2018-2019-2 20189206 《密码与安全新技术专题》 第二次做业

20189206 2018-2019-2 《密码与安全新技术专题》第三周做业

课程：《密码与安全新技术专题》

班级： 1892

姓名： 王子榛

学号：20189206

上课教师：孙莹

上课日期：2019年3月12日

1.本次讲座的学习总结

基本物理概念

量子的概念：

量子（quantum）是现代物理的重要概念。最先是由德国物理学家M·普朗克在1900年提出的。他假设黑体辐射中的辐射能量是不连续的，只能取能量基本单位的整数倍，从而很好地解释了黑体辐射的实验现象。
后来的研究代表，不但能量表现出这种不连续的分离化性质，其余物理量诸如角动量、自旋、电荷等也都表现出这种不连续的量子化现象。这同以牛顿力学为表明的经典物理有根本的区别。量子化现象主要表如今微观物理世界。描写微观物理世界的物理理论是量子力学。

一个物理量若是存在最小的不可分割的基本单位，则这个物理量是量子化的。量子是能表现出某物质或物理量特性的最小单元。

量子通讯：

量子密钥分发能够创建安全的通讯密码, 经过一次一密的加密方式能够实现点对点方式的安全经典通讯. 这里的安全性是在数学上已经得到严格证实的安全性, 这是经典通讯迄今为止作不到的。现有的量子密钥分发技术能够实现百千米量级的量子密钥分发， 辅以光开关等技术, 还能够实现量子密钥分发网络。 量子态隐形传输是基于量子纠缠态的分发与量子联合测量, 实现量子态(量子信息) 的空间转移而又不移动量子态的物理载体, 这如同将密封信件内容从一个信封内转移到另外一个信封内而又不移动任何信息载体自身. 这在经典通讯中是没法想象的事. 基于量子态隐形传输技术和量子存储技术的量子中继器能够实现任意远距离的量子密钥分发及网络。

量子态：

量子态即一组量子表征，用来表示量子力学某一粒子的运动状态。

量子纠缠：在量子力学里，当几个粒子在彼此相互做用后，因为各个粒子所拥有的特性已综合成为总体性质，没法单独描述各个粒子的性质，只能描述总体系统的性质，则称这现象为量子缠结或量子纠缠（quantum entanglement）。量子纠缠是一种纯粹发生于量子系统的现象；在经典力学里，找不到相似的现象。

数学表达：

• 经典信息：比特 0 或 1，可用高低电压等表示
• 量子信息：量子比特（Qubit） |0> ， |1>
• 量子比特还能够处在不一样状态的叠加态上

量子态的向量描述：

量子计算的特色：

• 量子计算具备并行性
• 未知量子态不可克隆
• 未知量子态不可准确测量
• 对未知量子态的测量可能会改变量子态

量子比特的测量————力学量、测量基

测量后的量子态塌缩到此本征值对应的本征态（老师在课上讲了就相似于四种基本的量子态{|0> |1> |+> |->}，在测量时因为选择不一样的测量基，用{|0> |1>}基测量|+>态会随机获得|+> 或 |->态，|0> |1>}基测量|1>态会以1的几率获得|1>）

量子密码简介

量子密码术与传统的密码系统不一样，它依赖于物理学做为安全模式的关键方面而不是数学。实质上，量子密码术是基于单个光子的应用和它们固有的量子属性开发的不可破解的密码系统，由于在不干扰系统的状况下没法测定该系统的量子状态。理论上其余微粒也能够用，只是光子具备全部须要的品质，它们的行为相对较好理解，同时又是最有前途的高带宽通信介质光纤电缆的信息载体。

使用的密码体制：

• 用公钥密码体制分发会话秘钥
• 用对称密码体制加密数据

量子密码

• Shor算法：大数分解算法
  • 多项式时间内解决大数分解难题
  • 受影响密码体制：RSA等大多数公钥密码
• qGrover算法：快速搜索算法
  • 能够加速搜索密钥
  • 受影响密码体制：DES，AES等对称密码

计算能力对比：

• 经典方法：运算时间随输入长度指数增加
• 量子方法：运算时间按多项式增加

量子密码

结合 量子秘钥的不可窃听性和一次一密的不可破译性 实现 无条件安全的保密通讯。

典型协议和基本模型

BB84量子秘钥分配协议

• 量子通讯：采用BB84协议，传送量子态光子（量子密钥），运用一次一密的加密手段。为了实现量子通讯，采用经典信道和量子信道同时使用的模式。
• 经典信道：传送同步信号、对照数据等。

在光学系统中QKD协议是经过四种量子态来传输信息的。该方案的实施是靠经典信道和量子信道两个信道来实现的，其中前者的做用是使Alice和Bob进行通讯密码的协商，也就是在该信道上传递控制信息；后者的做用是使Alice和Bob双方进行量子通讯。

BB84协议使用四个光子的偏振态来传输信息，这四个量子态又能够分红相互非正交的两组，并且每组中的两个光子的偏振态是正交的同时这两组又是相互共轭的。若是是单光子通讯系统，则这四个量子态分别为：{ |0> |1> |+> |-> }

传送过程为：

• 第一阶段：量子通讯

  • Alice从四种偏振态中随机选择发送给Bob。

  • 接收者Bob接受信息发送方Alice传输的信息，并从两组测量基中随机选择一个对接收到的光子的偏振态进行测量。

• 第二阶段：经典通讯

  • 接收者Bob发送信息给信息发送方Alice并告知他本身在哪些量子比特位上使用了哪个测量基。信息发送方Alice 在接收到Bob发送的消息以后，与本人发送时采用的基逐一比对并通知接收者Bob在哪些位置上选择的基是正确的。

  • 信息发送方Alice和接收者Bob丢掉测量基选择有分歧的部分并保存下来使用了同一测量基的粒子比特位，并从保存的信息中选取相同部分在经典信道中做对比。信道安全的状况下信息发送方Alice和接收者Bob的数据应当是没有分歧的。若存在窃听，则Alice和Bob的数据会出现不一样的部分。

  • 若是没有窃听，双方将保留下来的剩余的位做为最终密钥。

  • 假如Eve进行窃听，根据物理学中的测不许原理等基本物理规律窃听者的窃听行为确定会使Bob的QBER值发生变化，这时，通讯双方经过误码率的分析就能发现窃听者是否存在。

参考博客链接：https://blog.csdn.net/qq_33316151/article/details/53824874

监听检测

• 通常手段：随机选择部份量子载体，比较初末状态
• 对好的协议：窃听必然干扰量子态，进而引入错误
  • 一旦发现错误率较高即存在窃听，则终止通讯，丢弃相关数据
  • 由于传输的是秘钥，丢弃秘钥不会泄密
• 针对于噪声问题
  • 设定一个阈值，当错误率高于这个阈值时丢弃通讯数据，反之保留。
  • 保密加强：经过压缩秘钥长度，将Eve可能得到的部分秘钥信息压缩至任意小，得到安全秘钥。
• 提升实际系统的抗攻击能力：诱骗态和设备无关态。

2.学习中遇到的问题及解决

• 问题1：量子学的基础知识？
• 问题1解决方案：因为没有量子力学的基础知识，因此对课上老师所说的量子密码没有过多的了解，首先经过百度了解必定的量子基础 ，在百度上看到了不少很意思的实验和相关概念，基于量子通讯。

量子纠缠：

位于北京八达岭长城脚下的送信者，要向站在河北省张家口市怀来县的收信者发出一段信息。　这段距离仅有16千米，在晴朗的白天，他们彼此甚至目力可及。只是，这并非一封信、手机短信或电子邮件，而是好像“时钟指针”同样表示着量子运动状态的量子态。
这已是量子态目前在世界上跑出的最长距离。6月1日，世界顶级科学刊物《天然》杂志的子刊《天然·光子学》以封面论文的形式，刊登了这项成果：一个量子态在八达岭消失后，在并无通过任何载体的状况下，瞬间出如今了16千米之外。实验的名称叫作自由空间量子隐形传态，由中国科学技术大学与清华大学组成的联合小组完成。

2017年8月，量子科学实验卫星“墨子号”圆满完成了三大科学实验任务：量子纠缠分发、量子密钥分发、量子隐形传态。其中，1200千米的超远距离量子纠缠分发成果登上了国际顶级学术期刊《Science》的封面；星地间的远距离量子密钥分发与量子隐形传态同时发表在国际顶级学术期刊《Nature》上。

量子计算机：

你能够想象这样一个惊人的对比：如今对一个500位的阿拉伯数字进行因子分解，目前最快的超级计算机将耗时上百亿年，而量子计算机却只需大约几分钟。若是量子计算机出现，咱们目前自觉得安全的一切将不堪一击。那将是一个超级神偷，能够偷走现代文明中人们赖以生存的一切——银行存款、网络信息。它也足够冲破军事或安全系统，调转导弹的轨道，令整个国家陷入混乱与灾难。所以，没有人敢懈怠，“这并非一项杞人忧天的研究。全部的防护必须出如今进攻以前。”美国科学家的预言就像一个倒计时牌，“量子计算机可能将在50年以后出现。”。

3.本次讲座的学习感悟、思考等）

经过本次课程的学习，第一次接触到了量子密码的概念，固然这也是近几年很是热门的研究方向，经过查找相关资料以及顶级密码会议上的论文，咱们能够发现，愈来愈多的学者开始研究量量子密码、量子通讯。因为咱们在课前没有量子学的基础，可能对于老师课上的某些知识或观点不是很了解，可是，这门课仅仅是一个开始，之后会不断地学习这方面的知识。

4.量子密码的最新研究现状

ASIACRYPT: International Conference on the Theory and Application of Cryptology and Information Security

Quantum Fully Homomorphic Encryption with Verification

• 会议名称：International Association for Cryptologic Research 2017
• 做者：Gorjan Alagic，Yfke Dulek, Christian Schaffner, and Florian Speelman
• 论文题目：量子全同态加密验证

彻底同态加密（FHE）能够在保持保密的同时对加密数据进行计算。最近的研究代表，这种方案甚至存在于量子计算中。鉴于经典FHE（零知识证实，安全双重计算，混淆等）的众多应用，但愿量子FHE（或QFHE）将在量子设置中产生许多新结果是合理的。然而，几乎全部FHE应用中的关键因素是电路验证。传统上，经过检查同态计算的转录来执行验证。量子化，因为无克隆，这种策略是不可能的。这致使了一个重要的开放性问题：量子计算可否以非交互方式进行委派和验证？在这项工做中，咱们经过构建QFHE验证方案（vQFHE）来确定地回答这个问题。咱们的方案提供通过身份验证的加密，而且无需客户端和服务器之间的交互便可实现任意多项式时间量子计算。验证几乎彻底是经典的;对于以经典状态开始和结束的计算，它是彻底经典的。做为第一个应用程序，这篇论文展现了如何从经典的一次性程序和vQFHE构建量子一次性程序。

---

An Efficient Quantum Collision SearchAlgorithm and Implications on Symmetric Cryptography

• 会议名称：International Association for Cryptologic Research 2017
• 做者：Andr´e Chailloux, Mar´ıa Naya-Plasencia， Andr´e Schrottenloher
• 论文题目：一种高效的量子碰撞搜索算法及对称密码学的启示

加密社区已经普遍认识到大量子计算机的出现将对大多数人构成威胁当前的公钥加密。 依赖于订单查找的原语诸如因子分解和计算离散对数之类的问题能够经过Shor算法来解决。

乍一看，对称原语彷佛受到量子计算机到来的影响较小：Grover在非结构化数据库中搜索的算法在时间O（2n/2）中找到2n中的标记元素，与经典数据相比提供了二次加速 穷举搜索，基本上是最优的。 而后，密码学家一般认为，使用密钥的长度加倍将足以保持相同的安全级别。从相似的技术来看，与经典的O（2n/2）相比，已知量子碰撞搜索得到O（2n/3）查询复杂度。 然而，这种量子加速是虚幻的：实际进行的量子计算实际上比经典算法更昂贵。

本论文研究了量子碰撞和多目标原像搜索，并提出了一种使用幅度放大技术的新算法。它依赖于与Grover搜索相同的原则。其算法是第一个在单个处理器的简单设置中提出改进O（2n/2）的时间复杂度的算法。这个时间复杂度是O（22n/5），以及O（2n/5）的小的经典存储器复杂度。对于多目标原像攻击，这些复杂性分别变为O（23n / 7），O（n）和O（2n / 7）。还提出了这些算法的并行化。这个结果对几个对称加密场景有影响：文章详细介绍了如何改进之前的哈希函数冲突和多目标预映像攻击，如何在多用户设置中执行改进的密钥恢复，如何改善碰撞攻击操做模式，并指出这些改进的算法能够做为一些密码分析技术的基本工具。

---

Quantum Multicollision-Finding Algorithm

• 会议名称：International Association for Cryptologic Research 2017
• 做者：Akinori Hosoyamada,Yu Sasaki, Keita Xagawa
• 论文题目：量子多重探测算法

本文提出了一种新的量子算法，用于寻找屡次采集，一般由l-碰撞表示，其中函数的l-碰撞是一组具备相同输出值的不一样输入。尽管它在密码学中是基础，可是在量子设置中找到多分辨率的问题并未引发太多关注。用于发现随机函数的2次碰撞的量子查询复杂度的紧密界限已被揭示为Θ（N 1/3），其中N是密码域的大小。本文首先整合了现有研究的结果，得出了几个新的观察结果。

---

Post-quantum Security of Fiat-Shamir

• 会议名称：International Association for Cryptologic Research 2017
• 做者：Dominique Unruh
• 论文题目：Fiat-Shamir的后量子安全

Fiat-Shamir构造是随机预言模型中的一种有效转换，用于建立非交互式证实系统和来自sigma协议的签名。在经典密码学中，Fiat-Shamir是知识的零知识证实，假设基础西格玛协议具备零知识和特殊的健全性。不幸的是，Ambainis，Rosmanis和Unruh在量子设置的条件下排除了非相对论证实。在本文中展现了Fiat-Shamir证实系统仍处于量子安全后的强化条件。也就是说，，若是要求sigma协议具备计算零知识和统计稳健性，那么Fiat-Shamir就是一个零知识模拟-声音证实系统。此外，当另外假设用于生成密钥对的“双模硬件实例生成器”时，Fiat-Shamir提供了后量子安全不可伪造签名的方案。

---

Timing attacks on Error Correcting Codes in Post-Quantum Secure Schemes

• 会议名称：International Association for Cryptologic Research
• 做者：Jan-Pieter D’Anvers, Marcel Tiepelt, Frederik Vercauteren, Ingrid Verbauwhede
• 论文题目：后量子安全方案中纠错码的定时攻击

虽然纠错码（ECC）有可能显着下降后量子方案的失败几率，但它们为算法添加了额外的ECC解码步骤。因为这种额外的计算处理秘密信息，所以容易受到旁道攻击。咱们代表，若是不采起预防措施，因为ECC解码算法的可变执行时间，可使用定时信息来区分在解码以前致使错误的密文和不包含错误的密文。咱们证实，经过对Ring-LWE方案LAC和Mersenne prime方案Ramstake进行攻击，该信息可用于打破后量子安全方案的IND-CCA安全性。此攻击使用有限数量的定时解密查询来恢复完整密钥。攻击是在参考和两个提交的优化实现上实现的。它可以在2小时内使用少于221个解密查询检索LAC的全部安全级别的秘密，并使用大约2400次解密查询在2分钟内检索Ramstake的秘密。该攻击推广到具备ECC的其余方案，其中在解码期间泄漏关于错误存在的侧信道信息。