Nowa nadzieja
W kryptografii postkwantowej NewHope jest protokołem uzgodnienia klucza autorstwa Erdema Alkima , Léo Ducasa, Thomasa Pöppelmanna i Petera Schwabe, zaprojektowanym w celu przeciwdziałania atakom komputerów kwantowych .
NewHope opiera się na matematycznym problemie uczącym się z błędami (RLWE), który uważa się za trudny do rozwiązania. NewHope został wybrany jako uczestnik drugiej rundy NIST Post-Quantum Cryptography Standardization i został użyty w eksperymencie Google CECPQ1 jako algorytm bezpieczny kwantowo, obok klasycznego algorytmu X25519 .
Wybory projektowe
Projektanci NewHope dokonali kilku wyborów podczas opracowywania algorytmu:
- Próbkowanie dwumianowe : Chociaż próbkowanie do wysokiej jakości dyskretnego rozkładu Gaussa jest ważne w zwartych schematach sygnatur opartych na sieciach postkwantowych, takich jak Falcon (paradygmat Hash-and-Sign w stylu GPV) i BLISS ( paradygmat Fiata-Shamira w stylu GLP), aby zapobiec wyciekowi informacji o kluczu prywatnym podpisu, poza tym nie jest to tak istotne dla schematów wymiany kluczy. Autor wybrał próbkowanie wektorów błędów z rozkładu dwumianowego .
- Rekoncyliacja błędów : To, co odróżnia NewHope od swoich poprzedników, to metoda uzgadniania błędów. Poprzednie uczenie pierścieniowe ze schematami wymiany kluczy błędów koryguje błędy po jednym współczynniku na raz, podczas gdy NewHope koryguje błędy po 2 lub 4 współczynniki na raz w oparciu o geometrię wielowymiarową. Pozwala to na niższy wskaźnik awaryjności deszyfrowania i wyższe bezpieczeństwo.
- Generowanie wektorów bazowych : Autorzy NewHope zaproponowali wyprowadzenie podstawowego wektora „generatora” (powszechnie oznaczanego jako z wyjściowych funkcji XOF SHAKE-128, aby zapobiec wartościom „tylnymi drzwiami ” używany, jak może się zdarzyć w przypadku tradycyjnego ataku Diffie-Hellman przez Logjam .
- Poziomy bezpieczeństwa : We wczesnych wersjach artykułów opisujących NewHope autorzy proponowali użycie wielomianu 1024-stopniowego dla 128-bitowego „postkwantowego” poziomu bezpieczeństwa oraz wielomianu 512-stopniowego jako „zabawkowej” instancji do wyzwania związanego z kryptoanalizą. W wersji przesłanej do NIST wersja 512-stopniowa jest skodyfikowana, aby zapewnić 128-bitowy „klasyczny” poziom bezpieczeństwa.
