格密码学中的安全参数

Question

在无陷阱门的纸格签名(Lyubashevsky2012)中，n是安全参数，为什么作者将n设置为512，而不是80/100/112来获得80位安全/100位/112位安全？

Answer 1

还有一个类似的问题，关于RSA --为什么使用2048位RSA，而不是80位RSA？

答案当然是由于密码分析的估计。特别是，人们估计潜在的问题有多困难(对于保理，它大致是\exp(O(\sqrt[3]{n}))，然后设置安全参数，使它需要\approx 2^{80}位操作中断。

对于基于LWE的方案，Albrecht等人。已经创建了LWE估计量。这既是对点阵方案的最新攻击(在2015年)的总结，也是一个Sage模块(自那以后更新)，它允许您插入您的方案的参数，并将估计具体的安全级别。

当然，这些估计只是估计，这是一个活跃的研究领域，试图获得更好的基于格的密码系统的具体安全性评估。但是参数本身的选择使得，当应用最先进的攻击状态时，需要2^{80} (或2^{100}或2^{112})位操作来破坏该方案。