1 of 56

Brief Intro to PQC

後量子密碼學簡介

1

2 of 56

國立政治大學資訊安全科技研究中心

2

左瑞麟

陳 恭

曾一凡

郁 方

洪智鐸

蕭舜文

資訊科學系

資訊管理學系

資訊科學系

資訊管理學系

資訊管理學系

資訊管理學系

教授

教授

副教授

副教授

助理教授

副教授

日本筑波大學博士

美國耶魯大學博士

國立中山大學博士

美國加州大學聖塔芭芭拉分校博士

英國牛津大學博士

國立臺灣大學博士

研究領域

研究領域

研究領域

研究領域

研究領域

研究領域

  • 密碼學
  • 資訊安全
  • 網路安全
  • 區塊鏈與隱私強化技術
  • 程式語言設計
  • 區塊鏈智能合約分析
  • 社群媒體資料分析
  • 社群大數據
  • 密碼學
  • 資訊安全
  • 後量子密碼學
  • 軟體安全
  • 正規驗證
  • 字串分析
  • 軟體與人工智慧系統之驗證與形式化分析
  • 資訊安全
  • 虛擬化技術
  • 資安資料科學

國立政治大學

3 of 56

國立政治大學資訊安全科技研究中心

3

國立臺灣

師範大學

國防大學理工學院

中原大學

國立陽明

交通大學

國防大學

理工學院

長庚大學

紀博文

黃思皓

楊明豪

羅嘉寧

許建隆

資訊工程學系

資訊管理與財務金融學系

資訊工程學系

資訊工程學系

資訊管理學系

副教授

教授

教授

副教授

教授

國立臺灣大學博士

國立清華大學博士

國立中央大學博士

國立交通大學博士

國立台灣科技大學博士

研究領域

研究領域

研究領域

研究領域

研究領域

  • 資訊安全
  • 密碼學
  • 軟體定義網路
  • 人工智慧精準行銷與�推薦系統
  • 機器學習
  • 金融科技
  • 投藥攻擊與資安攻防
  • 網路安全
  • 網路通訊協定
  • 隨傳視訊
  • 平行及分散式計算與容錯計算
  • 網路安全
  • 物聯網安全
  • 入侵偵測
  • 智慧家庭
  • 行動商務
  • 電腦與通訊安全
  • 資訊安全
  • 應用密碼學

4 of 56

資安事件

4

5 of 56

資訊安全需求

  • ISO 27001資訊安全管理系統(Information Security Management System, ISMS)中規範一個系統必須對其機密性、完整性、可用性進行適當規範。
  • 機密性(Confidentiality):防止機密資訊洩漏給未經授權的使用者。
  • 完整性(Integrity):資料內容不能被未經授權者竄改或偽造。
  • 可用性(Availability):確保資訊系統運作過程中的正確性。

5

6 of 56

資訊安全需求

6

不可轉移性(Untransferability)

語意安全性(Semantic Security)

可撤銷性(Revokability)

叛徒追蹤 (Traitor Tracing)

不可連結性(Unlinkability)

匿名性(Anonymity)

資訊安全基本需求

機密性(Confidentiality)

可用性(Availability)

完整性(Integrity)

不可否認性�(Non-Repudiation)

鑑別性(Authentication)

存取�控制�(Access Control)

7 of 56

資訊系統安全架構

7

分析層

外圍層

外部層

中心層

內部層

法律層

環境觀點:

實體安全

使用者觀點:

通行碼

生物識別

系統觀點:

存取控制

資料觀點:

密碼技術

法律觀點:

法律制定

法律判決

管理者觀點:

安全稽核

管理控制

(應用)密碼學

8 of 56

Secure Electronic Transaction

8

發卡銀行

收單銀行

商家

付款閘道

卡片註冊

持卡人

支付認可

支付認可

支付授權

支付授權

憑證機構

憑證核發

憑證查詢

憑證管理

加密/解密

數位簽章

9 of 56

密碼學發展過程

9

~古希臘

1976

~ 2022

位移式密碼 (Transposition Cipher)

置換式密碼 (Substitution Cipher)

DES

AES

公開金鑰密碼學

後量子

密碼學

10 of 56

位移式/置換式密碼

  • 凱薩密碼(Caesar Cipher):�將每個字母右移3位做為密文

  • 密碼棒(Scytale)

10

11 of 56

Playfair密碼

  • 國家寶藏2–古籍秘辛

11

來源:左撇子電影博物館https://mike0123783.pixnet.net/blog/post/32974942� https://nationaltreasure.fandom.com/wiki/The_debt_that_all_men_pay

密文

金鑰提示:The debt that all men pay

12 of 56

金鑰分配問題

  • Alice要寄一封信給Bob,但不希望信在寄送途中被拆封,因此將信鎖在一個盒子中,並將盒子寄出。
  • 但Bob沒有對應的鑰匙可以開盒子的鎖,因此無法拿到信。
  • 為了將鎖的鑰匙寄給Bob,並確保鑰匙不會被郵差拿走,因此需要另一個上鎖的箱子來安放這把鑰匙。

12

Alice將要寄出的�裝進上鎖的盒子

Bob沒有對應的�鑰匙,無法開鎖

Alice索取鑰匙

13 of 56

解決方法

13

Step 1

Step 2

Step 3

14 of 56

金鑰交換協定

  • 由Whitefield Diffie與Martin Hellman於1976年提出公開金鑰密碼系統之概念(在這之前的為對稱式密碼學)。
  • 在他們的論文中提出了“金鑰交換協定”(Key Exchange Protocol)之概念,利用公開金鑰來幫助通訊雙方可以安全地協議出一把共同的交談金鑰(Session Key)。
  • Diffie-Hellman金鑰交換協定被使用於許多網路協定中,如TLS、SSL、HTTPS。

14

15 of 56

公開金鑰密碼系統

  •  

15

16 of 56

量子電腦

  •  

16

17 of 56

量子電腦

  •  

17

18 of 56

量子演算法

  •  

18

19 of 56

Shor 演算法

  •  

19

x

a

0

1

2

3

4

5

6

7

8

9

10

11

12

13

14

2

1

2

4

8

1

2

4

8

1

2

4

8

1

2

4

7

1

7

4

13

1

7

4

13

1

7

4

13

1

7

4

 

 

20 of 56

Shor 演算法

20

 

糾纏態

21 of 56

Shor 演算法

21

觀測

22 of 56

量子霸權(Quantum Supremacy)

  • 量子霸權:證明量子計算機可以解決某些經典電腦難以解決的問題 (該問題未必需要有實務應用)
  • 量子霸權候選
    • 質因數分解問題 (Factorization)
    • 玻色採樣 (Boson Sampling)
    • 隨機量子電路採樣 (Random Quantum Circuit Sampling)
  • Google透過隨機量子電路採樣達成量子霸權:利用量子電腦執行隨機選擇的量子閘操作,產生隨機量子態,然後取樣測量量子態。

22

23 of 56

彈珠檯

  • 彈珠掉入某個特定槽的機率�為多少?

23

24 of 56

高爾頓釘板 (Galton Box)

  •  

24

 

 

25 of 56

玻色採樣

  •  

25

26 of 56

量子電腦發展

26

2011

D-Wave

量子晶片D-Wave One

2015

IBM

4-qubit 量子電路 / 量子糾錯

2016

美國馬里蘭大學

5-qubit 可程式化量子電腦

2017

中國科學院

10-qubit 量子電腦 (加速24000倍)

2019

Google

53-qubit 懸鈴木(Sycamore),「量子霸權」

2020

中國科學技術�大學

76-qubit 九章

2021

113-qubit 九章II

2022

IBM

433-qubit Osprey

2023

IBM

1121-qubit Condor

2024

中國本源量子

本源悟空3 - (72+126)*72 qubit

27 of 56

量子電腦發展

27

2024/02/29,中研院,5-qubit

2024/02/29,清大,最小量子電腦

28 of 56

量子電腦發展

28

29 of 56

後量子密碼學標準化

  • 美國國家標準暨技術研究院(NIST)已正式發表後量子密碼標準
    • Round1 (2016):審查優缺點,82件投稿,69件進入審查,26件獲選
    • Round2 (2019):軟硬體實現評估,8件獲選
    • Round3 (2020):
      • 加密:Classic McEliece, CRYSTALS-Kyber, NTRU, Saber
      • 簽章:CRYSTALS-Dilithium, Falcon, Rainbow
      • 備選:BIKE, FrodoKEM, HQC, NTRU Prime, SIKE, GeMSS, Picnic, SPHINCS+
    • Round4 (2022):CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon, SPHINCS+
    • Round5?(2025~):HQC ...�

29

30 of 56

後量子密碼遷移

  • Mosca's Inequality Theorem: If X+Y>Z, then worry!
    • X:機密資料需要保存的時長
    • Y:完成量子遷移最短時間
    • Z:量子電腦成熟到可以破解傳統加密的時間(Y2Q)

  • 「Harvest now, decrypt later」
  • Q-day: 雲端安全聯盟(CSA)Y2Q倒數

30

31 of 56

後量子密碼遷移

  • 2023年NIST發布後量子遷移指引
    • Quantum Readiness: Cryptographic Discovery
    • Quantum Readiness: Testing Draft Standards for Interoperability and Performance
  • 後量子密碼遷移指引(數產署)
    1. 建立量子準備計畫(標準化)
    2. 盤點加密資產清單
    3. 與技術供應商討論量子準備計畫
    4. 確認供應鏈的量子準備程度
  • 系統遷移是十分困難的,特別是對於大規模且軟硬體兼具的系統

31

32 of 56

SHA1->SHA3

  • SHA1(Secure Hash Algorithm 1)
    • 1995: NIST頒布標準
    • 2004: NIST建議以SHA2取代SHA1
    • 2005: SHA1從理論層面被破解
    • 2015: NIST建議聯邦政府停止使用SHA1
    • 2017: NIST與荷蘭國家數學和電腦科學研究學會(CWI)找到實務上可以使用的碰撞演算法
    • 2017: GOOGLE Chrome停止支援發布SHA1的憑證
  • SHA2: 2001頒布
  • SHA3: 2012決選,2015頒布

32

33 of 56

SHA1->SHA3

33

34 of 56

34

35 of 56

後量子密碼—晶格密碼學

35

 

晶格密碼學:Lattice-Based Cryptography

36 of 56

後量子密碼—晶格密碼學

36

 

 

最近向量問題: 給定格點找其鄰近點� 給定任意點找其最近格點

37 of 56

後量子密碼—多變量密碼學

  •  

37

38 of 56

後量子密碼—編碼密碼學

  • 以糾錯碼(Error Correction Code)為基底的密碼系統

38

解碼問題:Syndrome Decoding Problem

找一個誤差來解釋出錯處

找一個誤差來解釋出錯處

39 of 56

後量子密碼—雜湊密碼學

  •  

39

40 of 56

後量子密碼—同源密碼學

  • 同源密碼學:Isogeny-Based Cryptography
  • 同源映射:保留某些運算性質(代數結構)的映射

40

isogeny

41 of 56

後量子密碼—同源密碼學

41

Alice

Bob

+

 

+

 

+

 

+

 

42 of 56

NIST後量子密碼標準化

  • Selected Algorithms in 2022 :
    • CRYSTALS-Kyber (FIPS 203): Lattice-based Encryption
    • CRYSTALS-Dilithium (FIPS 204): Lattice-based Signature
    • FALCON: Lattice-based Signature
    • SPHINCS+ (FIPS 205): Hash-based Signature

42

Lattice

Multivariate

Code

Hash

Isogeny

Others

Round 1

加密

22

3

16

0

1

6

簽章

5

9

2

1

0

3

Round 2

加密

9

0

9

0

1

0

簽章

3

4

0

1

0

1

Round 3

加密

5

0

3

0

1

0

簽章

2

2

0

1

0

1

43 of 56

NIST後量子密碼標準化

43

CRYSTALS-Kyber/

CRYSTALS-Dilithium

SPHINCS+

優點

公鑰尺寸小、計算可加速(NTT)

方便遷移(Hash-based)

缺點

私鑰尺寸相對大

有限次數使用

44 of 56

Thanks for Listening!

44

45 of 56

Fast IDentity Online

45

Source: TWCA: https://www.twca.com.tw/product/c0281542-f034-4ba9-8164-c517ebc5e0c0

身分驗證

公私鑰/生物特徵

46 of 56

位移式/置換式密碼

  • 福爾摩斯-�The Adventure of the Dancing Men

  • 名偵探柯南-�月亮、星星與太陽的秘密

46

來源:https://deductionpedia.weebly.com/blog/the-adventure-of-dancing-man-code

47 of 56

簡單替代法

  • 共濟會密碼(豬圈密碼)

47

A P P L E

48 of 56

Playfair密碼

48

明文

密文

規則1:明文在同一列

明文字母兩兩一組,依照5x5密碼表上的排列方式進行轉換

規則2:明文在同一行

規則3:不在同列/行

49 of 56

Playfair密碼

49

明文:

CO

MP

UT

ER

密文:

OD

HT

MU

HG

H

A

R

P

S

I

C

O

D

B

E

F

G

K

L

M

N

Q

T

U

V

W

X

Y

Z

50 of 56

Playfair密碼

  • 還原矩陣
  • 重複字母去除
  • J與Q擇一去除

50

D

E

A

T

H

B

C

F

G

I

K

L

M

N

O

P

Q

R

S

U

V

W

X

Y

Z

51 of 56

Playfair密碼

  • 密文:ME IK QO TX CQ� TE ZX CO MW QC� TE HN FB IK ME� HA KR QC UN GI� KM AV
  • 明文:la bo ul ay el� ad yw il lx le� ad to ci bo la� te mp le so fg� ol d
  • Laboulaye lady will lead to cibola temples of gold

51

D

E

A

T

H

B

C

F

G

I

K

L

M

N

O

P

Q

R

S

U

V

W

X

Y

Z

52 of 56

Enigma密碼機

52

53 of 56

密碼分析(Cryptanalysis)

  • 頻率分析:由於每個字母皆會唯一對應到另一個字母(或符號),因此字母出現頻率不會改變。

53

54 of 56

現代密碼系統

  • 古典密碼系統多仰賴語言學及文字學,容易受頻率分析攻擊。
  • 某些語言系統(如中文)不易使用置換法或替代法。
  • 現代密碼系統以“位元”(bit)為處理單位進行加密。
    • ASCII CODE: A -> 0100 0001
    • Big 5 (繁體中文)
    • Unicode (萬國碼)

54

55 of 56

DES加密標準

  • Data Encryption Standard
  • 1972年美國國家標準技術研究院(NIST)開始徵集。
  • 1974年由IBM公司提交之魔王密碼(Lucifer)中選。
  • DES為區塊密碼,對一定大小的明文或密文進行加解密。
  • DES支援之區塊大小為64位元,其中8位元為錯誤更正用。
  • 缺點為金鑰長度過短(56位元)。

55

56 of 56

DES演算法

56

F

F

16 rounds

F

K15

K1

K0

F

F

16 rounds

F

K0

K14

K15

Encryption

Decryption