20189217 2018-2019-2 《密码与安全新技术专题》第三周做业

课程：《密码与安全新技术专题》

班级： 1892
姓名： 张鸿羽
学号：20189217
上课教师：孙莹
上课日期：2019年3月12日
必修/选修： 选修

1.本次讲座的学习总结

1.1 量子密码研究背景

传统密码

	对称密码体制	公钥密码体制
优势	加密速度快，适合批量加密数据	可解决密钥分配、管理问题，可用于签名
缺点	密钥分配、密钥管理、没有签名功能	加密速度慢

实际使用时，多用混合密码体制：用公钥密码体制分发会话密钥，用对称密码体制加密数据。

传统密码的挑战

然而，这种传统密码受到了来自量子密码的挑战：基于大数分解的Shor算法和基于快速搜索的Grover算法可以迅速破解传统密码。

Shor算法（大数分解算法）

Shor算法能在多项式时间内解决大数分解难题，从而使RSA等大多数公钥密码受到冲击。

Grover算法

Grover算法（快速搜索算法）能够加速搜索密钥，从而使DES、AES等对称密码受到冲击。

量子密码

量子秘钥分配（QKD）的特色：

• 能够检测到潜在窃听行为。
  
• 基于物理学原理，理论上可达到无条件安全。
  也就是说，量子密码可达到无条件安全的保密通讯。

1.2 基本物理概念

量子

微观世界的某些物理量不能连续变化而只能取某些分立值，相邻分立值的差称为该物理量的一个量子。

直观理解：具备特殊性质的微观粒子或光子。

量子态

• 经典信息：比特0或1，可用高低电压等表示。
  
• 量子信息：量子比特（Qubit） |0> (水平方向） |1> （竖直方向）
  
• 量子比特还能够处在不一样状态的叠加态上。

量子态的可叠加性带来一系列特殊性质

• 量子计算的并行性：强大的计算能力
  
• 不可克隆定理：未知量子态不可准确测量
  
• 测不许原理：未知量子态不可准确测量
  
• 对未知量子态的测量可能会改变量子态

量子比特的测量--力学量、测量基

• 每一个力学量都对应一个厄米算符（矩阵）
  
• 测量某个力学量时，测量结果为此力学量对应厄米算符的本征值（特征值）
  
• 测量后量子态塌缩到此本征值对应的本征态（特征向量）

1.3 典型协议--BB84量子密钥分配协议

量子密钥分配是1984年物理学家Bennett和密码学家Brassard提出了基于量子力学测量原理的BB84协议，量子密钥分配从根本上保证了密钥的安全性。
在光系统中，BB84协议使用四个光子的偏振态来传输信息，这四个量子态又能够分红相互非正交的两组，并且每组中的两个光子的偏振态是正交的同时这两组又是相互共轭的。若是是单光子通讯系统，则这四个量子态分别为光子的水平偏振态 （记做 ）、垂直偏振态 （记做 ）、 偏振方向的偏振态 （记做↗）、 偏振方向的偏振态 （记做↘）。 其中，前两个态为一组测量基，后两个态为一组测量基。当发送方Alice与Bob进行通讯时，不是只使用某一组测量基，而是按照必定的几率同时使用两组基。BB84协议的工做过程以下：

第一阶段 量子通讯

1)Alice从四种偏振态中随机选择发送给Bob。
2)接收者Bob接受信息发送方Alice传输的信息，并从两组测量基中随机选择一个对接收到的光子的偏振态进行测量。

第二阶段 经典通讯

3)接收者Bob发送信息给信息发送方Alice并告知他本身在哪些量子比特位上使用了哪个测量基。信息发送方Alice 在接收到Bob发送的消息以后，与本人发送时采用的基逐一比对并通知接收者Bob在哪些位置上选择的基是正确的。
4)信息发送方Alice和接收者Bob丢掉测量基选择有分歧的部分并保存下来使用了同一测量基的粒子比特位，并从保存的信息中选取相同部分在经典信道中做对比。信道安全的状况下信息发送方Alice和接收者Bob的数据应当是没有分歧的。若存在窃听，则Alice和Bob的数据会出现不一样的部分。
5) 若是没有窃听，双方将保留下来的剩余的位做为最终密钥。

1.4 基本模型介绍

四个基本步骤

• 信息传输
  
• 窃听检测
  
• 纠错
  
• 保密加强

信息传输：一般用到两种信道

量子信道

• 传输量子载体，例如：光纤、自由空间等。
  
• 容许窃听者对传输的量子消息进行任意窃听和篡改。

经典信道

• 传输经典信息，例如：测量基、测量结果等。
  
• 基本假设：窃听者只能窃听经典消息而不能篡改它们。

窃听检测

• 通常手段：随机选择部份量子载体，比较初末状态。
  
• 对好的协议：窃听必然干扰量子态，进而引入错误。
  
• 一旦发现存在窃听（错误率太高），则终止通讯，丢弃相关数据。
  
• 由于传输的是密钥（即随机数），而不是秘密消息，所以能够丢弃它们而不会所以泄露秘密。

纠错和保密加强：解决噪声问题

• 理想状况（无噪声）：有错误就认为有窃听
  
• 实际状况（有噪声）：噪声也会带来必定错误率
  
• 对策：设定一个阈值，当错误率高于这个阈值时丢弃通讯数据，反之保留（即容许有必定的错误）
  • Alice和Bob的密钥可能不彻底一致
    
  • Eve可能在噪声掩饰下得到部分密钥信息
    
• 纠错：纠正密钥中的错误
  
• 保密加强：经过压缩密钥长度，将Eve可能得到的部分密钥信息压缩至任意小，获得安全的密钥

1.5 研究现状和实验进展

量子密码协议的设计与分析

• 量子密钥分发
• 量子比特承诺
  
• 量子秘密共享
  
• 量子投票
  
• 量子安全直接通讯
  
• 量子签名
  
• 量子身份认证
  
• 量子公钥密码
  
• 量子抛币
  
• 量子真随机数
  
• 量子不经意传输
  
• 连续变量量子密码协议

提升性能的相关技术

• 提升效率：可重用基、纠缠加强、双光子、双探测器
  
• 提升抗干扰能力：无消想干子空间、量子纠错码
  
• 提升实际系统抗攻击能力：诱骗态、设备无关

实验技术

速率更高、距离更远、安全性更强

实验进展（国外）

最新进展

• 光纤：250千米（15b/s,1.9%）；1Mb/s（10-20千米）
  
• 美、欧、日已建成本身的量子密码通讯网络

热点：实用化

长时间稳定运行，现有光纤网络通讯，不一样GKD系统组网

2001年，第一个商用量子密码系统诞生了，它的最大传输距离为60km，最大密钥分发速率为1000bits/s。

美国DARPA网络、欧洲SECOQC网络、日本Tokyo QKD网络

实验进展（国内）

• 2016年8月，中国成功发射了世界首颗量子科学实验卫星“墨子号”。
  

• 2017年9月，我国首个商用量子保密通讯专网经过技术验收。

• 2017年8月，量子科学实验卫星“墨子号”圆满完成了散发科学实验任务：量子纠缠分发、量子密钥分发、量子隐形传态。
  

• 2017年9月，世界首条千千米级量子保密通讯干线--“京沪干线”正式开通。利用“京沪干线”与“墨子号”的天地链路，北京和维也纳之间成功实现国际上首次洲际量子保密通讯。

2.学习中遇到的问题及解决

• 问题1：量子密码技术的应用化还面临哪些障碍？
• 问题1解决方案：经过查阅相关资料，发现量子密码技术的应用化的障碍主要有量子密码系统的实际安全性问题，即因为器件等的非理想性致使安全性漏洞。量子密码系统必须能经受得住现有全部可能手段的攻击才能够实际应用。另外，提升密码比特率、研制实用量子中继器等也是重要的问题。

3.本次讲座的学习感悟和思考

在本次讲座以前，我几乎没有了解过关于量子密码的任何知识，经过本次讲座，我对量子密码这一前沿学科有了大致的认知，第一次知道了原来我国在量子密码的研究上已经很有建树，曾与2016年成功发射世界首颗量子科学实验卫星“墨子号”。我认为，我国应当增强这方面的人才的培养，继续提升技术水平，在核心技术上掌握话语权。

4.量子密码最新研究现状

论文1

IND-CCA-Secure Key Encapsulation Mechanism in the Quantum Random Oracle Model, Revisited

• 期刊/会议名称：IACR2018
  
• 做者信息：Haodong Jiang, Zhenfeng Zhang, Long Chen, Hong Wang and Zhi Ma

研究进展

随着NIST量子密码术后标准化的逐步推动，第1轮KEM提案已发布供公众讨论和评估。在INDCA安全KEM结构中，首先介绍了一种INDCA安全（或OWCPA安全）公钥加密（PKE）方案，而后对其进行了一些通用转换。全部这些通用转换都是在随机Oracle模型（ROM）中构建的。为了全面评估后量子安全性，量子随机预言模型（QROM）中的安全性分析是首选。然而，目前的做品要么缺少qrom安全性证实，要么只是遵循了targhi和unruh的证实技术（tcc-b 2016），并经过在密文中添加额外的哈希来修改原始转换，以实现qrom安全性。在本文中，经过使用一种新的证实技术，咱们提出了两种普遍使用的qrom安全性下降。无需任何密文开销的通用转换。同时，安全界限比使用targhi和unruh的证实技术获得的要严格得多。所以，咱们的qrom安全证实不只为NIST round-1 KEM方案提供了坚实的后量子安全保证，并且简化了构造并减少了密文大小。咱们还为Hofheinz-H_velmanns-Kiltz模块化转换（TCC 2017）提供QROM安全下降，这有助于得到具备不一样要求和属性的各类组合转换。

论文2

Quantum Attacks against Indistinguishablility Obfuscators Proved Secure in the Weak Multilinear Map Model

• 期刊/会议名称：IACR2018
  
• 做者信息：Alice Pellet-Mary (Univ Lyon, CNRS, ENS de Lyon, Inria, Université Claude Bernard Lyon 1, LIP UMR 5668, F-69007 LYON, France)

研究进展

Alice Pellet-Mary (Univ Lyon, CNRS, ENS de Lyon, Inria, Université Claude Bernard Lyon 1, LIP UMR 5668, F-69007 LYON, France)
本论文提出了一个量子多项式时间攻击的GMMSSZ分支程序模糊加格等人。当用garg等人的ggh13多行图实例化时。在Miles等人提出的弱多行映射模型中，该候选模糊器被证实是安全的。咱们的攻击使用了Cramer等人的短主理想解算器。在量子多项式时间内恢复ggh13多行映射的一个秘密元素。而后，咱们使用这个秘密元素对GMMSSZ模糊器进行（经典）多项式时间混合输入攻击。所以，本文的主要结果能够看做是从GMMSSZ模糊器的安全性到短主理想问题（量子设置仅用于在多项式时间内解决这个问题）的经典约简。做为另外一项贡献，咱们解释了如何将相同的思想应用于对D_ttling等人的dggmm模糊器进行量子多项式时间攻击。这在弱多行地图模型中也被证实是安全的。

论文3

Quantum FHE (Almost) as Secure as Classical

• 期刊/会议名称：IACR2018
  
• 做者信息：Zvika Brakerski

研究进展

彻底同态加密方案（fhe）容许对加密数据应用任意有效的计算，而不须要先对其进行解密。在量子fhe（qfhe）中，咱们可能但愿对（经典或量子）加密的数据应用任意的量子效率计算。
本论文提出了一种具备经典密钥生成（若是加密消息自己是经典的，则采用经典加密和解密）的qfhe方案，其性能与经典fhe至关。安全性依赖于具备多项式模的偏差学习（LWE）问题的硬度，这转化为将格中的短向量问题近似为多项式因子内的最差状况硬度。在多项式因子中，这与经典fhe最著名的假设相匹配。与经典设置相似，仅依赖于LWE仅意味着水平的qfhe（其中公钥长度与容许的最大评估深度成线性关系）。须要一个额外的循环安全假设来支持彻底无边界的深度。有趣的是，咱们的循环安全性假设与实现无边界深度多密钥经典FHE的假设相同。
从技术上讲，本论文依赖于Mahadev的大纲（arxiv 2017），它经过依赖超级多项式LWE模和新的循环安全假设来实现这一功能。咱们观察到评价量子门的功能与经典同态加密的电路隐私性之间的联系。虽然这种链接自己不足以暗示qfhe，但它引导咱们找到一条最终容许使用具备多项式模的经典fhe方案来构造具备相同模的qfhe的路径。

论文4

Pseudorandom Quantum States

• 期刊/会议名称：IACR2018
  
• 做者信息：Zhengfeng Ji, Yi-Kai Liu, Fang Song

研究进展

本论文提出了伪随机量子态的概念，它对任何一个量子多项式时间对手都是随机的。它提供了与密码伪随机发生器在本质上相似的彻底随机量子态的计算近似，而不是之前研究过的量子伪随机性的统计概念，如与T向独立分布相似的量子T设计。
在量子安全单向函数存在的假设下，给出了伪随机态的有效构造，证实了咱们的定义是可行的。而后证实了伪随机态的几个基本性质，证实了咱们的定义的实用性。首先，咱们展现了一个密码不克隆定理：当给定多项式多个副本做为输入时，没有一个有效的量子算法能够建立一个伪随机状态的额外副本。第二，正如对随机量子态的预期，咱们发现伪随机量子态的平均纠缠度很高。最后，做为一个主要应用，咱们证实了任何一类伪随机态都会天然产生一个私钥量子货币方案。

论文5

Quantum Backscatter Communication: A New Paradigms

• 期刊/会议名称： ISWCS2018
  
• 做者信息：
  • Roberto Di Candia
    (Dahlem Center for Complex Quantum Systems, Freie Universität Berlin, Berlin, 14195, Germany)
    
  • Riku Jäntti
    (Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
    
  • Ruifeng Duan
    (Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
    
  • Jari Lietzen
    (Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
    
  • Hany Khalifa
    (Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)
  • Kalle Ruttik
    (Department of Communications and Networking, Aalto University, Espoo, 02150, Finland)

研究进展

本文以量子光照（qi）概念为基础，提出了一种新的量子后向散射通讯（qbc）协议。在QBC范式中，发射器产生纠缠光子对。信号光子被传输，引导光子保持在接收器上。标签天线经过对撞击天线的信号进行脉冲幅度调制（PAM）、二进制相移键控（BPSK）或二次相移键控（QPSK）进行通讯。咱们的QBC协议使用和频生成接收机，PAM和BPSK的偏差指数增益为6分贝，而QPSK的增益为3分贝，超过了经典的对应。最后，咱们讨论了qi加强的安全后向散射通讯。

参考资料

• 量子密码：无条件安全的但愿