三重ChaCha20有256位后量子安全吗？

Question

专家建议，当AES还没有开发出3 DES时，由于遇到中间攻击，他们建议使用三重DES。Grover的算法，一种量子算法，削弱了对称加密，那么三重ChaCha20呢？三重ChaCha20有针对量子计算机的256位安全性吗？

Answer 1

首先，我们不需要256位安全。128位安全性是很好的；2^{128}操作已经不可行了，特别是当我们谈论针对量子密码分析的安全性时，这些操作比普通计算机昂贵得多。Grover的算法也是资源密集型的，需要使用量子位对目标算法进行仿真。

此外，虽然在经典攻击方面有一点余地是很好的，但是Grover的算法不太可能得到增强，从而减少所需的量子位数。Grover被证明是最优的.用于针对密码/密钥的“蛮力”尝试，因此逻辑量子位数至少保持不变。目前还不清楚在错误条件下需要多少个量子位元，因此所需的物理量子位数仍是未知的。这并不重要，因为它不会改变操作的逻辑数或所需的量子位数。

DES是一种分组密码，三重DES由分组密码的加密、解密和再加密组成。然后，对所述叠加结构执行分组密码(例如CBC)的操作模式。然而，ChaCha20是流密码，而不是块密码，因此您必须定义三重ChaCha20是什么样的。ChaCha20内部包含一个PRF，我猜PRF可以增加两倍，但这会扰乱密码的内部定义。

总之，量子密码分析通常是搜索，我会说是的，三重ChaCha20将提供至少256位的安全性。但是，如前所述，在任何情况下都不需要这样做；定义或使用三重ChaCha20并不能使系统在实践中更加安全。也许三重AES-128将是有意义的，如果你所有的是加速AES为特定的关键大小(我见过一些嵌入式处理器，有这样的限制)。即使是AES-128也很难打破。