英语原文共 15 页,剩余内容已隐藏,支付完成后下载完整资料
有界量子存储模型中的安全认证和密钥分发
摘要:
我们考虑安全识别的问题:用户u证明他知道的服务器S一个约定的(可能是低熵的)密码W,而给出的信息很少。在W上,对每次执行攻击者最多只能排除一个可能的密码。我们在有界量子存储模型中提出了一个解决方案,其中U和S可能交换量子位,而不诚实的一方被认为拥有有限的量子记忆,对对方没有任何其他限制。改进版本拟议的识别方案对中间人攻击也是安全的,但是需要U和S额外共享一个高熵密钥K。然而,如果一方泄露了K给攻击者但意识到了K的泄露,安全也是可以得到保证的。在两个版本中,诚实的参与者不需要量子记忆,而且可以容忍噪声和不完整的量子源。该方案按顺序排列,w和k可以安全地组合并被重新使用。在识别方案的基础上经过很小的改动,促成了量子密钥分发(QKD)方案、有界量子存储模型的安全、密钥的可用性属性,并且不假设经过验证的通道。这是在已知的量子密钥分发方案形成了鲜明的对比(无对手)没有认证通道,其中必须更新身份验证密钥,并且不成功的执行可以使当事人耗尽密钥。
关键词:量子密码、有界量子存储模型
1、介绍
安全认证:考虑双方,一个用户u和一个服务器S,他们共享一个公共密钥(或密码或个人)识别码PIN)w为了从S获得一些服务,U需要说服S,他是合法用户。你通过“证明”,他知道W在实践中认为你如何证明自动柜员机,你知道你的PIN这样的证明。通常是简单地宣布W S.这确实保证了一个不诚实的用户lowast;谁不知道W不能确定自己是你,当然要你可能揭示W恶意服务器的lowast;谁现在可能的风险因此,模仿美国,从一个安全的识别方案,我们还需要一个不诚实的lowast;获得服务器(基本上)没有信息在W。
根据设置和确切的安全性,存在各种方法来获得安全的身份验证方案。要求.例如,零知识证明(和一些较弱的版本),发起由飞鸽,菲亚特和夏米尔[ 19,18 ],允许安全标识。在一个更复杂的模型中,我们允许公共密钥w是低熵的。另外考虑一个中间人攻击,我们可以使用基于口令的密钥协商(如21)技术,20)获得安全的识别方案。这些方法的共同点是,安全依赖于以下假设一些计算问题(如分解或计算离散日志)是困难的,攻击者的计算有限。
功率。
研究成果:在这项工作中,我们采取一种新的方法:我们考虑量子通信,我们开发了两个识别。仅在攻击者只能可靠地假设的情况下,信息在理论上是安全的。有限尺寸存储量子态。该模型首次在[ 9 ]中得到考虑。另一方面,诚实的参与者只需要发送量子位并在到达时立即测量它们,不需要量子存储或量子计算。此外,我们的识别方案对噪声量子信道和非理想量子源都是鲁棒的。我们的方案因此可以使用现有技术在实践中实现方案。
第一种方案对不诚实的用户和服务器是安全的,但对中间人攻击是不安全的。它允许
公共密钥的W不均匀和低熵,像人类记住密码。只有用户知道W可以成功地说服服务器。在这个方案的任何执行中,不诚实的用户或服务器不能了解更多关于排除一种不可避免的可能性。这有时被称为基于口令的标识。这个第二种方案除了w均匀分布的高熵公共密钥k之外,还需要另一个方案。防止中间人进攻。此外,针对不诚实的用户或服务器的安全性保持第一。即使不诚实的政党知道K(但不是w)。这意味着,例如k可以存储在智能卡上,并且即使该智能卡被盗,该计划的安全性仍有保证,前提是受影响方注意到偷窃,因此不再参与这个计划。这两种方案按顺序组成,w(和k)可能是安全的。重新使用超多项式的许多倍,即使识别失败(由于攻击,或因技术故障)。
在量子密钥分配第二识别方案,结果一个小的修改(QKD)方案的安全性有界量子内存对手。所提出的新的量子密钥分配方案的优点是,没有认证通道是必需的,攻击者不能强迫双方耗尽身份验证密钥。诚实党需要共享一个密码W和高熵的秘密密钥K,他们可以安全地重复使用(超多项式倍),无论成功或失败,QKD。此外,像识别方案一样,丢失k不
只要对方当事人注意到损失,就可以折衷担保。人们可以认为这是一个量子版本。基于口令的认证密钥交换。我们的解决方案的性能在所有已知的量子密钥分配,形成了鲜明的对比没有经过认证的通道(对攻击者没有任何限制)的方案。在这些方案中,攻击者能力方用完的认证密钥通过使QKD执行失败(例如通过阻止一些信息)。更糟的是,即使只是由于技术问题方案执行失败,当事人仍然可以运行的认证密钥过了一会儿,因为他们不能排除窃听者其实是。这个问题很重要。系统实现的缺点,尤其是那些易受单个(或几个)点(S)失败。
其他方法:我们简要地讨论我们的识别方案如何与其他方法进行比较。我们已经
给出了如何构造计算安全识别方案的一些说明。这种方法通常允许对于非常实用的方案,但需要一些未经证实的复杂性假设。另一个有趣的区别这两种方法:而对于(已知)基于计算安全的基于密码的识别方案计算硬度假设需要无限期地保存,这限制了攻击者在我们的量子内存中。方法仅在识别方案执行期间需要保存,实际上仅在一个点期间执行。执行。换句话说,在地下室里有一个超级量子存储设备只会帮助你作弊。ATM机如果你能用它在网上与量子计算的解决方案的沟通,在离线地下室的超级计算机可以起到至关重要的作用。
此外,获得一个满意的识别方案需要对对手进行一些限制,即使在量子设置:仅考虑被动攻击,Lo(24)表明,对于不受限制的对手,没有基于口令的存在量子识别方案。Lo的不可能结果只适用于保证用户不学习任何东西的情况下。关于鉴定程序的结果。一般情况下不可能在最近出现。工作[ 4 ]。使用来自[ 17 ]的定义,甚至可以显示诚实播放器的整个密码泄漏到不诚实的使用者。
另一个可选的方法是经典的有限存储模型[ 25,5,1 ]。与我们的方法相反,只有经典通信被使用,并且假定攻击者的经典内存是有界的。与量子情况不同如果我们不需要诚实的玩家拥有任何量子内存,经典的有界存储模型要求诚实的当事人拥有一定数量的内存,这与对手允许的内存大小有关:如果两个合法用户在识别协议中需要N比特内存满足我们的安全标准,那么就需要一个对手。必须在内存中绑定到O(n2)位。原因是给定一个安全的基于口令的识别方案,一个可以构造(以黑箱的方式)一个密钥分配方案,产生一个一位的关键对手。平均熵为1/2。另一方面,它知道在任何需要N比特的密钥分配方案中。合法玩家的记忆,记忆Omega;对手(N2)可获得的关键除了任意小。
这种经典的有界存储模型的局限性与我们在本文中所取得的结果形成了鲜明的对比,即诚实的玩家根本不需要量子内存,而我们的识别方案对量子对手仍然是安全的。在发送的量子位总数中,内存是线性的。对于OT和比特,两个模型之间的分离是相同的承诺。
最后,如果一个解决了有界量子存储模型,那么原则上可以采用一般结构。对于一般的两方安全功能评估(SFE)基于OT一起从[ 8 ]为了OT方案实现字符串相等的SFE,从而实现基于口令的识别。然而,这种方法导致高度不切实际。解决方案,因为泛型结构需要多次执行OT,而我们的解决方案可以与之相媲美。从[ 8 ]的OT方案执行。此外,超临界流体萃取不会自动照顾一个男人在中间攻击,因此,需要用这种方法做更多的工作。
后续工作: 存储量子信息的困难也可以与假设绑定的方式不同。敌手可以控制的量子比特的物理数量。在更现实的量子噪声存储模型中提出在[ 33 ]中,所有传入的量子位都可以被对手存储,但受到存储噪声的影响。假设一个简单的存储策略,可以显示当前文件中的协议仍然安全[ 31 ]。
最近的工作[ 23 ]定义了弱字符串擦除的基本加密原语,并对几个后续工作进行了定义。
研究如何安全地实施这种原始的在嘈杂的存储模型,从理论上和实验23,2 ] [ 26 ]。它在[ 23 ]中展示了如何从弱字符串擦除中构造比特承诺和不经意传输。很有可能类似的结构也会产生基于口令的识别方案。这些结构的缺点是使用交互式哈希,这使得协议效率低下。在[ 30 ]中,它展示了如何绕过这个问题。
如果对手的存储限制不能成立,我们就很容易看出,不仅我们的安全证明会失败,而且事实上,我们提出的协议可以很有效地打破。但是,如[ 7 ]所示,可以添加一个“前导”到
使用基于计算假设的承诺方案的协议。为了打破结果协议,敌手必须同时拥有大的量子内存和大的计算能力。类似的精神是量子识别。在[ 3 ]中考虑的方案:为了打破它,敌手必须同时拥有大的量子记忆和“非平凡”的量子计算能力。
2、准备工作
2.1概念和术语
量子状态 我们假设读者熟悉量子信息处理的基本符号和概念[ 27 ]。
有条件的独立 我们还需要表达一个随机变量x是(接近于)独立于量子态E。当给定一个随机变量y时。这意味着,当给定y时,状态E在x上不提供(或很少)附加信息。形式上,这是通过要求rho;XY E等于(或接近)表示rho;Xharr;Yharr;E,其定义AS3
换句话说,rho;XYE =rho;Xharr;Yharr;E假如rho;x,yE =rho;Ye为所有x和y进一步说明其含义,请注意,如果Y登记测量值y,那么国家rho;Xharr;Yharr;崩塌(EX P X | y(x | Y)|times;times;|)otimes;rho;YE,所以的确,没有进一步的信息可以从寄存器中获得X。这个符号自然延伸到rho;Xharr;Yharr;| E E只考虑rho;XY E | E代替rho;XY E。
2.2 工具
最小熵分裂是一个有用的技术工具,是下面的熵分裂引理,也可能是有独立的利益。非正式地说,如果一个随机变量的列表,每一对都有高(平滑)最小熵,除一个随机变量外,所有的随机变量都必须具有高(平滑)最小熵。证明了在附录A.2。
3、认证方案
3.1设置
我们假设诚实用户U和诚实的服务器的一些关键isin;W W(我们认为这是一个密码),其中w的选择是由随机变量w描述的。身份验证协议现在是简单的U和S的协议,使用经典和/或量子通信,当双方都作为输入(在诚实的情况下)密码w,s输出在哪里接受或拒绝。协议可以由一个或多个安全性参数。我们不需要W是非常大的(即| W |不会降低任何安全参数有界的方式),和W不一定是均匀地分布在W的话,我们可以认为是人类可记忆密码或PIN码。本节的目标是构造一个识别方案,允许U“证明”他。知道W的方案应具有以下安全特性:一个不诚实的服务器lowast;学基本上没有信息在W之外,他可以为w提出一个猜想W,并学习w是否w,同样地不诚实。用户成功地说服验证者基本上只有当他猜测W正确,如果他的猜测是不正确的,那么唯一他学到的东西是他的猜测是错误的。这特别意味着只要w的熵足够大,识别方案可以安全重复。最后,它当然必须是S接受合法用户的情况。有正确的密码。更正式地,我们需要以下内容:
定义1。我们说,如果在输入端用诚实的u执行,则双方的标识协议是正确的。w为双方的结果S接受,除了概率的概率。
定义2。我们说双方你识别协议,是ε安全对用户(诚实)服务器的lowast;如果以下是满意的:每当lowast;的初始状态是独立国家联合rho;W
定义3。我们说双方你识别协议,是对ε安全服务器(诚实)用户Ulowast;如果下面是满意的:当一个不诚实的用户lowast;初始状态是独立的W,W(可能存在perp;),独立的W,这样如果W = W然后接受最多ε概率,如果W = W然后接受确定。
如果这些安全定义满足一个小的整数,那么我们就可以保证任何不诚实的一方都能做到。本质上就是想通过任意的(独立的)w猜测W,并学习猜测是否正确。正确与否,但除此之外。显然,这种财产是最好的,因为攻击者可能始终诚实地执行协议,猜测W,并观察协议是否成功。
我们想指出的是,上述的安全定义,事实上,在本文中任何安全的要求,保证连续的自我组合,为输出状态是保证有相同的独立性(有固定的选择W)是从输入状态所需要的(除非攻击者猜测W)。此外,它表明我们在定义意味着“在[ 17房/理想世界的定义]。更具体地说,它是一个协议满足我们信息理论的条件下实现了一个自然的理想的识别功能,通过合成定理从[ 17 ],这意味着协议组成的顺序在一个经典的环境,即量子协议可以作为理想的功能进行分析时,一个更为复杂的经典外协议。
需要注意的是,用户和服务器的安全性通常不足以在身份验证中应用。协议.如果诚实的用户和服务器相互作用,攻击者可以操纵通信,则会出现问题,也就是说,做一个“中间人”攻击,观察诚实党的反应。此场景不包括以上定义,事实上,我们的协议最简单的版本对于这种攻击是不安全的。然而,这个问题可以得到解决,我们在第4节讨论它。
我们还想指出,一旦诚实的服务器通过身份验证协议进行验证,他就是与合法用户通信,因此他愿意向用户提供一些服务,我们不能排除这种情况。与此同时,诚实的用户被“推走”了,而服务实际上被提供给了一个非法用户。在通过证明你的PIN码知识来识别ATM的例子中,ATM仍然是可能的。把你的身体攻击和别人拿现金。当然,这样的身体攻击可以绝不要通过用户和服务器之间的协议来防止。每当服务器提供一些物理信息时服务(比如分发现金或允许进入房间),用量子加密手段是不可能预防的。一个不诚实的人在合法的鉴定步骤后,身体抢提供服务。因此,我们安全定义捕获最佳安全性。
如果服务器提供给合法用户的服务是形式上的,则情况有所不同。提供数字数据。在这种情况下,我们可能希望服务器在将数据发送给用户之前对其进行加密,在这种情况下只有合法用户才能够解密的一种方式。这就是我们用第5节认证的量子密钥分配方案。
3.2感官上的知识
我们提出的方案与随机1 - 2 OT方案有关。在方案中,爱丽丝将|鲍伯随机Xisin;{ 0, 1 }N和theta;isin;{,},然后鲍伯times;措施基础上 或times;一切,取决于他的选择点C,使他基本上知道X的一半(爱丽丝使用的
全文共8668字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[16562],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
