NIST后量子项目中的安全级别:例如AES-128 vs SHA-256
NIST后量子项目中的安全级别:例如AES-128 vs SHA-256
提问于 2019-10-22 08:57:26
在一篇关于NIST后量子标准化项目的文章中,我读到了关于拟议方案的安全标准的文章,其中有一个表格(I级最低,V级最高):
一级:至少和AES-128一样难破解(彻底的密钥搜索)
二级:至少和SHA-256 (碰撞搜索)一样难破。
三级:至少和AES-192一样难破解(彻底的密钥搜索)
四级:至少和SHA-384 (碰撞搜索)一样难破。
V级:至少和AES-256一样难破解(彻底的密钥搜索)
如果我正确理解它,那么(用经典的方法,不使用量子计算机和Grover算法)在AES-128上进行详尽的密钥搜索,我们需要遍历2^{128}可能性,在SHA-256的碰撞搜索中,我们需要通过2^{128}可能性找到一个碰撞(从生日悖论开始)。
所以我的问题是-安全等级I和二级有什么不同?同样,为什么AES-192的安全性低于SHA-384的安全性。
回答 1
Cryptography用户
回答已采纳
发布于 2019-10-22 11:20:10
这是由于Brassard等人关于散列函数的S方法,它对n位哈希函数有\mathcal{O}(\sqrt[3]{n})攻击时间,而格罗弗's方法有\mathcal{O}(\sqrt{n})-time。
- 一级:至少和AES-128 \mathcal{O}(\sqrt{2^{128}}) = \mathcal{O}(2^{64}) - by Grover一样难打破
- 二级:至少和Brassard等人的SHA-256 \mathcal{O}(\sqrt[3]{2^{256}}) \approx \mathcal{O}(2^{85})一样难打破。
- 三级:至少和AES-192 \mathcal{O}(\sqrt{2^{192}}) = \mathcal{O}(2^{96}) - by Grover一样难打破
- 四级:至少和Brassard等人的SHA-384 \mathcal{O}(\sqrt[3]{2^{384}}) = \mathcal{O}(2^{128})一样难打破。
- V级:至少和Grover公司的AES-256 \mathcal{O}(\sqrt{2^{256}}) = \mathcal{O}(2^{128})一样难打破
两种量子哈希碰撞方法的时空比较。
伯恩斯坦有一篇很好的文章散列碰撞的成本分析:量子计算机会使SHARCS过时吗?,关于与平行化的范欧斯考特-维纳的比较。你也可以阅读粗糙的骨骼的回答。
页面原文内容由Cryptography提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://crypto.stackexchange.com/questions/75240
复制相关文章
相似问题
腾讯云开发者
