与量子计算机的Kyber1024相比,每次操作多久才能破解AES256?
在搜索Kyber的密钥时,量子计算机每次操作需要多长时间?Grover的算法将256位AES削弱到128位安全性,量子计算机最多需要2^128次操作才能找到AES密钥,但每次操作必须花费一些时间;正如提到的https://www.ambit.inc/pdf/KyberDrive.pdf:Kyber-1024已知具有254位经典安全性和230位量子安全性(coreSVP硬度)。量子计算机最多需要2^230次操作。那么,每一次手术需要更长的时间(注意:不是总时间,而是每次操作的时间)?Kyber1024还是AES256?
回答 1
Cryptography用户
发布于 2023-05-01 17:20:49
如果我的资源与那些能够成功攻击AES256的资源(根据目前的理解这是一个荒谬的经济资源水平)相当,我可以通过恢复凯伯规范算法4中的256位种子值d来攻击Kyber。注意,我知道256位派生值\rho是公钥的智能值,因此通过将G的输出截断到256位,我有一个256位到256位的函数,其中我知道一个输出\rho,并希望找到相应的输入d。无论我如何解决AES256密钥恢复(例如256位经典耗尽或128位Grover),我大概都可以用来解决这个类似的问题。唯一的区别是函数求值,即AES或SHA3。歌声最近的工作估计,SHA3量子电路的Toffoli深度为552或总深度为2020年;相比之下,格拉塞尔估计SHA3的Toffoli深度为7488或总深度为16408,因此AES256密钥恢复可能比Kyber密钥恢复困难8倍。
这并不是凯伯被量子资源攻击的唯一途径。已知短向量问题与隐二面子群之间存在联系,就像分解/离散对数与隐阿贝尔子群之间有联系一样。然而,对量子二面体傅里叶变换如何解决这些问题的分析还没有得到量子阿贝尔傅里叶变换短裤算法的成功。
https://crypto.stackexchange.com/questions/106120
复制相似问题
腾讯云开发者
