区块链和其他区块链本技术(DLT,分布式账本)技术)在过去几年中取得了长足的发展,由于其提供透明性、振动性和保湿性的能力,已建议将其用于队列应用。就区块链而言,此类特征是通过预设加密和哈希函数提供的。但是,量子计算的快速发展将在不久的将来基于 Grover和Shor算法进行攻击提供了可能性。这样的算法威胁着全局加密和哈希函数股票配资软件推荐,因此重新设计区块链以利用能够承受量子攻击的密码系统,从而创建了被称为后量子(后量子)、量子证明(量子证明)、量子安全(量子安全)或抗量子(量子抵抗)的密码系统。
0x01介绍
区块链是一种诞生于加密货币比特币的技术,能够提供安全的通信、数据隐私、弹性和透明性。区块链基于基于哈希链接的数据链的循环帐本,这些数据块允许在不一定相互信任的等方之间共享信息,从而为双花问题提供了一种解决方案。近年来,这些功能已经分散了区块链,并且被建议作为与智能健康、测量系统、物流、电子投票或智能工厂相关的不同应用程序的关键技术。
区块链用户通过利用全局/非当前加密技术与区块链进行安全交互,这对于认证交易至关重要。哈希函数也是区块链中计算的关键,它们因为允许生成数字签名并链接区块链的块。问题在于,量子计算机的发展威胁着全局密码系统和散列函数。在全局密码系统的情况下,可以通过未来的量子攻击快速恢复安全交易数据。
展开剩余94%此类攻击会影响最流行的公钥算法,RSA(Rivest,Shamir,Adleman),椭圆曲线数字签名算法(ECDSA,Elliptic Curve Digital Signature Algorithm),ECDH(Elliptic Curve Diffie-Hellman)或数字签名算法(DSA,Digital Signature Algorithm),可以在功能强大的量子计算机上用Shor算法在对称式中进行分区。
另外,量子计算机可以利用Grover的算法来加速哈希的生成,从而重新创建整个区块链。另外,Grover的算法可能适用于检测哈希冲突,该哈希冲突可用于替换区块链的块,同时保留其缺陷。
本文分析了如何发展区块链加密技术(即公钥安全算法和加密函数),从而能够抵御基于 Grover 和 Shor 算法的量子计算攻击,从而推动了后量子区块链的创建。为了指导研究人员开发这种区块链,本文首先对后量子密码系统的当前状态提供了边界的视野。具体而言,分析了与区块链最相关的后量子密码系统及其主要挑战。另外,针对最有前景的后量子公共解密和加密数字签名方案的特性和性能进行了广泛的比较。
0x02 区块链基础知识和密码学原语
A.术语和关键概念在开始审查后量子区块链(例如,其密码系统可以抵抗量子计算攻击的区块链)的最新技术之前,有必要介绍几个基本概念,因为文献中的一些术语可能会因作者而异。
首先要注意的是,自从最初对比特币的定义以来,考虑区块链的概念已经有了长足的发展。实际上,研究人员通常讨论区块链必须到的不同元素,才能被实际上视为区块链。区块链最常见的定义是论文引言中给出的定义:是一种公共分配账本本,为了在必然存在的多个实体之间共享的数据(例如交易信息,事件日志)。遵循共识协议,对区块链上的每一个交易进行验证和存储。一旦存储进行了交易,理想情况下,如果不进行大量的计算工作,就无法将其从区块链中删除。
区块链节点是能够在区块链上执行操作的计算实体。区分仅与区块链交易的常规区块链节点和具有区块链副本并通过验证交易进行贡献的完整节点之间的区分是很常见的。区块链矿工是存在于许多区块链中的第三类节点,其贡献在区块链交易验证中至关重要:为了进行验证,他们遵循共识协议执行某些动作。有许多共识协议,例如最受欢迎的工作量证明(PoW)(比特由货币使用),拜占庭容错(BFT)方法的变体或权益证明(PoS)。
智能合约的概念也很重要:它是存储在区块链上的一段代码,可以自动执行。可以根据区块链的状态以及称为预言机(oracle)的外部数据源成功,使用智能合约来自动执行某些任务。前面介绍的概念为区块链的及其主要安全功能做出了贡献:
•分散:如果区块链的一个节点遭到攻击或关闭,则其信息仍可从其他区块链节点继续获得。
•隐私和完整性:区块链使用核心加密和哈希函数来提供数据保密性、数据完整性和身份验证。
•数据不变性:一旦交易存储在区块链上,就无法对其进行进一步的修改(唯一的例外是区块链分叉,这需要在参与区块链的实体之间达成共识)。
B. 区块链安全性原则区块链提供的安全性功能基本上由预设/非加密和哈希函数来维持,它们在区块链安全性中的作用将在下一部分中详细介绍。
1)公钥密码学
区块链通常使用公钥密码系统通过数字对签名交易进行身份验证,以确保双方之间的信息交换。在签名过程中,签名者使用私钥签名,而公开共享的公钥用于验证签名是否有效。因此,当签名算法安全时,可以保证只有拥有私钥的人才能某个签名。例如,比特币生成使用带有Koblitz圆弧secp256k的ECDSA签名,该签名依赖于私钥来签名消息,而依赖于相应的公钥来签名。
对于所谓的钱包来说,全局加密也是必不可少的。是存储文件和简单数据的私钥容器。因此,在区块链系统中,每个用户都有一个钱包,该钱包至少与一个公共地址(通常是用户的哈希值)和一个用户签署交易所需的私钥相关联。例如,在像比特币这样的区块链中,每笔交易最终都被“发送”到接收者的公共地址,并用发送者的私钥签名。为了使用比特币,其所有者必须证明私钥的签名。为了验证所接收货币的真实性,每个接收比特币的实体都使用发送者的公钥来验证其数字签名。
2)允许哈希函数
诸如SHA-256或Scrypt之类的哈希函数通常易于区块链使用,因为它们易于检查,但实际上很难格式化,从而生成数字签名,以供区块链用户自行验证其身份或在他人面前进行数据交易。
区块链还使用哈希函数来链接其块(即被认为在相同时间发生的交易组)。这些块按时间顺序链接,每个块包含前一个块的哈希。哈希区块链很简单,但是位像这样的区块链限制区块来满足特定的数学条件(例如,哈希应包含多个前导零),这就减慢了区块添加。
最后,值得注意的是,区块链中的哈希函数用于生成用户地址(即用户公共/专用密钥)或全局公共地址的大小。
0x03 从前量子到后量子区块链A.区块链客户端安全已经首先必须指出,传统上通过所说的安全位级别来估计密码系统抵抗经典计算攻击的强度。此级别定义为经典计算机执行所需攻击的工作量。例如,当用经典计算机进行攻击所需的工作量相当于对1024位加密密钥进行强力攻击时所需要的工作量时,非重置密码系统具有1024位安全性。作为参考,下面列出了一些最流行的极其和非重置密码系统的安全级别。
使用经典计算机破坏当前的80位安全密码系统的成本估计在数万至数亿美元之间。对于112位密码系统,在未来的30到40年中,它们被认为对经典计算攻击是安全的。然而,研究人员已经确定,使用1000量子位的量子计算机可以突破160位的椭圆椭圆,而1024位RSA大约需要2,000量子位。这种威胁不仅影响依赖整数分割(例如RSA)或椭圆椭圆(例如ECDSA,ECDH)的密码系统,而且还会影响其他基于稀疏对数问题的问题,这些问题通过短的算法可以快速解决。
在撰写本文时,还没有强大的量子计算机:最强大的量子计算机(IonQ声称)只有79个量子比特,甚至像美国国家安全局(NSA)这样的技术先进的组织似乎也没有什么意义。在大型量子计算机上的进步。但据估计,在未来20年中,这种计算机将具有足够的功能,能够轻松破解当前强大的量子密码系统。
事实上,像 NSA 这样的组织已经警告了量子计算对 IT 产品的影响,并建议提高某些密码套件的 ECC(椭圆曲线密码学)的安全级别。 尽管一些研究人员推测了这样的 NSA 声明背后的真正原因,但长期的全球加密似乎受到了威胁,开发人员需要为后量子时代准备当前的区块链。
该表还包含相关密码系统的特征,这些特征将受到与Shor和Grover算法有关的量子攻击的破坏或严重影响。还包含了相关区块链当前使用最多的哈希函数的其他主要特征,并指出了量子计算对其安全级别的影响。
B. 哈希函数安全
与当前密码系统相反,传统的哈希函数被认为能够进行东方量子攻击,开发因为针对NP问题的量子算法似乎不太可能。尽管学者们最近提出了新的哈希函数来东方量子攻击,但通常建议增加传统哈希函数的输出大小。此建议与利用Grover算法加速强大的量子二次方攻击有关。
具体来说,Grover 的算法可以两种方式用于攻击区块链:
首先,搜索哈希冲突,然后替换整个区块链块。例如特定情况下,建议使用Grover算法在哈希函数中查找冲突,认为哈希函数必须输出3*n位以提供n位安全级别。这样的结论意味着当前的哈希函数在后量子时代将是无效的,而其他类似SHA-2或SHA-3的哈希函数将不得不增加其输出大小。
其次Grover算法可用于加速比特币等区块链中的挖掘(即能够加速随机数的生成),这将导致快速重建整个区块链,从而破坏其缺陷。
另外,通过Shor算法进行攻击量子染色体影响哈希功能:如果打破了区块链哈希功能,拥有足够强大的量子计算机的人可能会利用Shor算法来伪造数字签名,威胁原始的区块链用户并进而盗取他们的数字资产。
C.后量子区块链方案
后量子密码目前是研究项目(例如PQCrypto,SAFEcrypto,CryptoMathCREST或PROMETHEUS),标准化方案和研讨会,获得了有趣的相关结果并产生了的报告。在前面提到的步骤中,表明NIST要求提供关于后量子公共密钥密码系统的事项,目前正进行第二轮,预计将在2022年至2024年期间交付第一个标准方案。
尽管之前的项目和方案产生了非常有价值的成果,但它们并没有明确地关注后量子区块链。但是,已经出现了与最受欢迎的区块链有关的特定的后量子方案。例如,后量子比特币是比特币主要区块链的一个实验分支,使用后量子数字签名方案。子是以太坊3.0,它的计划包括像zk-STARKs(零知识可扩展透明知识密码复制)之类的抗量子成分。其他区块链平台(例如Abelian)建议使用格基的后量子系统来防止量子攻击,而某些区块链(例如Corda)正在使用SPHINCS等后续量子算法进行实验。
D.区块链确定后方案的理想特征
为了提高效率,后量子密码系统将需要为区块链提供以下主要功能:
•小密钥:在理想情况下与区块链交互的设备需要利用小型公私钥,以减少所需的存储空间。另外,小密钥在管理时涉及到如此复杂的计算操作。对于需要物联网(IoT)终端设备交互的区块链而言,这一点尤为重要,因为通常在存储和值得注意的是,物联网与其他新兴技术(例如深度学习)一样,在过去几年中经历了显着增长,但是物联网设备仍然面临一些重要挑战,主要是关于安全性,这在一定程度上限制了它与区块链的使用以及其广泛采用。
•小签名和哈希长度:区块链本质上存储数据交易,包括用户签名和数据/区块长度。因此,如果签名/哈希长度增加,则区块链大小也会增加。
• 快速执行:后量子方案需要快速,以便允许区块链每秒处理大量交易。此外,快速执行通常涉及较低的计算复杂度,这对于不将资源设置的设备从区块链交易中排除是必要的。
• 计算复杂度低:此功能与快速执行有关,但需要注意的是,使用某些硬件进行快速执行并不意味着后量子密码系统的计算简单。例如,某些方案可以在使用高级矢量扩展2(AVX2,高级矢量扩展2)指令集的Intel标准中快速执行,但在基于ARM的微控制器上执行时,相同的方案可能被认为是慢速的。因此,有必要在计算复杂性、执行时间和支持的硬件设备之间寻求折衷。
•低功耗:类似比特币之类的一些区块链被认为是耗电的,主要是因为执行其总线协议所需的能量。还有其他影响功耗的因素,例如使用的硬件,已执行的通信量事务,以及显然已实施的安全方案,由于所执行的操作的复杂性,可以提取相关的电流量。
0x04 区块链后量子密码系统有四种主要类型,第五种实际上混合了前量子密码系统和后量子密码系统。以下各节分析了此类方案在实现加密/解密以及签署区块链交易中的潜在应用。
作为总结,上图绘制了五种不同类型的后量子密码系统,以及加密和数字签名方案实现的示例。
A.当前量子加密系统1)基于编码的密码系统(CODE-BASED CRYPTOSYSTEMS)
它们本质上是基于支持纠错码的理论。例如,McEliece的密码系统就是一个基于编码的密码系统的例子,其历史可以追溯到20世纪70年代,其安全性基于综合症McEliece的方案提供了快速加密和相对快速的解密,这是执行快速区块链交易的优势。但是,McEliece的密码系统要求使用灯光和私钥的大型矩阵来存储和执行操作。
这样的矩阵通常占用100 KB到几兆字节,这在涉及资源设定的设备时可能是一个限制。为了解决这个问题,未来的研究人员将不得不研究矩阵压缩技术以及使用不同的编码(例如,低密度奇偶校验(LDPC)码、准环等级奇偶校验(QC-LRPC)码)和特定的编码技术。
作为参考,上表比较了 NIST 第二轮的基于公钥代码的后量子加密密码系统的主要特征。还有其他的后量子密码系统,但是,NIST 第二轮公钥特别有趣,因为他们的标准化机会,他们因为已经被密码社区彻底分析了。
重要的是要注意,表中的算法的参数可以根据需要的安全性进行调整,密钥大小和性能可能会因此而有所不同。具体来说,选择表的密码系统的目的是比较具有最小密钥大小的密码系统,这些密钥大小可以提供NIST要求的主要量子安全级别(128、192和256位)。在本文的其余部分中进行比较时,采用相同的标准选择算法。
如图所示,评估后的基于代码的密码方案可提供 128 到 256 位的经典安全性,但是就量子安全性而言,该级别显着降低。关于比较的主角/私钥大小,它们的范围非常小(对于 ROLLO-II 和 RQC 的私钥为 320 位)和最大 15.5 KB(对于 HQC 最高安全级别的峰值)之间。平均而言,即使使用压缩技术,基于代码的方案密钥的大小也明显大于当前基于 ECDSA 和 RSA 的加密系统所需的密钥。
值得指出的是,在 HQC 的情况下,指出了两个快捷键大小:湿度内的一个与种子扩展器的使用有关。但是,请注意,在执行算法期间,扩展键将使用括号外指示的内存量,并且还需要执行扩展操作,这会减慢算法的执行。
总体来看,在表中比较的方案中,虽然RQC-II不是最快的后量子方案,但它似乎在安全性和密钥大小之间提供了最佳的权衡。
2)基于多指标的密码系统(MULTIVARIATE-BASED CRYPTOSYSTEMS)
基于多指标的方案依赖于多元方程组激活系统的复杂性,这已被证明是NP-hard或NP-complete。尽管它们抵抗量子攻击,但仍需要进一步研究以提高其解密速度(由于涉及“猜测工作”)减少并列其大密钥大小和密文初始化。
目前,一些最有前景的基于多变量的方案是基于承载随机二次方程的平方矩阵,基于Matsumoto-Imai算法的密码系统以及依赖于隐藏字段方程(HFE,Hidden Field Equation)的方案。
3)格基加密系统(LATTICE-BASED CRYPTOSYSTEMS)
这种基于格的加密方案,格是具有循环结构的n维空间中的点集。基于格的安全性方案依赖于诸如最短保护问题(SVP,最短向量问题)这样的格问题的此时,这是一个NP难问题,其目的是在格内找到最短的非零保护。还有其他类似的与格相关的问题,例如最近的保护问题(CVP,最短向量问题) )或最短独立向量问题(SIVP,Shortest Independent Vectors Problem),目前这些问题无法通过量子计算机有效解决。
基于格的方案提供了可加速区块链存储用户交易速度的实现,因为它们通常计算简单,可以快速地执行它们。但是,就像在其他后量子方案中发生的那样,基于格的实现需要和使用大密钥,并且涉及大量密文头部。例如,像NTRU或NewHope这样的基于格的方案通常需要管理数千位的密钥。
在撰写本文时,最有前景的基于格的密码系统是基于演示式代数以及基于内容错学习(LWE,Learning With Errors)及其问题变体(例如LP-LWE(Lindner -Peikert LWE)或Ring-LWE)。
上表比较了NIST第二轮的公钥密码系统。从表中可以看出,所包括的方案在128位和368位之间提供了经典的安全性,在84位和300位之间提供了量子的安全性,因此,它们的复杂度将根据算法和所提供的安全级别而显着不同。
密钥大小同样显着:从IoT版本的Round5的128位私钥到FrodoKEM-1344的344704位私钥。正如之前根据编码的加密方案所提到的那样,种子扩展器可用于压缩密钥。通过指示两个密钥大小(使用种子扩展器时需要的密钥大小在网关内),在表中显示了使用种子扩展器的基于格的密码系统。
表中比较提供了大约100位量子安全级别的密码系统中,Round5 KEM IoT似乎是密钥最小化的系统。
4)超奇异椭圆曲线同源密码系统(SUPERSINGULAR ELLIPTIC CURVE ISOGENY CRYPTOSYSTEMS)
这些方案基于普通椭圆曲线的等规性协议,但经过了改进,承受量子攻击。可以存在这种类型的不同的有希望的后量子密码系统,其锁大小通常约为几千位。
仅一种基于同源的顶点加密方案进入NIST的第二轮:SIKE。SIKE基于超奇异同源的随机α游动。SIKEp434是SIKE密钥大小的一个很好的参考,对于128位的经典安全性,SIKEp434使用2640位的公共密钥和2992位的枢轴。
5)混合加密系统(HYBRID CRYPTOSYSTEMS)
混合方案似乎是刚性量子安全性迈出的下一步,因为混合方案合并了前量子和后量子密码系统,目的是保护交换的数据量子攻击和对使用过的后量子方案的攻击,安全性目前正在由工业界和学术界评估。
谷歌已对这种密码系统进行了测试,该系统将New Hope与基于ECC的Diffie-Hellman协商方案X25519合并。目前正在测试混合方案的第二个版本(CECPQ2):将使X25519与NTRU(HRSS(Hülsing,Rijneveld,Schanck,Schwabe)和SXY(Saito,Xakawa,Yamakawa)的实例化合并。
尽管这些方案看起来很有希望,但必须注意,它们涉及实现两个复杂的密码系统,这需要大量的计算资源和更多的消耗。因此,未来用于区块链的混合后量子密码系统的开发人员将不得不在安全性、计算复杂性和资源之间寻求权衡。此外,开发人员在提供传输层安全性(TLS)通信时将不得不这种密码系统引起的大有效解决问题(此类问题是由于必然的光纤和密文大小引起的)。
B.后量子签名算法1)基于编码的密码系统
过去已经提出了不同的基于后量子的签名算法。这种密码系统中一些最相关的子类型是基于Niederreiter和CFS(Courtois,Finiasz,Sendrier)的方案例,它们确实与McEliece的加密方案类似。这种方案的签名很短,可以很快地被验证,但是,正如在传统的McEliece的密码系统中发生的那样,使用大密钥需要大量的计算资源,结果,签名生成可能会降低效率。
文献中还提出了其他基于代码的签名算法,例如与Fiat-Shamir变换的应用相关的识别协议,在某些情况下其性能类似于CFS的密码系统。尽管如此知道,因此必须指出的是,Fiat-Shamir签名不能完全安全地抵抗量子攻击(仅在某些情况下),应考虑使用诸如Unruh变换之类的替代方法。
2)基于多变量的密码系统
,在该签名方案中,阈值是通过初始化私钥的陷阱门函数生成的。这通常导出为最大阈值,但数个签名。
最流行的基于多指标的方案依赖于Matsumoto-Imai的算法,一些模仿式同源(IP,多项式同构)或HFE的变体,它们能够生成大小与当前使用的基于RSA或ECC已经提出了其他相关的基于多元α指标的数字方案签名,例如基于多元二次方程或基于Rainbow-like签名方案的方案(例如,TTS,TRMS或Rainbow)。然而,由于密钥系统通常每个密钥都需要数万个字节,因此需要进一步改进密钥大小。
上表比较了NIST第二轮的数字签名方案的主要特征。在这样的表中,对于诸如Rainbow之类的方案,斯蒂芬内的值表示压缩密钥的长度。可以看出,在比较的基于多标志的密码系统中,MQD SS 提供了非常小的密钥,但其签名的大小在比较中最大。相比之下,其余的比较后基于多标记方案的每个密钥都需要数千字节,但它们产生的密钥长度(长度在 239 位和 1,632 位之间)。
3)格基加密系统
在描述不同的基于格的签名方案中,基于短整数解决方案(SIS,Short Integer Solution)的方案由于其减小了密钥大小而似乎很有。根据一些性能分析,依靠SIS问题的分量的BLISS-B(Bimodal Lattice Signatures B)基于格的签名密码系统提供最佳性能之一,与RSA和ECDSA相当。但是,请注意,希望原始的BLISS在2016年的特定条件下被进行边信道攻击,而其变体BLISS-B也很容易受到高速缓存攻击,能够在6000次签名轮次后恢复秘密签名密钥。
BLISS 之外,还有其他基于 SIS 问题的基于格的签名方案,但它们是专门为区块链设计的。研究人员还开发了基于格的盲签名方案,该方案由 David Chaum 在 80 年代初引入,旨在创建不可追溯的支付系统。
最后,值得一提的是一种针对嵌入式系统优化的基于签名的方案,对于100位安全性级别,该方案使用了12000位的私钥和2000位的私钥,并生成9000位的签名。由于前期的简单性和效率,后一种方案被选为与区块链相关的开发的签名算法,例如QChain,这是一种用于管理公钥加密的后量子密钥系统。
上表允许比较传递给NIST调用第二轮的基于网格的方案的主要特征。可以看出,基于格的签名方案要求密钥的大小通常小于基于多元方案的密钥,但生成的密钥略大。在比较的基于格的密码系统中,FALCON使用最小的密钥大小和签名长度。其他方案例如qTESLA,速度很快,但它们的主要缺点是密钥大小增大。
4)超奇异椭圆形同源密码系统
可以利用超奇异椭圆形等值线来创建后量子数字签名方案,但文献中没有很多这样的方案,而且它们仍然表现不佳。例如提出了基于同源问题和Unruh变换的不同签名方案,该方案利用了较小的密钥大小和相对有效的签名和验证算法。另一种基于Un的方案ruh变换的签名方案,该方案针对128位量子安全级别,使用336字节的公钥和48字节的私钥,但生成了122,880字节的签名(使用压缩技术时)。因此,有必要在基于奇异的密码系统和奇异超Diffie-Hellman(SIDH,Supersingular)的实施Isogeny Diffifie-Hellman)时解决密钥大小问题,尤其是在资源设定的设备中,这些设备需要使用通常涉及计算密集型的密钥压缩技术步骤。
5)基于哈希的签名方案
这些方案的安全性取决于基础哈希函数的安全性,而不是数学问题的谐波。这种方案可以追溯到70年代晚期,当时Lamport提出了一种基于单向函数的签名方案。当前,扩展的Merkle签名方案(XMSS,eXtended Merkle Signature) Scheme)的变体,例如XMSS-T和SPHINCS,被认为是Merkle树方案衍生而来的,为后量子时代的有希望的基于哈希的签名方案。
然而由于其性能,一些研究人员认为 XMSS 和 SPHINCS 对于区块链应用是不切实际的,因此已经提出了替代方案。例如,XMSS 已通过使用单一身份验证路径而不是树来适应区块链,同时使用对称和队列来保留匿名性和最小化用户跟踪。其他作者用XNYSS(扩展的Naor-Yung签名方案)代替XMSS,该签名方案将基于哈希的瞬时签名方案与Naor-Yung链相结合,从而创建相关签名的链。
0x05 结论
本文中讲述了与区块链及其安全原语有关的基本概念,研究了量子攻击对区块链当前安全方案和最流行的哈希函数的影响。此外还列举了最相关的后量子方案,介绍并指出了区块链后量子方案重点描述需要提供的主要功能。最后回顾了量子后主角和数字签名方案的主要类型,并分析了它们在区块链中的应用。
在下一篇文章中,将介绍最有前景的后量子密码系统在可被区块链节点利用的硬件上运行时的性能,并已经考虑使用后量子链方案的主要区块链主题。指出后量子链方案目前面临的最大挑战股票配资软件推荐,以及未来研究和开发人员遵循的不同人员途径。最后总结了最相关的发现,并提出了结论。
发布于:广东省