슈퍼싱귤러 등원 키 교환

초싱귤러 등원 분포 -Hellman Key Exchange(SIDH; Hellman 키 교환)는 안전하지 않은 통신 채널을 통해 두 당사자 간에 비밀 키를 확립하기 위해 사용되는 양자화 후 암호화 알고리즘입니다.Diffie와 유사합니다.Hellman 키 교환은 슈퍼싱귤러 아이소제니 그래프에서의 워크에 기초하고 있으며 양자 컴퓨터를 소유하고 있는 적의 암호 해독 공격에 저항하도록 설계되어 있습니다.SIDH는 모든 양자화 후 키 교환 중 최소 크기 중 하나를 자랑합니다. SIDH는 압축을 통해 128비트 양자 보안 수준에서 2688비트^[1] 공개 키를 사용합니다.또한 SIDH는 NTRU 및 Ring-LWE와^{[citation needed]} 같은 유사한 시스템과 구별됩니다.완벽한 전송 비밀은 손상된 장기 키가 오래된 통신 세션의 기밀성을 침해하는 것을 방지하는 속성입니다.이러한 특성으로 인해 SIDH는 Diffie-를 대체할 수 있는 자연스러운 후보가 됩니다.Hellman(DHE) 및 타원 곡선 Diffie-인터넷 통신에서 널리 사용되는 Hellman(ECDHE).

서론

특정 종류의 문제에 대해 양자 컴퓨터에서 실행되는 알고리즘은 당연히 기존 컴퓨터보다 더 낮은 시간 복잡성을 달성할 수 있습니다.즉, 양자 알고리즘은 기존 컴퓨터에서 실행되는 가장 효율적인 알고리즘보다 특정 문제를 더 빨리 해결할 수 있습니다.예를 들어, Shor의 알고리즘은 정수 N을 다항식 시간으로 인수분해할 수 있는 반면, 가장 잘 알려진 인수분해 고전 알고리즘인 일반 수 필드 체는 하위 지수 시간으로 연산된다.RSA의 보안은 정수 인수분해 문제인 정수를 인수분해할 수 없는지에 따라 달라지기 때문에 공개 키 암호화에 중요합니다.Shor의 알고리즘은 또한 Diffie의 보안의 기초가 되는 이산 로그 문제를 효율적으로 해결할 수 있다.헬만, 타원 곡선 디피-Hellman, 타원곡선 DSA, Curve25519, ed25519 및 ElGamal.양자 컴퓨터는 현재 초기 단계에 있지만, 양자 컴퓨터의 지속적인 개발과 최신 암호화 프로토콜(TLS/SSL 등)을 손상시키는 이론적인 능력은 양자화 이후의 암호화 ^[2]기술의 발전을 촉진했습니다.

SIDH는 2011년 De Feo, Jao 및 ^[3]Plut에 의해 만들어졌습니다.기존의 타원 곡선 연산을 사용하며 특허를 취득하지 않았습니다.SIDH는 완벽한 전송 비밀을 제공하기 때문에 장기 개인 키의 보안에 의존하지 않습니다.Forward Secrety는 암호화된 통신의 장기적인 보안을 향상시키고 대규모 보안 감시로부터 방어하며 Heartbleed와 같은 취약성의 영향을 줄입니다.^[4][5]

배경

바이얼스트라스 $방정식{\displaystyle {}^{}}$ ${\displaystyle {y2\mathrm{}}^{}}$ $=$ ${\displaystyle {x\mathrm{}}^{}}$3 +${\displaystyle a}$ + ${\displaystyle b}$+ {\$displaystyle$ y$^{2$}=$x^{3}+ax+b}$에 의해 주어진 타원곡선의 j-등가수는 다음 공식으로 주어진다.

${\displaystyle j}$(${\displaystyle E}$ ) ${\displaystyle =}$ ${\displaystyle 1728\frac{\mathrm{}}{}}$ ${\displaystyle \frac{{}^{}}{}}$ a ${\displaystyle \frac{{3\mathrm{}}^{}}{}}$ ${\displaystyle \frac{{}^{}}{}}$ a${\displaystyle \frac{{}^{}{3\mathrm{}}^{}}{}}$ + ${\displaystyle \frac{{}^{}}{}}$ b$$ ({$displaystyle$ j$(E$) =$1728${\$frac {4a^{3}+27b^{2$ :

등형 곡선은 동일한 j 불변량을 가지며, 대수적으로 닫힌 필드에서는 동일한 j 불변량을 갖는 두 곡선이 동형이다.

SIDH(supersingular Diffie-Hellman protocol)는 정점이 (동형 클래스의) 상위 타원 곡선이고 모서리가 이러한 곡선 사이의 등진인 그래프와 함께 작동합니다.$등각선{\displaystyle }$ ${\displaystyle :}$ : ${\displaystyle E}$ ${\displaystyle \to }$ ${\displaystyle {}^{}}$ $′$ \ $displaystyle \phi :$$타원곡선{\displaystyle }$E(\$displaystyle$ E$)$와 E$(\$ E$')$ 사이의$$ E$\to$ E$'$는 군 동형사상인 유리맵이다.분리 가능한 경우,$curve{\displaystyle }$ { $displaystyle \phi$$}$는 목표 곡선 E $up{\displaystyle {}^{}}$ { $displaystyle$E }의$$동형사상까지 커널에 의해 결정됩니다.

SIDH의 설정은 p ${\displaystyle =}$ l ${\displaystyle {A_{}}_{}^{}}$ e A${\displaystyle {{}_{}}_{}^{}{}_{}^{}}$ ${\displaystyle l_{}^{}}$ ${\displaystyle {B_{}}_{}^{}}$ e B${\displaystyle {{}_{}}_{}^{}f}$ ${\$ 1 { $displaystyle$ p =$$l _$${ }$형식$의 프라임입니다.$A}^{e_{A}}\cdot l_{B}^{e_${B$}\cdot f\mp1$ (작은) ${\displaystyle {소수점}_{}}$ A$({displaystyle$ $l_{A}})$ 및 ${\displaystyle L_{}}$ B$($) $지수{\displaystyle {}_{}}$ E({$displaystyle$ l_${$$B$$\})$에 대하여A$}}$ 및$$ $({$ 및 작은 $보조계수{\displaystyle }$f({$displaystyle$ f$\})$와 ${\displaystyle {{}^{}}_{}}$ F ${\displaystyle {{p\mathrm{}}^{}}_{}}$2$({displaystyle \mathbb {F}_{p^{$2$\}\})$ 위에 $정의$된 초대형 타원$곡선{\displaystyle }$ E({$displaystyle$E$$})가 있습니다. 이러한 곡선에는 2개의 큰 비틀림 $부분군{\displaystyle }$ E$[$${\displaystyle {}_{}^{}}$]가 있습니다$.$$A}^{e_{A}}}$ 및${\displaystyle }E$ [${\displaystyle l_{}^{}}$ B ${\displaystyle {{}_{}}_{}^{}}$ $]{displaystyle$ E$[l_{B}^e_{B$ 각각 Alice와 Bob에 할당되어 있습니다(첨자 표시).각 당사자는 각각의 비틀림 서브그룹의 (비밀) 랜덤 순회 서브그룹을 선택하고 대응하는 (비밀) 등유전성을 계산함으로써 프로토콜을 시작한다.그런 다음 상대방이 등전성을 갖는 목표곡선에 대한 방정식을 상대방이 등전성을 갖는 비틀림 부분군의 이미지에 대한 정보와 함께 발표하거나 다른 방법으로 제공한다.이를 통해 두 회사 모두 E(\$displaystyle$ E$)$의 새로운 등각성을 비공개로 계산할 수 있습니다. E$(\displaystyle$ E)의 커널은 두 개의 비밀 순환 서브그룹에 의해 공동으로 생성됩니다.이 두 개의 새로운 등각선의 알맹이가 일치하기 때문에 이들의 목표곡선은 동형이다.그런 다음 이러한 목표 곡선의 공통 j-불변수를 필요한 공유 암호로 간주할 수 있습니다.

스킴의 보안은 작은 비틀림 서브그룹에 따라 다르기 때문에 l ${\displaystyle A_{}^{}}$ ${\displaystyle {{}_{}}_{}^{}}$ ${\displaystyle {}_{}^{}{{}_{}}_{}^{}}$† ${\displaystyle {l_{}}_{}^{}}$ B e$$B (\$display$ ${)$를 선택하는 것이 좋습니다.$A}^{e_{A}}\약 l_{B}^e_{B$

이 주제에 대한 훌륭한 참고 자료는 De Feo의 기사 "등유성 기반 암호학의 ^[6]수학"이다.

보안.

SIDH의 보안은 점 수가 동일한 두 개의 초싱 타원 곡선 사이의 등원 매핑을 찾는 문제와 밀접하게 관련되어 있다.De Feo, Jao 및 Plut은 SIDH에 대한 최선의 공격이 관련된 손톱 찾기 문제를 해결하는 것이라고 제안합니다. 따라서 고전 컴퓨터의 경우 복잡성 O(p^1/4), 양자 컴퓨터의 경우 O(p^1/6)입니다.이는 768비트 프라임(p)의 SIDH가 128비트 보안 수준을 ^[3]갖는다는 것을 나타냅니다.델프스와 갤브레이스의 2014년 등진성 매핑 문제에 대한 연구에서 기존 컴퓨터의 ^[7]O(p^1/4) 보안 분석이 확인되었습니다.SIDH의 고전적 보안 O(p^1/4)는 갈브레이스, 쁘띠, 샤니, ^[8][9]티와 더불어 Biasse, Jao, Sankar의 연구에서 확인되었다.

효율성.

키 교환 중에 A와 B는 각각 타원 곡선과 2개의 타원 곡선 포인트를 정의하는 2개의 계수(mod² p)의 정보를 전송합니다.각 타원 곡선 계수에는 로그프₂² 비트가 필요합니다.각 타원곡선점은 logp₂²+1비트로 전송할 수 있으므로 전송은₂² 4logp+4비트입니다.768비트 모듈러스 p(128비트보안)의 경우 6144비트입니다.그러나, 이것은 키 압축 기술을 사용하여 2640 비트(330 바이트)로 절반 이상 줄일 수 있습니다. 이 중 최신은 Costello, Jao, Longa, Nahrig, Renes 및 Urbanik의 ^[10]최근 연구에 나와 있습니다.이러한 압축 기술을 사용하면 SIDH는 기존의 3072비트 RSA 시그니처 또는 Diffie-Hellman 키 교환과 같은 대역폭 요건을 갖게 됩니다.이 작은 공간 요구사항은 SIDH를 Bitcoin이나 Tor와 같이 공간 요구사항이 엄격한 컨텍스트에 적용할 수 있게 합니다.Tor의 데이터 셀은 330바이트의 SIDH 키를 보유할 수 있도록 길이가 517바이트 미만이어야 합니다.반면 NTRUEncrypt는 128비트 보안을 실현하기 위해 약 600바이트를 교환해야 하며 Tor 내에서 셀 크기를 ^[11]늘리지 않으면 사용할 수 없습니다.

2014년 워털루 대학 연구진은 SIDH의 소프트웨어 구현을 개발했습니다.2.4GHz로 동작하는 x86-64 프로세서에서 부분적으로 최적화된 코드를 실행했습니다.768비트 모듈러스에서는 키 교환 계산을 200밀리초 만에 완료할 수 있었습니다.이를 통해 SIDH가 계산상 ^[12]실용적이라는 것을 알 수 있습니다.

2016년 마이크로소프트 연구진은 SIDH를 위한 소프트웨어를 게시했습니다. SIDH는 일정 시간(따라서 타이밍 공격에 대한 보호)으로 실행되며 현재까지 구현된 소프트웨어 중 가장 효율적입니다.그들은 다음과 같이 쓰고 있습니다.공개 키의 크기는 564바이트에 불과합니다.이것은 일반적인 양자화 이후의 키 교환 방법보다 훨씬 작은 것입니다.궁극적으로 소프트웨어의 크기와 속도는 SIDH가 양자화 후 키 교환 후보로서 강력한 가능성을 보여주고 있으며, 이러한 결과가 보다 광범위한 암호 분석 ^[13]작업을 촉진할 수 있기를 바랍니다."코드는 오픈소스(MIT)이며 github:https://github.com/microsoft/PQCrypto-SIDH 에서 구할 수 있습니다.

2016년 플로리다 애틀랜틱 대학 연구진은 SIDH의 효율적인 ARM 구현을 개발하고 아핀 좌표와 투영 ^[14][15]좌표를 비교했다.2017년 플로리다 애틀랜틱 대학 연구진은 SIDH의 ^[16]첫 번째 FPGA 구현을 개발했다.

초싱귤러 디프제니 헬만법

SIDH의 몇 가지 단계는 복잡한 등진 계산을 수반하지만, Diffie-Hellman 키 교환 또는 그 타원 곡선 변형에 익숙한 사람에게는 당사자 A와 B의 SIDH의 전체적인 흐름은 간단합니다.

세우다

이것들은 네트워크 내의 모든 사람이 공유할 수 있는 퍼블릭파라미터이거나 세션 시작 시 당사자A 및 B에 의해 네고시에이트될 수 있습니다.

1. $p{\displaystyle }$ ${\displaystyle =}$ ${\displaystyle w_{}^{}}$ ${\displaystyle {{}_{}}_{}^{}}$ ${\displaystyle {e_{}}_{}^{}}$ A${\displaystyle {{}_{}}_{}^{}{}_{}^{}}$ ${\displaystyle w_{}^{}}$ ${\displaystyle {{}_{}}_{}^{}}$ ${\displaystyle {e_{}}_{}^{}}$ B${\displaystyle {{}_{}}_{}^{}f}$f ±${\displaystyle 1}$. \ $display style$ p$=w_{$$A}^{e_{A}}\cdot w_{B}^{e_{B}\cdot f\pm 1.}$
2. ${\displaystyle {{}^{}}_{}}$ ${\displaystyle {{p\mathrm{}}^{}}_{}}$2에 $대한{\displaystyle {\mathbb{}}_{}}$ 초대형 타원 $곡선{\displaystyle }$ E$(\displaystyle$$$E$$$)$ {{$p^{2$
3. E$${$display$ E$\}$의 $타원점{\displaystyle {}_{}}$ ${\displaystyle {PA}_{}}$ ${\displaystyle {QA}_{}}$ ${\displaystyle {PB}_{}}$ ${\displaystyle {QB}_{}}$ ${$를 고정하였습니다.
4. $({$와 $({$})의 순서는 (${\displaystyle {wA}_{}{}^{}}$ ${\displaystyle {e_{}}^{}}$A$({displaystyle$ ($w_{A$})^{$e_{A$입니다.$({$와 $({$ Q_${\displaystyle {}_{}{}^{}}$A})의 순서는${\displaystyle }$$($${\displaystyle {}_{}}${A})입니다.$^{e_{B$

키 교환

키 교환에서 당사자 A와 B는 각각 공통 타원곡선 E에서 등전성을 생성한다.이들은 각각 자신의 동질성의 핵심이 되는 임의의 점을 작성함으로써 이 작업을 수행합니다.등각의 핵심에는 ${\displaystyle {각각}_{}}$ R A$($ R_${A})$와 ${\displaystyle R_{}}$ B$($ R_${B})$가 $있습니다{\displaystyle {}_{}}$.사용되는 포인트가 다르면 당사자 A와 B가 서로 다른 비소통 동질성을 생성하게 됩니다.등각선 커널 내의 랜덤 포인트(${\displaystyle R_{}}$ A$(\$$displaystyle$ $R_{A$ $또는{\displaystyle {}_{}}$ R$$(\$displaystyle R_{B$는 $PA$(\$displaystyle$ P_${A$ $QA{\displaystyle {}_{}}$(\displaystyle Q_${$$A$}) $P_style$ P_{$B$})의 랜덤 선형 조합으로 작성됩니다$.$

R $(\$ $또는{\displaystyle {}_{}}$ R$$(\$displaystyle R_{B$를 $사용$하여 A$(\$ _${A})$와 B$(\$_{$B})$를 각각 벨루 공식으로 등화시킵니다.${\displaystyle {이}_{}}$를 통해 $(\$$displaystyle$$P_{$A$\}),$$$(\$displaystyle Q_{$A$$}) $PB$(\$displaystyle P_{$B$\}),$$QB$$(\$$displaystyle$$Q_{B$})의$$쌍 $이미지를 계산$합니다.

그 결과, A와 B에는 2개의 포인트 ${\displaystyle {쌍}_{}}$이 $있습니다{\displaystyle {}_{}{B}_{}}$($$P A ) \$display$ \$phi _$ { $B （$ P _ { A$$）${\displaystyle {}_{}}$、 ${\displaystyle B_{}}$( Q A )$$\ $display$style \$phi$$$_ { $B$${\displaystyle {}_{}}$（ $Q$_ A$$） } $and$ ( ( (${\displaystyle A_{}}$ ${\displaystyle {}_{}}$ P ${\displaystyle {\_}_{}}$ { $A$） $。$이제 A와 B는 통신 채널을 통해 이러한 포인트 쌍을 교환합니다.

이제 A와 B는 수신한 한 쌍의 포인트를 새로운 등각성의 커널의 기반으로 사용합니다.이들은 위에서 사용한 것과 동일한 선형 계수를 수신한 점과 함께 사용하여 등각의 커널에서 점을 형성합니다.각각 ${\displaystyle {SB}_{}}$ $({$ $및{\displaystyle {}_{}}$ ${\displaystyle {\mathrm{SA}}_{}}$ B$({$ 포인트를$$$$ 계산하고 Velu의 공식을 사용하여 새로운 등진성을 구축합니다.

키 교환을 완료하기 위해 A와 B는 이 두 개의 새로운 등각선 아래에서 두 개의 새로운 타원 곡선의 계수를 계산합니다.그런 다음 이러한 곡선의 j-불변량을 계산합니다.전송에 오류가 없는 한 A에 의해 생성된 곡선의 j-불변량은 B에 의해 생성된 곡선의 j불변량과 동일합니다.

통지상 당사자A와 B 사이의 SIDH 키 교환은 다음과 같이 동작합니다.

1A. A는 2개의 랜덤 < ( A )A. \ $display$ m$_$ {$A$ } ,$n$_ { A } < ( $w_ {$$A)^{e_{A}}.$$}$

2A. A는 ${\displaystyle R_{}}$A : ${\displaystyle =}$ ${\displaystyle m_{}}$ A ${\displaystyle (}$ ( ${\displaystyle {PA}_{}}$) + ${\displaystyle n_{}}$ A ${\displaystyle \cdot }$ ( ${\displaystyle {QA}_{}}$)을 $생성$합니다$.\$ $displaystyle R_{A$: =$m_{$$A}\cdot(P_{A})+n_{$$A}\cdot(Q_{A}).$$}$

3A. A는 ${\displaystyle R_{}}$ A$(\$ $포인트$를 사용하여 등각 $매핑$을 작성합니다. ${\displaystyle a_{}}$ A${\displaystyle {}_{}}$: ${\displaystyle E}$ ${\displaystyle \to }$ ${\displaystyle {}_{}}$ ${\displaystyle A_{}}$\ $displaystyle \phi$_ {$$$A$ :$오른쪽 화살표 E_{$$A}$ 및 곡선$$ $(\$ E_${$디스플레이 E_{$A}:$ E$.\style$ E.$와$ 동종입니다$.$

${\displaystyle {4A}_{}}$. A는 ${\displaystyle P_{}}$B({$displaystyle P_{B})$와 ${\displaystyle Q_{}}$ B$({$${$$B})$에 p$$$PB)$의 2개의 포인트를 형성합니다.$A:\phi$ _${A}(P_{B})$ 및$$ A$).\displaystyle \phi$ _${A}(Q_{B}).$$}$

5A. A는 $B{\displaystyle {}_{}}$ ${\displaystyle {EA}_{}}$ ${\displaystyle A_{}}$(${\displaystyle P_{}}$ B$)$ (\$displaystyle E_{A},\phi$ _${A}(P_{B$ 및 $A{\displaystyle {}_{}}$(${\displaystyle Q_{}}$ B${\displaystyle )}$로 송신합니다$.\displaystyle \phi$ _${A}(Q_{B}).$$}$

1B~4B: A1~A4와 동일하나 A와 B의 서브스크립트가 교환되어 있다.

5B. B는 A ${\displaystyle E_{}}$ B${\displaystyle {}_{}}$ "${\displaystyle B_{}}$"($)$ {$displaystyle E_{B},\phi$ _${B}(P_{A$ 및 "${\displaystyle B_{}{QA}_{})}$ $.\displaystyle \phi$ _${B}(Q_{A)$ 에 송신합니다.$}$

6A. $A$는 ${\displaystyle {mA}_{}}$ ${\displaystyle {nA}_{}}$ ${\displaystyle b_{}}$B ( ${\displaystyle {PA}_{}}$ { $displaystyle$ m$_$ {$A}$ , n$_$ {$A}$ , \$phi$_ {$B}(P_{A})$및 ${\displaystyle b_{}}$${\displaystyle {}_{}}$B ( ${\displaystyle {QA}_{}}$)${\displaystyle {}_{}}$\$displaystyle \phi$_ {$B}$ ($Q_{A})$ ${\displaystyle {}_{}}$ B${\displaystyle }$:$A:=m_{A}(\phi_{B}(P_{A})+n_{A}(\phi_{B}(Q_{A})).$$}$

7A. A는 ${\displaystyle {\mathrm{SB}}_{}}$ A$(\$를 $사용$하여 등각 맵핑 ${\displaystyle b_{}}$ B $(\$ _${BA$를 작성합니다.

8A. $A$는 § ${\displaystyle B_{}}$ A$(\$를 사용하여 $타원곡선{\displaystyle {}_{}}$ ${\displaystyle {\mathrm{EB}}_{}}$ A$(\$})를 작성합니다.$A$$}:$ E$(\displaystyle$ E$)$와 동종입니다.

9A. $A$는${\displaystyle }$K : ${\displaystyle =}$ ${\displaystyle \text{j-context}}$ {$}$ } $（$ j _ {$$） =$j-context$ { $j-context$ ${\displaystyle {}_{}}$$곡선$ ${\displaystyle {\mathrm{EB}}_{}}$A의 BA$}({$$디스플레이 스타일$ E_${)$$BA$

6B. 마찬가지로 B는 ${\displaystyle {mB}_{}}$ ${\displaystyle {nB}_{}}$ A${\displaystyle {}_{}}$(${\displaystyle P_{}}$B$)$ {display $style$ m_{$B}, n_{B},$ \$phi$ _${A$$}($$P_{B$ 및 A${\displaystyle {}_{}}$(${\displaystyle Q_{}}$ B${\displaystyle {}_{}}$ {$display$style \$phi$ _${A}(Q_{$${\displaystyle B_{}}$) 및$$ ${\displaystyle S_{}}$$}$ $폼$을 $가진다{\displaystyle {}_{}}$.

7B. B는 ${\displaystyle {\mathrm{SA}}_{}}$ B$(\$})를$$ $사용$하여 등각 매핑을 만듭니다. ${\displaystyle a_{}}$ ${\displaystyle A_{}}$ B$(\$_ { } )$AB$

8B. B는 ${\displaystyle A_{}}$ B$(\$를 사용합니다.$AB}}:$ 타원$$ $곡선{\displaystyle {}_{}}$ ${\displaystyle {\mathrm{EA}}_{}}$ B$(\$ E_${)$를 만듭니다.$AB$$}:$ E$(\displaystyle$ E$)$와 동종입니다.

9B. B는 K : ${\displaystyle =}$ ${\displaystyle {\mathrm{j-displaystyle}}_{}{}_{}}$ :$= j-displaytext$ { $j-displaytext }}(j_{)$를 $계산$합니다.${\displaystyle {AB}_{}}$$}})$의 ${\displaystyle {\mathrm{EA}}_{}}$ B$($ 스타일$$E_{$AB$

$곡선{\displaystyle {}_{}}$ ${\displaystyle {\mathrm{EA}}_{}}$ B$(\$ E_{$디스플레이$ E_${$$AB}}$ $및$ ${\displaystyle {\mathrm{EB}}_{}}$ A$(\$BA$}}$은(는) 동일한 j-불변량을 가질 수 있습니다.공유 ^[3]키로서 K$(\displaystyle$ K$)$의 $기능$을 사용합니다.

샘플 파라미터

De Feo 등에서는 다음 매개변수를 예로 들었다.^[3]

w = 2, w_B = 3, e = 63, e_AB = 41, f = 11과의_A 키 교환에 대한 p = 프라임.따라서 p = (2⁶³·3⁴¹·11) - 1이다.

E₀ = 키 교환을 위한 기준(시작) 곡선 = y² = x³ + x

키 교환을 정의하는 이 문서의 저자 중 한 명인 Luca De Feo는 이러한 파라미터 ^[17]및 기타 파라미터의 키 교환을 구현하는 소프트웨어를 게시했습니다.

유사한 시스템, 시그니처 및 용도

SIDH의 전신은 2006년 로스토프체프와 스톨부노프에 의해 출판되었다.그들은 타원곡선 등유전성을 바탕으로 최초의 디피-헬만 치환을 만들었다.De Feo, Jao, Plut의 방법과는 달리, Rostovtsev와 Stolbunov의 방법은 통상적인^[18] 타원 곡선을 사용했고, 지수 이하의 양자 ^[19]공격을 하는 것으로 밝혀졌다.

2014년 3월, 중국 통합 서비스 네트워크 및 Xidian 대학의 연구진은 SIDH의 보안을 강력한 검증 기능을 ^[20]갖춘 디지털 서명 형태로 확장했습니다.2014년 10월, 워털루 대학의 Jao와 Sokharev는 타원 곡선 등원성을 ^[21]사용하여 지정된 검증자를 사용하여 부정할 수 없는 서명을 만드는 대체 방법을 제시하였다.

레퍼런스