我们需要量子随机预言模型(QROM)吗？

Question

我目前正在学习量子随机预言模型中帝力三国签名的证明 (QROM)。我很想知道是否有人对在QROM中有证据的重要性有任何想法，或者标准随机预言模型中的证明是否足够？

已经与一些伙伴简短地探讨了这个话题，并认为它符合ROM经得起时间测试的思路，如果这能说明这足以证明后量子(PQC)证明的话。

Answer 1

所有的模型都是错误的，但有些是有用的--乔治·波克

随机预言模型(ROM)已经证明了对时间的测试，因为它已经证明了对对手对抗密码原语的能力的准确/有用的评估，我们选择将其建模为“随机预言”。值得注意的失败已经发生了，例如在MD5和SHA1的情况下，当对手能够展示函数的属性时，这些函数赋予了它们不存在于随机预言中的功能。对于其他函数(如SHA256、SHA-3)，模型的无效还没有被证明。

ROM模型在未来是否会继续对这些功能有用，取决于对手是否获得对ROM模型以外的这些功能的有效分析。特别是，如果对手能够在(适当强大的)量子计算机上访问该功能的实例化，则由于能够提交输入的叠加，他们可以获得关于ROM以外功能的分析。目前还不清楚一个对手能有效地利用这个附加功能的程度，这就是QROM模型的目的。请注意，对手可以访问函数的量子实现的假设可能因攻击场景而异(例如，任何人都可以访问标准化哈希函数的无约束输入的实现；CPA和CCA攻击可能允许使用附加未知输入的I/O访问)。

一个迄今为止有用的模型是有效的，这一事实不应自动提供信心，即当对手的能力和理解发生变化时，它将继续这样做。例如，椭圆曲线(如secp256r1和Curve25519 )的安全性是根据属群模型来评估的，而且没有任何经典的对抗性分析证明了这种模型在这些情况下是无效的。然而，Shor算法表明，具有中等量子能力的具有循环结构的组，其操作数可以以叠加方式访问，都不具有安全的离散对数结构。

在面对新的对抗能力时，任何模型的未来用途都不是自动的；当对手获得现有模型所不包括的能力时，进一步的分析是适当的。