安全是有分量的

云盾_ddos防御套餐_快速解决

2022-01-12 03:10栏目:应用

云盾_ddos防御套餐_快速解决

搅局者:不,你不能,除非你也加密量子态。

在这篇文章中,我们将看看最近关于量子计算机上密码学的潜力和局限性的科学结果。我们正在研究创建量子数字签名的可能性,即量子态上的密码签名。这不能与量子抗数字签名混淆,这是另一个主题。

数字签名是当今电子社会的重要组成部分。从信用卡到移动通信,这种非常基本的密码原语随处可见。数字信息(消息)上的加密签名是附加在消息上的二进制证书,它保证消息是由特定用户准备的,该用户的身份绑定到一对公共/私有验证和签名密钥。数字签名方案的安全性是根据不可伪造性和不可否认性给出的,这两个属性要求没有签名密钥的人不能为任意消息生成有效的签名。它最初是作为一个公钥加密方案诞生的,但它也可以用作签名方案:它的特性是私有解密密钥也可以用作签名密钥,公共加密密钥也可以用作验证密钥

(请注意,这是RSA密码系统的一个非常特殊的特性:如此强的"函数对称性",即同一个加密陷门也可以用作签名陷门,这在大多数其他公共密码系统中是不存在的。例如,一个人不能直接使用ElGamal来生成签名,许多签名方案不能用于公钥加密。)

RSA和许多其他现代密码系统一样,当量子计算机到来时,RSA将被打破。这导致了其他更安全、更抗量子的数字签名方案的最新发展,这些方案即使在后量子时代也应该保持安全。然而,正如我们之前在另一篇博文中所解释的,看看下面的场景也很有趣:当我们在网络中交换的信息也将是量子的时候,会发生什么?换句话说,如果我们想对一个量子态进行数字签名会发生什么?

量子签名

首先,我们必须决定"对一个量子态进行数字签名"是什么意思。理想情况下,我们需要一种尽可能模仿我们习惯的传统数字签名的功能,但是要签名的消息是任意(可能是纠缠的)量子状态。在这个场景中,用户A准备一个量子态并通过"量子互联网"将其发送给用户B,用户B希望确保接收到的状态实际上是A发送的状态,而不是其他的状态。我们仍然希望签名和验证密钥是经典的,因为这是一个有用的属性,但是签名本身呢?

直观的解决方案是要求一个状态上的量子签名是另一个状态,这样:

通过使用a的验证密钥可以验证的真实性;只有使用A的签名密钥才能生成有效的签名。

但是量子力学是很棘手的。上述想法无法奏效,原因如下:

如果是直接作用产生的,则会在这个过程中"消耗"。考虑到在量子力学中,一个人不能创建任意状态的副本,这意味着即使签名本身可能是有效的,也没有办法恢复消息;另一方面,如果是在不消费的情况下生成的,那么它将不会携带关于自身的任何信息。这意味着签名将与另一个量子消息完全无关,并且仍将使用另一个量子消息,因此安全性将失效。

事实证明,唯一合理的方法是将签名和消息"打包"到单个量子状态,并具有以下属性:

如果通过,然后通过使用,既可以检查这种正确性,又可以同时恢复原稿;如果没有正确生成,那么通过使用它可以检查这个事实(但不一定要恢复)。

这个模型听起来很吸引人,但是如何实现呢?看起来不那么容易。事实上,考虑在叠加中签署消息的"直截了当"的想法:让一个(经典的,但量子抵抗的)数字签名方案,让我们的消息。我们可以生成签名的打包状态:

但是,通过做一些数学计算,很容易说服自己这个系统不工作,因为它通常不允许恢复原始状态(提示:它引入了纠缠,没有签名密钥很难撤消)。此外,如果我们修改方案的方式使恢复变得更容易,那么对手也更容易使用它为不同的消息创建有效的伪造。

听起来我们越努力恢复消息,安全狗防御ddos,签名方案就越不安全,因为对手可以"撤消"签名。这是怎么可能的?

量子签名的不可能性

事实证明,在实现量子签名的过程中确实存在一个非常根本的问题,为了理解问题所在,我们必须回顾,在量子计算中,每一个保持系统"量子性"的变换都必须是可逆的。这使得数字签名和公开验证量子态的问题变得不可能。

直觉是这样的:量子签名通过作用于一条消息和一条秘密信息来生成一个打包态()。然而,鉴于验证过程必须允许从开始仅使用公共信息()进行恢复,那么同样的过程也必须允许恢复,因为量子过程是可逆的!

诚然,这种直觉是非常模糊的,它为许多漏洞敞开了大门。然而,在最近的一项科学工作中,已经明确证明直觉是正确的!更准确地说: