XChacha20 - Poly1305量子抵抗吗？

Question

这是一个好奇的问题，因为我是后量子密码学的新手。我读过几篇文章，他们强调当前标准化的对称加密算法(使用256位密钥，例如AES)默认是量子抵抗的。但是，由于Grover的搜索算法的复杂性，AES 128的安全性可能会受到影响。Grover的搜索算法是否削弱了XSalsa20 / XChacha20流密码器？另外，Poly1305呢？

Answer 1

泰勒博士:是的，是的。

虽然它由于格罗弗算法而被量子计算机削弱，但它仍然有足够的安全裕度被认为是“量子安全”。

Grover的搜索算法是否削弱了XSalsa20 / XChacha20流密码器？

是的，它确实如此，但与传统的蛮力相比，它只提供了二次加速，因为XSalsa20和XChacha20都有256个位键，这就转化为128位的后量子“安全性”现在还被认为足够多。

另外，Poly1305呢？

Poly1305是一种MAC算法，目前还没有受到已知量子算法的影响。它的安全性通常被认为是128位安全级别.

甚至有一个减少的基础PRF-功能，这是高于128位水平的Chacha20&Co。

更多的信息也可以在Chacha20-Poly1305的不同安全分析中找到，比如就像这个。

是两个安全？

的组合。

现在，人们可能会问，两者的结合不一定是安全的.

但是我们有关于Chacha20-Poly1305安全的正式证明，证明它是安全的。有关所有细节，请参阅塞西尔·巴里特尔-吕特的论文第8章。

参考资料

• 作者声明: Lange，T.后量子密码学:处理物理学成功的后果。(密码学ePrint档案馆；第2017/314号卷)。IACR。PDF格式
• Daniel，A.，& Lejla，B. (2015)。长期安全后量子系统的初步建议。PQCRYPTO.欧盟。地平线，2020年。PDF格式
• Procter，G. (2014)。ChaCha20和Poly1305组成的安全性分析。暗号。ePrint Arch.，2014,613。PDF格式
• Almeida，J.B.，Barbosa，M.，Barthe，G.，Grégoire，B.，Koutsos，A.，Laporte，V.，.& Strub，P.Y.(2020年，5月)。最后一英里:高保证和高速加密实现。2020年IEEE安全和隐私专题讨论会(第965至982页)。IEEE.PDF格式