficos que se basan en códigos de corrección de errores , como los algoritmos de encriptación McEliece y Niederreiter y el esquema relacionado Courtois, Finiasz y Sendrier Signature . La firma original de McEliece utilizando códigos Goppa aleatorios ha resistido el escrutinio durante más de 30 años. Sin embargo, se ha demostrado que muchas variantes del esquema de McEliece, que buscan introducir más estructura en el código utilizado para reducir el tamaño de las claves, son inseguras. [22] El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea ha recomendado el sistema de cifrado de clave pública McEliece como candidato para la protección a largo plazo contra ataques de computadoras cuánticas. [14]
Criptografía de isogenia de curva elíptica supersingular
Este sistema criptográfico se basa en las propiedades de las curvas elípticas supersingulares y los gráficos de isogenia supersingular para crear un reemplazo Diffie-Hellman con sigilo directo . [23] Este sistema criptográfico utiliza las matemáticas bien estudiadas de curvas elípticas supersingulares para crear un intercambio de claves tipo Diffie-Hellman que puede servir como un sencillo reemplazo resistente a la computación cuántica para los métodos de intercambio de claves Diffie-Hellman y curva elíptica Diffie-Hellman que son de uso generalizado en la actualidad. Debido a que funciona de manera muy similar a las implementaciones existentes de Diffie-Hellman, ofrece un secreto hacia adelante que se considera importante tanto para evitar la vigilancia masiva por parte de los gobiernos como para proteger contra el compromiso de claves a largo plazo debido a fallas. [24] En 2012, los investigadores Sun, Tian y Wang del Laboratorio de Claves Estatales de China para Redes de Servicios Integrados y la Universidad de Xidian, ampliaron el trabajo de De Feo, Jao y Plut para crear firmas digitales cuánticas seguras basadas en isogenias de curvas elípticas supersingulares. [25] No existen patentes que cubran este sistema criptográfico.
Resistencia cuántica de clave simétrica
Siempre que se utilicen tamaños de clave suficientemente grandes, los sistemas criptográficos de clave simétrica como AES y SNOW 3G ya son resistentes al ataque de una computadora cuántica. [26] Además, los sistemas y protocolos de gestión de claves que utilizan criptografía de clave simétrica en lugar de criptografía de clave pública como Kerberos y la estructura de autenticación de red móvil 3GPP también son intrínsecamente seguros contra el ataque de una computadora cuántica. Dado su despliegue generalizado en el mundo, algunos investigadores recomiendan un uso ampliado de la gestión de claves simétricas similar a Kerberos como una forma eficiente de obtener criptografía postcuántica en la actualidad. [27]
Reducciones de seguridad
En la investigación de la criptografía, es deseable probar la equivalencia de un algoritmo criptográfico y un problema matemático difícil conocido. Estas pruebas a menudo se denominan "reducciones de seguridad" y se utilizan para demostrar la dificultad de descifrar el algoritmo de cifrado. En otras palabras, la seguridad de un algoritmo criptográfico dado se reduce a la seguridad de un problema difícil conocido. Los investigadores están buscando activamente reducciones de seguridad en las perspectivas de la criptografía postcuántica. Los resultados actuales se dan aquí:
Criptografía basada en celosía - Ring-LWE Signature
En algunas versiones de Ring-LWE hay una reducción de seguridad al problema del vector más corto (SVP) en una celosía como límite inferior de la seguridad. Se sabe que el SVP es NP-hard . [28] Los sistemas de anillo-LWE específicos que tienen reducciones de seguridad demostrables incluyen una variante de las firmas de anillo-LWE de Lyubashevsky definidas en un artículo de Güneysu, Lyubashevsky y Pöppelmann. [10] El esquema de firma GLYPH es una variante de la firma Güneysu, Lyubashevsky y Pöppelmann (GLP) que tiene en cuenta los resultados de la investigación que se han obtenido después de la publicación de la firma GLP en 2012. Otra firma Ring-LWE es Ring-TESLA . [29] También existe una "variante desaleatorizada" de LWE, llamada Aprendizaje con redondeo (LWR), que produce una "aceleración mejorada (al eliminar pequeños errores de muestreo de una distribución similar a la de Gauss con errores deterministas) y ancho de banda". [30] Mientras que LWE utiliza la adición de un pequeño error para ocultar los bits inferiores, LWR utiliza el redondeo para el mismo propósito.
Criptografía basada en celosía - NTRU, BLISS
Se cree que la seguridad del esquema de cifrado NTRU y la firma BLISS [12] está relacionada con el Problema de Vector Más Cercano (CVP) en una celosía , pero no se puede demostrar que se pueda reducir a él . Se sabe que el CVP es NP-hard . El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea sugirió que la variante Stehle-Steinfeld de NTRU que tiene una reducción de seguridad se estudie para uso a largo plazo en lugar del algoritmo NTRU original. [14]
Criptografía multivariante: aceite y vinagre desequilibrados
Los esquemas de firma de aceite y vinagre desequilibrados son primitivas criptográficas asimétricas basadas en polinomios multivariados sobre un campo finito . Bulygin, Petzoldt y Buchmann han demostrado una reducción de los sistemas UOV cuadráticos multivariados genéricos al problema de resolución de ecuaciones cuadráticas multivariadas NP-Hard . [31]
Criptografía basada en hash: esquema de firma Merkle
En 2005, Luis García demostró que hubo una reducción de seguridad de las firmas de Merkle Hash Tree a la seguridad de la función hash subyacente. García mostró en su artículo que si existen funciones hash computacionalmente unidireccionales, entonces la firma Merkle Hash Tree es demostrablemente segura. [32]
Por lo tanto, si se usa una función hash con una reducción demostrable de seguridad a un problema difícil conocido, se tendría una reducción de seguridad demostrable de la firma del árbol de Merkle a ese problema difícil conocido. [33]
El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea ha recomendado el uso del esquema de firma Merkle para la protección de seguridad a largo plazo contra las computadoras cuánticas. [14]
Criptografía basada en código - McEliece
El sistema de cifrado de McEliece tiene una reducción de seguridad para el problema de decodificación del síndrome (SDP). Se sabe que el SDP es NP-hard [34] El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea ha recomendado el uso de esta criptografía para la protección a largo plazo contra el ataque de una computadora cuántica. [14]
Criptografía basada en código - RLCE
En 2016, Wang propuso un esquema de cifrado de código lineal aleatorio RLCE [35] que se basa en esquemas de McEliece. El esquema RLCE se puede construir usando cualquier código lineal como el código Reed-Solomon insertando columnas aleatorias en la matriz generadora de código lineal subyacente.
Criptografía de isogenia de curva elíptica supersingular
La seguridad está relacionada con el problema de construir una isogenia entre dos curvas supersingulares con el mismo número de puntos. La investigación más reciente de la dificultad de este problema es de Delfs y Galbraith indica que este problema es tan difícil como sugieren los inventores del intercambio de claves. [36] No hay reducción de seguridad para un problema NP-hard conocido .
Comparación
Una característica común de muchos algoritmos de criptografía post-cuántica es que requieren tamaños de clave más grandes que los algoritmos de clave pública "pre-cuánticos" comúnmente utilizados. A menudo hay que hacer concesiones en el tamaño de la clave, la eficiencia computacional y el texto cifrado o el tamaño de la firma. La tabla enumera algunos valores para diferentes esquemas a un nivel de seguridad post-cuántico de 128 bits.
Algoritmo | Tipo | Llave pública | Llave privada | Firma |
---|---|---|---|---|
Cifrado NTRU [37] | Enrejado | 6130 B | 6743 B | |
NTRU Prime optimizado | Enrejado | 1232 B | ||
Arco iris [38] | Multivariante | 124 KB | 95 KB | |
ESFINAS [19] | Firma hash | 1 KB | 1 KB | 41 KB |
ESFINAS + [39] | Firma hash | 32 B | 64 B | 8 KB |
FELICIDAD -II | Enrejado | 7 KB | 2 KB | 5 KB |
Variante GLP Firma GLYPH [10] [40] | Anillo-LWE | 2 KB | 0,4 KB | 1,8 KB |
Nueva esperanza [41] | Anillo-LWE | 2 KB | 2 KB | |
McEliece basado en Goppa [14] | Basado en código | 1 MB | 11,5 KB | |
Cifrado basado en código lineal aleatorio [42] | RLCE | 115 KB | 3 KB | |
McEliece basado en MDPC cuasicíclico [43] | Basado en código | 1232 B | 2464 B | |
SIDH [44] | Isogenia | 751 B | 48 B | |
SIDH (claves comprimidas) [45] | Isogenia | 564 B | 48 B | |
Registro discreto de 3072 bits | no PQC | 384 B | 32 B | 96 B |
Curva elíptica de 256 bits | no PQC | 32 B | 32 B | 65 B |
Una consideración práctica sobre la elección entre algoritmos criptográficos post-cuánticos es el esfuerzo requerido para enviar claves públicas a través de Internet. Desde este punto de vista, los algoritmos Ring-LWE, NTRU y SIDH proporcionan tamaños de clave convenientemente inferiores a 1KB, las claves públicas de firma hash tienen menos de 5KB y McEliece basado en MDPC ocupa aproximadamente 1KB. Por otro lado, los esquemas Rainbow requieren alrededor de 125 KB y McEliece basado en Goppa requiere una clave de casi 1 MB.
Criptografía basada en celosía: intercambio de claves LWE e intercambio de claves Ring-LWE
La idea fundamental de utilizar LWE y Ring LWE para el intercambio de claves fue propuesta y archivada en la Universidad de Cincinnati en 2011 por Jintai Ding. La idea básica proviene de la asociatividad de las multiplicaciones de matrices y los errores se utilizan para proporcionar la seguridad. El documento [46] apareció en 2012 después de que se presentara una solicitud de patente provisional en 2012.
En 2014, Peikert [47] presentó un esquema de transporte de claves siguiendo la misma idea básica de Ding, donde también se utiliza la nueva idea de enviar una señal de 1 bit adicional para redondear en la construcción de Ding. Para algo más de 128 bits de seguridad , Singh presenta un conjunto de parámetros que tienen claves públicas de 6956 bits para el esquema de Peikert. [48] La clave privada correspondiente sería de aproximadamente 14.000 bits.
En 2015, se presentó en Eurocrypt 2015, [49] un intercambio de claves autenticadas con seguridad de reenvío demostrable siguiendo la misma idea básica de Ding, [49] que es una extensión de la construcción HMQV [50] en Crypto2005. Los parámetros para diferentes niveles de seguridad de 80 bits a 350 bits, junto con los tamaños de clave correspondientes, se proporcionan en el documento. [49]
Criptografía basada en celosía: cifrado NTRU
Para 128 bits de seguridad en NTRU, Hirschhorn, Hoffstein, Howgrave-Graham y Whyte, recomiende usar una clave pública representada como un polinomio de grado 613 con coeficientes . Esto da como resultado una clave pública de 6130 bits. La clave privada correspondiente sería de 6743 bits. [37]
Criptografía multivariante: firma Rainbow
Para obtener 128 bits de seguridad y el tamaño de firma más pequeño en un esquema de firma de ecuación cuadrática multivariante de Rainbow, Petzoldt, Bulygin y Buchmann recomiendan usar ecuaciones en con un tamaño de clave pública de algo más de 991.000 bits, una clave privada de poco más de 740.000 bits y firmas digitales de 424 bits de longitud. [38]
Criptografía basada en hash: esquema de firma Merkle
Con el fin de obtener 128 bits de seguridad para firmas basadas en hash para firmar 1 millón de mensajes utilizando el método del árbol fractal Merkle de Naor Shenhav y Wool, los tamaños de las claves pública y privada tienen aproximadamente 36.000 bits de longitud. [51]
Criptografía basada en código - McEliece
Para obtener 128 bits de seguridad en un esquema de McEliece, el grupo de Estudio de Criptografía Post Quantum de la Comisión Europea recomienda usar un código Goppa binario de al menos una longitud y dimensión al menos , y capaz de corregir errores. Con estos parámetros la clave pública para el sistema McEliece será una matriz generadora sistemática cuya parte no identidad tomabits. La clave privada correspondiente, que consiste en el soporte de código con elementos de y un polinomio generador de con coeficientes de , tendrá 92.027 bits de longitud [14]
El grupo también está investigando el uso de códigos MDPC cuasicíclicos de longitud al menos y dimensión al menos , y capaz de corregir errores. Con estos parámetros la clave pública para el sistema McEliece será la primera fila de una matriz generadora sistemática cuya parte no identitaria tomabits. La clave privada, una matriz de verificación de paridad cuasicíclica con entradas distintas de cero en una columna (o el doble en una fila), no requiere más de bits cuando se representan como las coordenadas de las entradas distintas de cero en la primera fila.
Barreto y col. recomiendo usar un código Goppa binario de al menos una longitud y dimensión al menos , y capaz de corregir errores. Con estos parámetros la clave pública para el sistema McEliece será una matriz generadora sistemática cuya parte no identidad tomabits. [52] La clave privada correspondiente, que consiste en el soporte de código con elementos de y un polinomio generador de con coeficientes de , tendrá una longitud de 40 476 bits.
Criptografía de isogenia de curva elíptica supersingular
Para obtener 128 bits de seguridad en el método de isogenia supersingular Diffie-Hellman (SIDH), De Feo, Jao y Plut recomiendan usar un módulo de curva supersingular un primo de 768 bits. Si se utiliza compresión de puntos de curva elíptica, la clave pública no deberá tener más de 8x768 o 6144 bits de longitud. [53] Un artículo de marzo de 2016 de los autores Azarderakhsh, Jao, Kalach, Koziel y Leonardi mostró cómo reducir a la mitad el número de bits transmitidos, lo que fue mejorado aún más por los autores Costello, Jao, Longa, Naehrig, Renes y Urbanik, lo que resultó en una versión de clave comprimida del protocolo SIDH con claves públicas de solo 2640 bits de tamaño. [45] Esto hace que el número de bits transmitidos sea aproximadamente equivalente al RSA no cuántico seguro y Diffie-Hellman en el mismo nivel de seguridad clásico. [54]
Criptografía basada en claves simétricas
Como regla general, para 128 bits de seguridad en un sistema basado en claves simétricas, se pueden utilizar de forma segura tamaños de clave de 256 bits. El mejor ataque cuántico contra sistemas genéricos de clave simétrica es una aplicación del algoritmo de Grover , que requiere un trabajo proporcional a la raíz cuadrada del tamaño del espacio clave. Para transmitir una clave cifrada a un dispositivo que posee la clave simétrica necesaria para descifrar esa clave, también se requieren aproximadamente 256 bits. Está claro que los sistemas de clave simétrica ofrecen los tamaños de clave más pequeños para la criptografía post-cuántica.
Reenviar el secreto
Un sistema de clave pública demuestra una propiedad conocida como secreto directo perfecto cuando genera claves públicas aleatorias por sesión a los efectos del acuerdo de claves. Esto significa que el compromiso de un mensaje no puede llevar al compromiso de otros, y también que no existe un solo valor secreto que pueda llevar al compromiso de múltiples mensajes. Los expertos en seguridad recomiendan el uso de algoritmos criptográficos que admitan el secreto hacia adelante sobre aquellos que no lo hacen. [55] La razón de esto es que el secreto hacia adelante puede proteger contra el compromiso de claves privadas a largo plazo asociadas con pares de claves públicas / privadas. Esto se considera un medio para prevenir la vigilancia masiva por parte de las agencias de inteligencia.
Tanto el intercambio de claves Ring-LWE como el intercambio de claves de isogenia supersingular Diffie-Hellman (SIDH) pueden respaldar el secreto hacia adelante en un intercambio con la otra parte. Tanto el Ring-LWE como el SIDH también se pueden utilizar sin confidencialidad directa mediante la creación de una variante de la clásica variante de cifrado ElGamal de Diffie-Hellman.
Los otros algoritmos de este artículo, como NTRU, no admiten el secreto directo tal como está.
Se puede utilizar cualquier sistema de cifrado de clave pública autenticado para crear un intercambio de claves con confidencialidad directa. [56]
Proyecto Open Quantum Safe
El proyecto Open Quantum Safe [57] [58] (OQS) se inició a finales de 2016 y tiene el objetivo de desarrollar y crear prototipos de criptografía resistente a los cuánticos. Su objetivo es integrar los esquemas post-cuánticos actuales en una biblioteca: liboqs . [59] liboqs es una biblioteca C de código abierto para algoritmos criptográficos resistentes a los cuánticos. liboqs se centra inicialmente en algoritmos de intercambio de claves. liboqs proporciona una API común adecuada para algoritmos de intercambio de claves posteriores a la cuántica y recopilará varias implementaciones. liboqs también incluirá un arnés de prueba y rutinas de evaluación comparativa para comparar el rendimiento de las implementaciones post-cuánticas. Además, OQS también proporciona integración de liboqs en OpenSSL . [60]
En abril de 2017, se admiten los siguientes algoritmos de intercambio de claves: [57]
Algoritmo | Tipo |
---|---|
BCNS15 [61] | Anillo de aprendizaje con intercambio de claves de errores |
NewHope [62] [41] | Anillo de aprendizaje con intercambio de claves de errores |
Frodo [63] | Aprendiendo con errores |
NTRU [64] | Criptografía basada en celosía |
SIDH [65] [66] | Intercambio de claves de isogenia supersingular |
McBits [67] | Códigos de corrección de errores |
Implementación
Se considera que uno de los principales desafíos en la criptografía post-cuántica es la implementación de algoritmos potencialmente seguros cuánticos en los sistemas existentes. Hay pruebas realizadas, por ejemplo, por Microsoft Research implementando PICNIC en una PKI utilizando módulos de seguridad de hardware . [68] Los proveedores de HSM también han realizado implementaciones de prueba para el algoritmo NewHope de Google .
Ver también
- Criptografía de celosía ideal : el aprendizaje en anillo con errores es un ejemplo de criptografía de celosía ideal
- Estandarización de criptografía post-cuántica - por NIST
- Criptografía cuántica : para criptografía basada en la mecánica cuántica
Referencias
- ^ Peter W. Shor (1997). "Algoritmos de polinomio-tiempo para factorización prima y logaritmos discretos en una computadora cuántica". Revista SIAM de Computación . 26 (5): 1484–1509. arXiv : quant-ph / 9508027 . Código bibliográfico : 1995quant.ph..8027S . doi : 10.1137 / S0097539795293172 . S2CID 2337707 .
- ^ a b c Daniel J. Bernstein (2009). "Introducción a la criptografía post-cuántica" (PDF) . Criptografía post-cuántica .
- ^ "El nuevo control de qubit es un buen augurio para el futuro de la computación cuántica" . phys.org .
- ^ "Los criptógrafos toman las computadoras cuánticas" . Espectro IEEE . 2009-01-01.
- ^ a b "Preguntas y respuestas con el investigador de criptografía de computación cuántica Jintai Ding" . Espectro IEEE . 2008-11-01.
- ^ "Taller de Criptografía Cuántica Segura ETSI" . Taller de Criptografía Cuántica Segura de ETSI . ETSI. Octubre de 2014. Archivado desde el original el 17 de agosto de 2016 . Consultado el 24 de febrero de 2015 .
- ^ Daniel J. Bernstein (17 de mayo de 2009). "Análisis de costes de las colisiones hash: ¿las computadoras cuánticas harán que SHARCS sea obsoleto?" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ Daniel J. Bernstein (3 de marzo de 2010). "Grover contra McEliece" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ Peikert, Chris (2014). "Criptografía de celosía para Internet" . IACR. Archivado desde el original (PDF) el 31 de enero de 2014 . Consultado el 10 de mayo de 2014 .
- ^ a b c Güneysu, Tim; Lyubashevsky, Vadim; Pöppelmann, Thomas (2012). "Criptografía práctica basada en celosía: un esquema de firma para sistemas integrados" (PDF) . INRIA . Consultado el 12 de mayo de 2014 .
- ^ Zhang, jiang (2014). "Intercambio de claves autenticadas de Ideal Lattices" . iacr.org . IACR. Archivado desde el original (PDF) el 17 de agosto de 2014 . Consultado el 7 de septiembre de 2014 .
- ^ a b Ducas, Léo; Durmus, Alain; Lepoint, Tancrède; Lyubashevsky, Vadim (2013). "Firmas de celosía y gaussianos bimodales" . Consultado el 18 de abril de 2015 . Cite journal requiere
|journal=
( ayuda ) - ^ Lyubashevsky, Vadim; = Peikert; Regev (2013). "Sobre celosías ideales y aprendizaje con errores sobre anillos" . IACR. Archivado desde el original (PDF) el 22 de julio de 2013 . Consultado el 14 de mayo de 2013 .
- ^ a b c d e f g Augot, Daniel (7 de septiembre de 2015). "Recomendaciones iniciales de sistemas post-cuánticos seguros a largo plazo" (PDF) . PQCRYPTO . Consultado el 13 de septiembre de 2015 .
- ^ Stehlé, Damien; Steinfeld, Ron (1 de enero de 2013). "Hacer que NTRUEncrypt y NTRUSign sean tan seguros como los problemas estándar en el peor de los casos sobre celosías ideales" . Cite journal requiere
|journal=
( ayuda ) - ^ Easttom, Chuck (1 de febrero de 2019). "Un análisis de primitivas criptográficas asimétricas basadas en celosía líderes". Un análisis de primitivas criptográficas asimétricas basadas en celosía líderes . págs. 0811–0818. doi : 10.1109 / CCWC.2019.8666459 . ISBN 978-1-7281-0554-3. S2CID 77376310 .
- ^ Ding, Jintai; Schmidt (7 de junio de 2005). "Arco iris, un nuevo esquema de firma polinomial multivariable". En Ioannidis, John (ed.). Tercera Conferencia Internacional, ACNS 2005, Nueva York, NY, EE. UU., 7 al 10 de junio de 2005. Actas . Apuntes de conferencias en Ciencias de la Computación. 3531 . págs. 64-175. doi : 10.1007 / 11496137_12 . ISBN 978-3-540-26223-7.
- ^ Buchmann, Johannes; Dahmen, Erik; Hülsing, Andreas (2011). "XMSS: un esquema práctico de firma segura hacia adelante basado en suposiciones de seguridad mínimas". Criptografía post-cuántica. PQCrypto 2011 . Apuntes de conferencias en Ciencias de la Computación. 7071 . págs. 117-129. CiteSeerX 10.1.1.400.6086 . doi : 10.1007 / 978-3-642-25405-5_8 . ISSN 0302-9743 .
- ^ a b Bernstein, Daniel J .; Hopwood, Daira; Hülsing, Andreas; Lange, Tanja ; Niederhagen, Ruben; Papachristodoulou, Louiza; Schneider, Michael; Schwabe, Peter; Wilcox-O'Hearn, Zooko (2015). Oswald, Elisabeth ; Fischlin, Marc (eds.). SPHINCS: prácticas firmas basadas en hash sin estado . Apuntes de conferencias en Ciencias de la Computación. 9056 . Springer Berlín Heidelberg. págs. 368–397. CiteSeerX 10.1.1.690.6403 . doi : 10.1007 / 978-3-662-46800-5_15 . ISBN 9783662467992.
- ^ "RFC 8391 - XMSS: Esquema de firma eXtended Merkle" . tools.ietf.org .
- ^ Moni Naor, Moti Yung: Funciones hash unidireccionales universales y sus aplicaciones criptográficas. STOC 1989: 33-43
- ^ Overbeck, Rafael; Sendrier (2009). Bernstein, Daniel (ed.). Criptografía basada en código . Criptografía post-cuántica . págs. 95-145. doi : 10.1007 / 978-3-540-88702-7_4 . ISBN 978-3-540-88701-0.
- ^ De Feo, Luca; Jao; Plut (2011). "Hacia criptosistemas cuánticos resistentes a partir de isogenias de curva elíptica supersingular" (PDF) . PQCrypto 2011 . Consultado el 14 de mayo de 2014 .
- ^ Higgins, Peter (2013). "Impulsando un secreto perfecto hacia adelante, una importante protección de la privacidad en la Web" . Fundación Frontera Electrónica . Consultado el 15 de mayo de 2014 .
- ^ Sun, Xi; Tian; Wang (19 a 21 de septiembre de 2012). Explorar publicaciones de conferencias> Redes inteligentes y colaboración ... Ayuda a trabajar con resúmenes para lograr una firma de verificador designado fuerte resistente a los cuánticos a partir de isogenias . Redes inteligentes y sistemas colaborativos (INCoS), 2012 4ª Conferencia Internacional sobre . págs. 292-296. doi : 10.1109 / iNCoS.2012.70 . ISBN 978-1-4673-2281-2. S2CID 18204496 .
- ^ Perlner, Ray; Cooper (2009). "Criptografía de clave pública resistente cuántica: una encuesta" . NIST . Consultado el 23 de abril de 2015 . Cite journal requiere
|journal=
( ayuda ) - ^ Campagna, Matt; Hardjono; Pintsov; Romansky; Yu (2013). "Autenticación segura cuántica revisada por Kerberos" (PDF) . ETSI.
- ^ Lyubashevsky, Vadim; Peikert; Regev (25 de junio de 2013). "Sobre celosías ideales y aprendizaje con errores sobre anillos" (PDF) . Springer . Consultado el 19 de junio de 2014 .
- ^ Akleylek, Sedat; Bindel, Nina; Buchmann, Johannes; Krämer, Juliane; Marson, Giorgia Azzurra (2016). "Un esquema de firma basado en celosía eficiente con instanciación probadamente segura" . Cite journal requiere
|journal=
( ayuda ) - ^ Nejatollahi, Hamid; Dutt, Nikil; Ray, Sandip; Regazzoni, Francesco; Banerjee, Indranil; Cammarota, Rosario (27/02/2019). "Implementaciones de criptografía basada en celosía post-cuántica: una encuesta" . Encuestas de computación ACM . 51 (6): 1–41. doi : 10.1145 / 3292548 . ISSN 0360-0300 . S2CID 59337649 .
- ^ Bulygin, Stanislav; Petzoldt; Buchmann (2010). "Hacia una seguridad demostrable del esquema de firma de aceite y vinagre desequilibrado bajo ataques directos". Avances en criptología - INDOCRYPT 2010 . Apuntes de conferencias en Ciencias de la Computación. 6498 . págs. 17–32. CiteSeerX 10.1.1.294.3105 . doi : 10.1007 / 978-3-642-17401-8_3 . ISBN 978-3-642-17400-1.
- ^ Pereira, Geovandro; Puodzius, Cassius; Barreto, Paulo (2016). "Firmas basadas en hash más cortas". Revista de sistemas y software . 116 : 95-100. doi : 10.1016 / j.jss.2015.07.007 .
- ^ García, Luis. "Sobre la seguridad y la eficiencia del esquema de firma Merkle" (PDF) . Archivo ePrint de criptología . IACR . Consultado el 19 de junio de 2013 .
- ^ Blaum, Mario; Farrell; Tilborg (31 de mayo de 2002). Información, Codificación y Matemáticas . Saltador. ISBN 978-1-4757-3585-7.
- ^ Wang, Yongge (2016). "Esquema de cifrado de clave pública basado en código lineal aleatorio resistente cuántico RLCE". Procedimientos de teoría de la información (ISIT) . IEEE ISIT: 2519–2523. arXiv : 1512.08454 . Código Bibliográfico : 2015arXiv151208454W .
- ^ Delfs, Christina; Galbraith (2013). "Calcular isogenias entre curvas elípticas supersingulares sobre F_p". arXiv : 1310.7789 [ matemáticas.NT ].
- ^ a b Hirschborrn, P; Hoffstein; Howgrave-Graham; Whyte. "Elección de parámetros de NTRUEncrypt a la luz de enfoques combinados de reducción de celosía y MITM" (PDF) . NTRU. Archivado desde el original (PDF) el 30 de enero de 2013 . Consultado el 12 de mayo de 2014 .
- ^ a b Petzoldt, Albrecht; Bulygin; Buchmann (2010). "Selección de parámetros para el esquema de firma Rainbow - Versión extendida -" . Archivado desde el original (PDF) el 11 de agosto de 2010 . Consultado el 12 de mayo de 2014 .
- ^ "SPHINCS +: Presentación al proyecto post-cuántico del NIST" (PDF) .
- ^ Chopra, Arjun (2017). "GLYPH: una nueva insantiation del esquema de firma digital GLP" . Cite journal requiere
|journal=
( ayuda ) - ^ a b Alkim, Erdem; Ducas, Léo; Pöppelmann, Thomas; Schwabe, Peter (2015). "Intercambio de claves post-cuántica: una nueva esperanza" (PDF). Archivo de Cryptology ePrint, Informe 2015/1092 . Consultado el 1 de septiembre de 2017 .
- ^ Wang, Yongge (2017). "Esquema de cifrado de clave pública resistente cuántica revisado RLCE y seguridad IND-CCA2 para esquemas de McEliece" . Cite journal requiere
|journal=
( ayuda ) - ^ Misoczki, R .; Tillich, JP; Sendrier, N .; Barreto, PSLM (2013). MDPC-McEliece: nuevas variantes de McEliece a partir de códigos de verificación de paridad de densidad moderada . 2013 Simposio Internacional IEEE sobre Teoría de la Información . págs. 2069–2073. CiteSeerX 10.1.1.259.9109 . doi : 10.1109 / ISIT.2013.6620590 . ISBN 978-1-4799-0446-4. S2CID 9485532 .
- ^ Costello, Craig; Longa, Patrick; Naehrig, Michael (2016). "Algoritmos eficientes para isogenia supersingular Diffie-Hellman" (PDF) . Avances en criptología .
- ^ a b Costello, Craig; Jao; Longa; Naehrig; Renes; Urbanik. "Compresión eficiente de claves públicas SIDH" . Consultado el 8 de octubre de 2016 .
- ^ Lin, Jintai Ding, Xiang Xie, Xiaodong (1 de enero de 2012). "Un esquema de intercambio de claves seguro y demostrable basado en el problema de aprendizaje con errores" . Cite journal requiere
|journal=
( ayuda ) - ^ Peikert, Chris (1 de enero de 2014). "Criptografía de celosía para Internet" . Cite journal requiere
|journal=
( ayuda ) - ^ Singh, Vikram (2015). "Un intercambio de claves práctico para Internet utilizando criptografía de celosía" . Consultado el 18 de abril de 2015 . Cite journal requiere
|journal=
( ayuda ) - ^ a b Zhang, Jiang; Zhang, Zhenfeng; Ding, Jintai; Snook, Michael; Dagdelen, Özgür (26 de abril de 2015). "Intercambio de claves autenticadas de Ideal Lattices". En Oswald, Elisabeth; Fischlin, Marc (eds.). Avances en Criptología - EUROCRYPT 2015 . Apuntes de conferencias en Ciencias de la Computación. Springer Berlín Heidelberg. págs. 719–751. CiteSeerX 10.1.1.649.1864 . doi : 10.1007 / 978-3-662-46803-6_24 . ISBN 978-3-662-46802-9.
- ^ Krawczyk, Hugo (14 de agosto de 2005). "HMQV: un protocolo Diffie-Hellman seguro de alto rendimiento". En Shoup, Victor (ed.). Avances en criptología - CRYPTO 2005 . Apuntes de conferencias en Ciencias de la Computación. 3621 . Saltador. págs. 546–566. doi : 10.1007 / 11535218_33 . ISBN 978-3-540-28114-6.
- ^ Naor, Dalit; Shenhav; Lana (2006). "Firmas de una sola vez revisadas: firmas rápidas prácticas mediante el cruce del árbol Fractal Merkle" (PDF) . IEEE . Consultado el 13 de mayo de 2014 .
- ^ Barreto, Paulo SLM; Biasi, Felipe Piazza; Dahab, Ricardo; López-Hernández, Julio César; Morais, Eduardo M. de; Oliveira, Ana D. Salina de; Pereira, Geovandro CCF; Ricardini, Jefferson E. (2014). Koç, Çetin Kaya (ed.). Un panorama de la criptografía poscuántica . Springer International Publishing. págs. 387–439. doi : 10.1007 / 978-3-319-10683-0_16 . ISBN 978-3-319-10682-3.
- ^ De Feo, Luca; Jao; Plut (2011). "Hacia criptosistemas cuánticos resistentes a partir de isogenias de curva elíptica supersingular" . Archivado desde el original (PDF) en octubre de 2011 . Consultado el 12 de mayo de 2014 .
- ^ "Archivo de Cryptology ePrint: Informe 2016/229" . eprint.iacr.org . Consultado el 2 de marzo de 2016 .
- ^ Ristic, Ivan (25 de junio de 2013). "Implementar el secreto hacia adelante" . Laboratorios SSL . Consultado el 14 de junio de 2014 .
- ^ "¿Proporciona NTRU Perfect Forward Secrecy?" . crypto.stackexchange.com .
- ^ a b "Abra Quantum Safe" . openquantumsafe.org .
- ^ Stebila, Douglas; Mosca, Michele. "Intercambio de claves post-Quantum para Internet y el proyecto Open Quantum Safe" . Cryptology ePrint Archive, Informe 2016/1017, 2016 . Consultado el 9 de abril de 2017 .
- ^ "liboqs: biblioteca C para algoritmos criptográficos resistentes a los cuánticos" . 26 de noviembre de 2017 - a través de GitHub.
- ^ "openssl: bifurcación de OpenSSL que incluye algoritmos cuánticos resistentes y conjuntos de cifrado basados en liboqs" . 9 de noviembre de 2017 - a través de GitHub.
- ^ Stebila, Douglas (26 de marzo de 2018). "Hoja de datos del algoritmo liboqs nist-branch: kem_newhopenist" . GitHub . Consultado el 27 de septiembre de 2018 .
- ^ "Biblioteca de criptografía de celosía" . Investigación de Microsoft . 19 de abril de 2016 . Consultado el 27 de septiembre de 2018 .
- ^ Bos, Joppe; Costello, Craig; Ducas, Léo; Mironov, Ilya; Naehrig, Michael; Nikolaenko, Valeria; Raghunathan, Ananth; Stebila, Douglas (1 de enero de 2016). "Frodo: ¡Quítese el anillo! Práctico intercambio de claves Quantum-Secure de LWE" . Cite journal requiere
|journal=
( ayuda ) - ^ "NTRUOpenSourceProject / NTRUEncrypt" . GitHub . Consultado el 10 de abril de 2017 .
- ^ "Biblioteca SIDH - Microsoft Research" . Investigación de Microsoft . Consultado el 10 de abril de 2017 .
- ^ Feo, Luca De; Jao, David; Plût, Jérôme (1 de enero de 2011). "Hacia criptosistemas cuánticos resistentes a partir de isogenias de curva elíptica supersingular" . Archivado desde el original el 3 de mayo de 2014. Cite journal requiere
|journal=
( ayuda ) - ^ Bernstein, Daniel J .; Chou, Tung; Schwabe, Peter (1 de enero de 2015). "McBits: rápida criptografía basada en código de tiempo constante" . Cite journal requiere
|journal=
( ayuda ) - ^ "Microsoft / Picnic" (PDF) . GitHub . Consultado el 27 de junio de 2018 .
Otras lecturas
- Criptografía post-cuántica . Saltador. 2008. p. 245. ISBN 978-3-540-88701-0.
- Isogenias en un mundo cuántico
- Sobre celosías ideales y aprendizaje con errores sobre anillos
- Kerberos revisitado: autenticación Quantum-Safe
- El esquema de la firma de picnic
enlaces externos
- PQCrypto, la conferencia de criptografía post-cuántica
- Esfuerzo de estándares de seguridad cuántica de ETSI
- Proyecto criptográfico Post-Quantum de NIST
- Uso e implementación de PQCrypto