การพัฒนาล่าสุดในด้านควอนตัมคอมพิวติ้งทำให้หลายคนกังวลเกี่ยวกับโอกาสของการเข้ารหัสแบบดั้งเดิม เมื่อวันที่ 4 ธันวาคม นักวิทยาศาสตร์จีนประสบความสำเร็จในการตรวจสอบคอมพิวเตอร์ควอนตัมออปติคัล - Jiuzhang ซึ่งสร้างต้นแบบคอมพิวเตอร์ควอนตัมที่มี 76 โฟตอน (qubits) ซึ่งไม่ได้ห่างไกลจาก qubits ที่มีอยู่นับพันที่จำเป็นต่อการทำลายการเข้ารหัสแบบคลาสสิกอีกต่อไป (ในแง่ของความเร็ว ใช้เวลาเพียง 200 วินาทีในการแก้อัลกอริธึมทางคณิตศาสตร์ของ Gaussian Bose Sampling ในขณะที่ซูเปอร์คอมพิวเตอร์ปัจจุบันใช้เวลา 600 ล้านปี โดยทั่วไปเชื่อกันว่า 50 qubits เป็นเกณฑ์สำคัญในการพิสูจน์ว่าคอมพิวเตอร์ควอนตัมคาดว่าจะเหนือกว่าแบบดั้งเดิม คอมพิวเตอร์).
หากควอนตัมคอมพิวเตอร์สร้างความก้าวหน้าในอนาคต ตามการประมาณการของบางคน ภายในปี 2574 ความน่าจะเป็นที่อัลกอริทึม RSA และ ECC (การเข้ารหัสรูปวงรี) จะถูกแคร็กคือประมาณ 50% และบล็อกเชน เช่น Bitcoin และ Ethereum กำลังใช้นอกเหนือจากแบบดั้งเดิม การเข้ารหัสลับ แม้ว่า Bitcoin จะใช้อัลกอริทึม SHA256 สองเท่า ซึ่งทำให้เป็นแนวป้องกันเพิ่มเติมเมื่อเทียบกับระบบรักษาความปลอดภัยที่ธนาคารและ Alipay ใช้ แต่ก็ยังมีเวกเตอร์การโจมตีที่หลากหลาย ดูเหมือนว่า การคำนวณด้วยควอนตัมกำลังกลายเป็นการพัฒนาของ blockchain . The Sword of Mocles โลกต่อจากนี้จะเป็นอย่างไร? คอมพิวเตอร์ควอนตัมจะได้รับความลับของ Blockchain หรือไม่ในความเป็นจริง แม้ว่าจะใช้ควอนตัมคอมพิวเตอร์ อัลกอริธึมความปลอดภัยแบบคลาสสิกจำนวนมากจะยังคงมีประสิทธิภาพ ไม่ต้องพูดถึงว่าเทคโนโลยีความปลอดภัยควอนตัมกำลังเฟื่องฟูเช่นกัน นักวิจัยบางคนในอุตสาหกรรมบล็อกเชนกำลังวิจัยอัลกอริธึมการเข้ารหัสแบบควอนตัมที่เกี่ยวข้องอย่างต่อเนื่อง ตั้งแต่ปี 2017 NIST ได้เริ่มกระบวนการสร้างมาตรฐานการเข้ารหัสหลังควอนตัมโดยหวังว่าจะเตรียมการเข้ารหัสแบบควอนตัมต้านทานก่อนปี 2022 (การเข้ารหัสแบบควอนตัมต้านทาน) เมื่อ อัลกอริทึมของผู้สมัครทั้งหมด 69 รายการตรงตามเกณฑ์การยอมรับขั้นต่ำและข้อกำหนดการส่ง เนื่องจากเกณฑ์การประเมินและกระบวนการคัดเลือกที่เข้มงวด ผู้เข้ารอบที่สามและผู้สมัครสำรองจึงไม่ได้รับการประกาศจนถึงวันที่ 22 กรกฎาคม 2020 ลายเซ็นดิจิทัลที่ทุกคนมองในแง่ดีที่สุดคือลายเซ็นต่อต้านควอนตัมที่ได้รับการสนับสนุนโดย Swiss ABCMint Mathematical Algorithm มูลนิธิ โครงการหนึ่งในอัลกอริธึมต่อต้านควอนตัมที่สนับสนุนโดย Post-Quantum Encryption Foundation โครงการลายเซ็นต่อต้านควอนตัมลายเซ็นที่มีความยาวลายเซ็นสั้นที่สุด - ลายเซ็นสายรุ้ง Rainbow เข้าสู่รอบที่สามของรายการลายเซ็นดิจิทัล NIST อย่างไม่ต้องสงสัย
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology, NIST มีชื่อเสียงระดับนานาชาติในระดับสูง NIST มีนักวิจัยสี่คนที่ได้รับรางวัลโนเบลจากความสำเร็จด้านฟิสิกส์ ได้แก่ William Daniel Phillips (1997), Eric Cornell (2001) , John Hall (2005) และ David Vineland (2012) ซึ่งเป็นผู้รับส่วนใหญ่ในห้องปฏิบัติการของรัฐบาลสหรัฐฯ#รายชื่อรอบที่สาม (ลายเซ็นดิจิทัล)ในหมู่พวกเขา Rainbow เป็นลายเซ็นที่มีความยาวลายเซ็นขั้นต่ำ และความยาวลายเซ็นของ Falcon และ Dilithium นั้นยาวมาก Dilithium ที่เลือกทั้งสามตัวมีโอกาสสูงที่จะถูกแคร็ก Falcon เป็นสถาปัตยกรรม NTRU และ NTRU นั้นคล้ายกับ หม้อรั่ว ซ่อมได้ แต่มีปัญหาตลอด Falcon คือตัวที่คนค้นคว้าและรุมล้อมเพื่อแคร็กมากที่สุด ข้อได้เปรียบที่ใหญ่ที่สุดของ Rainbow คือมันมีประวัติที่ยาวนานที่สุด เกือบจะเป็นที่รู้กันว่าไม่มีทางถอดรหัสได้ และลายเซ็นนั้นสั้นที่สุด Rainbow เป็นปัญหา NP-Hard และเป็นการยากที่จะหาช่องโหว่ ดังนั้น Rainbow จึงควรเป็นลายเซ็นเดียวที่ต้านทานควอนตัมที่สกุลเงินดิจิทัลสามารถนำมาใช้ได้เป็นเวลานานในอนาคต
รูป: การเปรียบเทียบรหัสสาธารณะและขนาดลายเซ็นของอัลกอริทึมทั้งสาม
Rainbow เป็นซิกเนเจอร์แบบหลายตัวแปรที่มีโครงสร้างเป็นชั้นตามซิกเนเจอร์ Unbalanced Oil-Gooseberry (UOV) โครงสร้างพิเศษที่กำหนดโดยเลเยอร์ Rainbow ทำให้โครงร่างมีเทคนิคการเข้ารหัสลับมากขึ้น แต่เพิ่มประสิทธิภาพของโครงร่าง Rainbow ให้การเซ็นชื่อและการตรวจสอบที่รวดเร็วและลายเซ็นสั้นมาก แต่มีคีย์สาธารณะขนาดใหญ่มากRainbow เป็นซิกเนเจอร์แบบหลายตัวแปรที่มีโครงสร้างเป็นชั้นตามซิกเนเจอร์ Unbalanced Oil-Gooseberry (UOV) โครงสร้างพิเศษที่กำหนดโดยเลเยอร์ Rainbow ทำให้โครงร่างมีเทคนิคการเข้ารหัสลับมากขึ้น แต่เพิ่มประสิทธิภาพของโครงร่าง Rainbow ให้การเซ็นชื่อและการตรวจสอบที่รวดเร็วและลายเซ็นสั้นมาก แต่มีคีย์สาธารณะขนาดใหญ่มากการเลือก Rainbow จะเพิ่มความหลากหลายของรูปแบบลายเซ็นสั้น อย่างไรก็ตาม เนื่องจากขนาดคีย์ที่ใหญ่มาก Rainbow จึงไม่เหมาะที่จะใช้เป็นอัลกอริทึมลายเซ็นสำหรับวัตถุประสงค์ทั่วไปเพื่อแทนที่อัลกอริทึมที่ปรากฏใน FIPS 186-4 ในปัจจุบัน โดยเฉพาะอย่างยิ่ง คีย์สาธารณะขนาดใหญ่ทำให้กลุ่มใบรับรองมีขนาดใหญ่มาก อย่างไรก็ตาม บางแอปพลิเคชันไม่จำเป็นต้องส่งคีย์บ่อยนัก สำหรับแอปพลิเคชันดังกล่าว Rainbow มีลายเซ็นขนาดเล็กและรวดเร็ว GeMSS ผู้สมัครลายเซ็นขั้นสูงรายเดียวที่มีลักษณะการทำงานคล้ายกันมีคีย์ที่ใหญ่กว่ามากและดูเหมือนว่าจะใช้งานบนอุปกรณ์ระดับล่างได้ยาก ด้วยเหตุผลดังกล่าว Rainbow จึงได้รับเลือกให้เป็นผู้เข้ารอบสุดท้าย
นักวิจัยของ NIST สังเกตเห็นช่องว่างระหว่างประสิทธิภาพและความซับซ้อนทางทฤษฎีของเวกเตอร์การโจมตีที่เกี่ยวข้องกับโครงร่างสายรุ้ง ในรอบที่สอง ได้มีการเผยแพร่การวิเคราะห์ทางทฤษฎีที่ใกล้เคียง (พร้อมกับอัลกอริธึมใหม่) ของการโจมตีที่มีชื่อเสียงเหล่านี้ โดยเฉพาะอย่างยิ่ง การปรับพารามิเตอร์สำหรับชุดพารามิเตอร์ทั้งหมดเป็นสิ่งจำเป็นเพื่อให้บรรลุระดับความปลอดภัยที่ประกาศไว้ อย่างไรก็ตาม ด้วยตัวเลือกพารามิเตอร์ที่อนุรักษ์นิยมมากขึ้น ควรเป็นไปได้ที่จะได้รับระดับความปลอดภัยที่ประกาศไว้โดยมีค่าใช้จ่ายด้านประสิทธิภาพต่ำที่สุดก่อนที่ Rainbow จะพร้อมสำหรับการสร้างมาตรฐาน จะต้องปรับพารามิเตอร์เพื่อให้แน่ใจว่าเป็นไปตามเป้าหมายด้านความปลอดภัยที่ระบุไว้ นอกจากนี้ NIST ยังเลือกใช้อัลกอริทึมที่มีใบอนุญาตแบบปลอดค่าลิขสิทธิ์เพื่อกระตุ้นให้เกิดการนำไปใช้อย่างแพร่หลาย
# CRYSTALS-DILITHIUM #
ความปลอดภัยของ DILITHIUM ขึ้นอยู่กับความแข็งของ MLWE และ Modular Short Integer Solution Problem (MSIS) และปฏิบัติตาม Fiat-Shamir และเทคนิคการยกเลิก DILITHIUM ใช้โมดูลัสและวงแหวนเดียวกันสำหรับชุดพารามิเตอร์และตัวอย่างทั้งหมดผ่านการกระจายแบบสม่ำเสมอ ซึ่งทำให้ใช้งานได้ง่ายกว่า FALCON คู่แข่งหลักโดยรวมแล้ว DILITHIUM มีประสิทธิภาพที่แข็งแกร่งและสมดุลอย่างดีในขนาดคีย์และลายเซ็น ตลอดจนประสิทธิภาพของอัลกอริธึมการสร้างคีย์ การเซ็นชื่อ และการตรวจสอบความถูกต้อง DILITHIUM ทำงานได้ดีในการทดลองจริงในรอบที่สอง DILITHIUM ได้เพิ่มตัวเลือกในการสร้างลายเซ็นแบบไม่กำหนด และเพิ่มการใช้งานตามการใช้ AES แทน SHAKE เพื่อแสดงให้เห็นถึงข้อดีในอนาคตของคำสั่งฮาร์ดแวร์ นอกจากนี้ ยังมีการเผยแพร่งานวิจัยใหม่เกี่ยวกับความปลอดภัยใน QROM ที่ใช้ได้กับ DILITHIUMNIST สนับสนุนให้ทีม DILITHIUM เพิ่มชุดพารามิเตอร์ 5 หมวดหมู่ จำเป็นต้องมีการวิจัยเพิ่มเติมเพื่อทำความเข้าใจการรักษาความปลอดภัยเฉพาะ เนื่องจากชุดพารามิเตอร์ความปลอดภัย CoreSVP ของ DILITHIUM นั้นต่ำที่สุดในบรรดาโครงร่างกริดทั้งหมดที่ยังดำเนินการอยู่ NIST เลือก DILITHIUM เป็นผู้เข้ารอบสุดท้าย และคาดว่า DILITHIUM หรือ FALCON จะได้มาตรฐานเป็นรูปแบบลายเซ็นหลังควอนตัมหลักภายในสิ้นรอบที่สาม
# FALCON #
FALCON เป็นรูปแบบลายเซ็นแบบกริดที่ใช้"แฮชและลายเซ็น"กระบวนทัศน์ การรักษาความปลอดภัยขึ้นอยู่กับความยากของปัญหา SIS (วิธีแก้ปัญหาจำนวนเต็มสั้น) บนกริด NTRU การพิสูจน์ความปลอดภัยมีให้ทั้งในแบบจำลอง Olympiad แบบสุ่ม (ROM) และ QROM และดำเนินการลดระดับอย่างเข้มงวด การนำ FALCON ไปใช้นั้นซับซ้อนกว่า DILITHIUM ซึ่งต้องการโครงสร้างข้อมูลแบบต้นไม้ การดำเนินการทศนิยมจำนวนมาก และการสุ่มตัวอย่างจากการแจกแจงแบบเกาส์เซียนแบบแยกส่วนข้อดีอย่างหนึ่งของ FALCON คือให้แบนด์วิธที่เล็กที่สุด (ขนาดคีย์สาธารณะและขนาดลายเซ็น) ของรูปแบบลายเซ็นดิจิทัลรอบที่สองทั้งหมด FALCON ยังมีประสิทธิภาพในการลงนามและการตรวจสอบ แม้ว่าการสร้างคีย์จะช้ากว่า FALCON สามารถทิ้งลงในโปรโตคอลและแอปพลิเคชันที่มีอยู่ได้อย่างง่ายดาย และให้ประสิทธิภาพโดยรวมที่ดีมากในช่วงเริ่มต้นของรอบที่สอง FALCON ได้ลบชุดพารามิเตอร์หมวด 3 ออก ซึ่งทำให้ข้อมูลจำเพาะและการใช้งานง่ายขึ้นเนื่องจากใช้โมดูลัสและตัวเลือกเสียงเรียกเข้าที่แตกต่างกัน การอัปเดตที่สำคัญอีกอย่างหนึ่งระหว่างรอบที่สองคือการใช้งานแบบคงที่ซึ่งเผยแพร่หลังจากการประชุมกำหนดมาตรฐาน PQC ครั้งที่สองของ NIST ไม่นานในรอบที่สาม NIST สนับสนุนให้มีการตรวจสอบการใช้งาน FALCON อย่างละเอียดมากขึ้น เพื่อพิจารณาว่าการใช้เลขทศนิยมมีแนวโน้มที่จะเกิดข้อผิดพลาดในการนำไปใช้งานมากกว่าแบบแผนอื่นๆ หรือเป็นช่องทางสำหรับการโจมตีช่องทางด้านข้าง นอกจากนี้ หากมีเวกเตอร์ทดสอบของแซมเพลอร์ อาจเป็นไปได้ที่จะทำให้การทดสอบเมล็ดแบบสุ่มเชิงกำหนด เพื่อให้สามารถยืนยันการใช้งานได้โดยใช้การทดสอบคำตอบที่ทราบ (KATs) เช่นเดียวกับผู้สมัครรายอื่นๆ ความปลอดภัยระดับ CoreSVP ของพารามิเตอร์ประเภท 1 ของ FALCON นั้นค่อนข้างต่ำ ดังนั้นจึงจำเป็นต้องมีการวิจัยเพิ่มเติม
ภาคผนวก: Rainbow Signature ลิงก์ผู้เข้ารอบสุดท้ายรอบที่ 3: https://groups.google.com/a/list.nist.gov/forum/m/#!topic/pqc-forum/0ieuPB-b8egภาพหน้าจอของข้อความต้นฉบับของลายเซ็นสายรุ้งรอบที่สาม:
