Skip to main content
QUICK REVIEW

[论文解读] Mathematics of Isogeny Based Cryptography

Luca De Feo|arXiv (Cornell University)|Nov 10, 2017
Cryptography and Residue Arithmetic参考文献 60被引用 45
一句话总结

本文提供了基于同源的密码学的全面且易于理解的介绍,重点阐述椭圆曲线与同源的数学基础及其在后量子密码学中的应用。文章介绍了SIKE(超奇异同源密钥封装)、基于同源图的零知识身份识别与签名方案等关键协议,展示了其在SSDDH与DSSP等假设下的安全性,并强调了其对量子攻击的抗性。

ABSTRACT

These lectures notes were written for a summer school on Mathematics for post-quantum cryptography in Thi\\`es, Senegal. They try to provide a guide for Masters' students to get through the vast literature on elliptic curves, without getting lost on their way to learning isogeny based cryptography. They are by no means a reference text on the theory of elliptic curves, nor on cryptography; students are encouraged to complement these notes with some of the books recommended in the bibliography. The presentation is divided in three parts, roughly corresponding to the three lectures given. In an effort to keep the reader interested, each part alternates between the fundamental theory of elliptic curves, and applications in cryptography. We often prefer to have the main ideas flow smoothly, rather than having a rigorous presentation as one would have in a more classical book. The reader will excuse us for the inaccuracies and the omissions.

研究动机与目标

  • 为初学者(如硕士生和新进入该领域的研究人员)提供一份自包含且易于理解的基于同源的密码学入门介绍。
  • 弥合经典椭圆曲线理论与基于同源图的现代后量子密码构造之间的差距。
  • 提出并分析关键的基于同源的协议,包括密钥交换、零知识身份识别与签名方案,并提供形式化的安全归约。
  • 突出基于同源的系统对量子攻击的抗性,将其定位为后量子密码学的领先候选方案。
  • 通过指出开放问题(如高效签名方案与灵活的基于同源的原原子 primitives)来激励进一步研究。

提出的方法

  • 使用魏尔斯特拉斯方程与射影几何在特征 ≠ 2,3 的域上定义椭圆曲线,并通过点的共线性关系定义群运算。
  • 将同源定义为保持群结构的椭圆曲线之间的态射,其度数通过核与可分性来定义。
  • 应用 Velu–Vélu–Schoof 算法显式计算同源,以扭子群作为核。
  • 利用在 𝔽_{p^2} 上的超奇异曲线上、度数为素数幂的同源构造超奇异同源迪菲-赫尔曼(SIDH)密钥交换协议。
  • 采用基于同源承诺的零知识身份识别协议,其中挑战随机选择,响应通过同源一致性进行验证。
  • 通过费利特-沙米尔启发式方法推导签名方案,将交互式零知识协议转换为非交互式形式。

实验结果

研究问题

  • RQ1如何构造基于同源的协议,在保持效率与实用性的同时实现后量子安全性?
  • RQ2同源图的基本数学性质是什么,使其适合用于密码学构造?
  • RQ3如何设计基于同源的零知识证明?证明其安全性需要哪些假设?
  • RQ4为何基于同源的系统比传统ECC或PBC更能有效抵抗量子密码分析?
  • RQ5基于同源的密码学在复现基于离散对数的经典协议方面存在哪些局限性?如何克服这些局限性?

主要发现

  • SIKE协议在超奇异同源迪菲-赫尔曼(SI-DDH)假设下是安全的,该假设即使对量子攻击者也被认为是困难的。
  • 基于同源承诺的零知识身份识别协议在决策性超奇异积(DSSP)与SSDDH假设下是安全且具备零知识性质的。
  • 该协议的可靠性概率为 1/2(即欺骗者成功通过验证的概率),可通过重复显著降低至指数级。
  • 从零知识协议导出的签名方案在相同假设下是安全的,但由于需要数百次迭代,计算开销仍然较大。
  • 将构造推广至多个素数(例如 p = ℓ_A^{e_A}ℓ_B^{e_B}ℓ_C^{e_C}±1)可支持新原原子,如指定验证者签名与不可否认签名,但代价是使用更大的素数并降低效率。
  • 同源图被证明是扩展图(expander graphs),支持基于在这些图中寻找路径困难性的协议的安全性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。