针对OTR结构的量子伪造攻击方法、设备及存储介质

针对otr结构的量子伪造攻击方法、设备及存储介质
技术领域
1.本发明涉及量子计算和量子安全技术领域，具体的是针对otr结构的量子伪造攻击方法、设备及存储介质。


背景技术：

2.在密码学安全研究方面，认证加密算法可以同时实现信息的保密性和完整性验证，在各种网络安全系统中得到了广泛的应用。认证加密工作模式是通过对信息进行加密生成密文并计算认证标签来解决用户信息的隐私性和真实性等实际问题的一种密码方案。目前，大量的信息不仅在传输过程中需要保密，而且在接收方收到信息后还需要进行认证，以保证信息在传输过程中的保密性、完整性和真实性。因此，设计和研究认证加密算法是非常必要的。caesar竞赛的目标是为不同的应用场景确定可靠、高效、安全、具有独特属性的认证加密算法组合。在这次加密竞赛的初始阶段，共收集了57种算法。
3.另一方面，在量子世界里，自从肖尔算法被提出后，人们宣布量子计算机将对公钥密码学构成严重威胁。越来越多的研究人员开始使用量子算法来破解对称密码系统，如西蒙算法和bernstein-vazirani算法。此外，他们还提出了一些新的量子算法，甚至将经典的密码分析方法扩展到量子领域。其中，西蒙算法首次被用来破解3轮feistel构造，并证明even-mansour构造在叠加查询下是不安全的。在他们的启发下，kaplan等人展示了几种基于寻找碰撞的经典攻击，使用西蒙算法可以大大加快攻击速度。shi等人也采用了类似的方法，在caesar比赛中对认证的加密aez实现了碰撞攻击。
4.otr结构是一种认证加密结构，可以同时保证信息的保密性和完整性，具有一定的研究意义。也有很多学者在不断研究otr结构的伪造攻击。hassan等人研究表明，一些原始多项式会导致当前实例化中使用的掩码系数之间发生碰撞，从而实现伪造。zhen等人提出了在已知明文的条件下，当相关数据和公共信息号码被重复使用时，对aes-otr的伪造攻击。然而，据我们所知，这些伪造攻击有苛刻的限制条件，使得场景相对严格。并且目前还没有针对otr算法的量子攻击方法，现有的量子攻击方法也无法解决这一问题。


技术实现要素：

5.为解决上述背景技术中提到的不足，本发明的目的在于提供针对otr结构的量子伪造攻击方法、设备及存储介质，解决现有的技术无法满足量子环境中对otr结构进行量子伪造攻击的需求；以及满足对分组密码工作模式进行伪造攻击的目的。
6.本发明的目的可以通过以下技术方案实现：针对otr结构的量子伪造攻击方法，方法包括以下步骤：
7.设定明文分块规则，利用明文块计算标签生成公式；
8.将明文块加密为密文，将密文代入标签生成公式内，并且根据代入密文后的标签生成公式来生成函数；
9.设定2n位量子态，应用哈德玛门hadamard变换2n位量子态前n个量子位，获得量子
叠加；
10.将量子叠加代入生成的函数内，得到第一状态，对前n个量子位进行hadamard变换，得到第二状态；
11.对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得周期；
12.根据获得的周期伪造密文。
13.优选地，所述明文分块规则为：
14.m＝m[1]||m[2]||m[3]||m[4]||...||m[d]；
[0015]
m代表明文串，m[d]代表第d个明文块。
[0016]
优选地，所述标签生成公式为：
[0017]
te＝e(3l
*
⊕
δ
⊕
m[2]
⊕
m[4]
⊕
...
⊕
m[d])；
[0018]
式中，e代表加密算法，l*代表秘密参数，δ代表e加密随机数后的数。δ＝e(n)，n为随机数。
[0019]
优选地，所述将密文代入标签生成公式内后为：
[0020]
te＝e(3l
*
⊕
δ
⊕
e(4δ
⊕
e(5δ
⊕
c[1])
⊕
c[2])
⊕
c1.⊕
e(8δ
⊕
e(9δ
⊕
c[3])
⊕
c[4])
⊕
c[3]
⊕
...
⊕
c[d])；
[0021]
c[i]代表第i块密文，l
*
＝l
⊕
δ，l＝4δ。
[0022]
优选地，所述函数的生成过程如下：
[0023]
选择x，θ＝c1.⊕
c[3]，α,β作为输入，并根据标签生成公式构造函数f：
[0024]
f＝e(3l
*
⊕
δ
⊕
e(4δ
⊕
e(5δ
⊕
x)
⊕
α)
⊕
e(8δ
⊕
e(9δ
⊕
x
⊕
θ)
⊕
β)
⊕
θ
⊕
...
⊕
c[d])作为输出，其中α为常数c[2],β为常数c[4]。
[0025]
优选地，所述获得量子叠加的过程如下：
[0026]
准备一个2n位量子态表示有n个0态，应用hadamard变换到前n个量子位，获得量子叠加所述第一状态为
[0027]
x是由0或1组成的n位字符串。
[0028]
优选地，所述第二状态为：
[0029][0030]
其中z是由0或1组成的n位字符串。x
·
z表示x的第i位和z的第i位依次相乘，最后相加。
[0031]
优选地，所述伪造密文c'＝c1.⊕
s||c[2]||c[3]
⊕
s||c[4]||...||c[d]，其中s是求得的周期。
[0032]
优选地，一种设备，包括：
[0033]
一个或多个处理器；
[0034]
存储器，用于存储一个或多个程序；
[0035]
当一个或多个所述程序被一个或多个所述处理器执行，使得一个或多个所述处理器实现如上所述的针对otr结构的量子伪造攻击方法。
[0036]
优选地，一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的针对otr结构的量子伪造攻击方法
[0037]
本发明的有益效果：
[0038]
本发明满足了量子环境中针对otr结构的量子伪造攻击方案的需求，以及满足对分组密码工作模式进行量子伪造攻击的目的；与经典攻击相比，能够通过量子力学机制降低查询复杂度，提高成功概m率。
附图说明
[0039]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图；
[0040]
图1是本发明除去最后一组明文的otr加密过程示意图；
[0041]
图2是本发明最后一组明文的加密过程以及otr的标签生成过程示意图。
具体实施方式
[0042]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0043]
如图1所示，针对otr结构的量子伪造攻击方法，包括以下步骤：
[0044]
设定明文分块规则，利用明文块计算标签生成公式；
[0045]
将明文块加密为密文，将密文代入标签生成公式内，并且根据代入密文后的标签生成公式来生成函数；
[0046]
设定2n位量子态，应用哈德玛门hadamard变换2n位量子态前n个量子位，获得量子叠加；
[0047]
将量子叠加代入生成的函数内，得到第一状态，对前n个量子位进行hadamard变换，得到第二状态；
[0048]
对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得周期；
[0049]
根据获得的周期伪造密文。
[0050]
需要进一步进行说明的是，在具体实施过程中，假设关联数据为空字符串(即ta＝0)，发送者发送密文c和认证标签t(te＝te
⊕
ta)给接收者，此时攻击者截获了密文和认证标签t，并将密文分块(每块长度为n，用连接符连接)，即c＝c[1]||c[2]||c[3]||c[4]||...||c[d](其中d》4)。攻击者想要伪造密文c'，使其能通过接收者的检验而不被发觉(即通过伪造密文c'计算出的认证标签t'＝t)。
[0051]
解密公式为m[2i-1]＝e(l
⊕
δ
⊕
c[2i-1]
⊕
c[2i])，m[2i]＝e(l
⊕
m[2i-1])
⊕
c[2i-1]。
[0052]
需要进行说明的是，假设块数d＝5，关联数据为空字符串，已知截获密文c＝c[1]||c[2]||c[3]||c[4]||c[5]和标签t。攻击者想要伪造密文c'，具体的过程如下：
[0053]
计算标签生成公式te：te＝e(3l
*
⊕
δ
⊕
m[2]
⊕
m[4]
⊕
e(16δ)
⊕
c[5])。
[0054]
将明文m[2]用密文表示：m[2]＝e(4δ
⊕
e(5δ
⊕
c[1])
⊕
c[2])
⊕
c[1]。
[0055]
将明文m[4]用密文表示：m[4]＝e(8δ
⊕
e(9δ
⊕
c[3])
⊕
c[4])
⊕
c[3]。
[0056]
将标签生成公式te用密文表示：te＝e(3l
*
⊕
δ
⊕
e(4δ
⊕
e(5δ
⊕
c[1])
⊕
c[2])
⊕
c1.⊕
e(8δ
⊕
e(9δ
⊕
c[3])
⊕
c[4])
⊕
c[3]
⊕
e(16δ)
⊕
c[5])。
[0057]
令θ＝c1.⊕
c[3]，且c[2],c[4]分别为常数α,β。构造以下函数：f:{0,1}n→
{0,1}n[0058]
x
→
tag_otr(x||x
⊕
σ,α||β)
[0059]
＝e(3l
*
⊕
δ
⊕
e(4δ
⊕
e(5δ
⊕
x)
⊕
α)
⊕
e(8δ
⊕
e(9δ
⊕
x
⊕
θ)
⊕
[0060]
准备一个2n位量子态应用hadamard变换到前n个量子位，获得量子叠加
[0061]
将量子叠加输入到步骤四中的函数f，得到状态
[0062]
对前n个量子位进行hadamard变换得到
[0063][0064]
对所有量子位进行测量，测得的状态|z》与周期s的内积为0，在这个量子电路上进行多次试验，得到n个不同的状态|z》，利用高斯消元法获得周期s＝13δ
⊕
θ,使得f(x)＝f(x
⊕
s)。
[0065]
根据获得的周期s＝13δ
⊕
θ伪造密文c'＝13δ
⊕
c[3]||12δ
⊕
c[4]||13δ
⊕
c[1]||12δ
⊕
c[2]||
…
||c[d]。
[0066]
基于同一种发明构思，本发明还提供一种计算机设备，该计算机设备包括包括：一个或多个处理器，以及存储器，用于存储一个或多个计算机程序；程序包括程序指令，处理器用于执行存储器存储的程序指令。处理器可能是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor、dsp)、专用集成电路(application specificintegrated circuit，asic)、现场可编程门阵列(field-programmable gatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其是终端的计算核心以及控制核心，其用于实现一条或一条以上指令，具体用于加载并执行计算机存储介质内一条或一条以上指令从而实现上述方法。
[0067]
需要进一步进行说明的是，基于同一种发明构思，本发明还提供一种计算机存储介质，该存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述方法。该存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电、磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0068]
在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0069]
以上显示和描述了本公开的基本原理、主要特征和本公开的优点。本行业的技术人员应该了解，本公开不受上述实施例的限制，上述实施例和说明书中描述的只是说明本公开的原理，在不脱离本公开精神和范围的前提下，本公开还会有各种变化和改进，这些变化和改进都落入要求保护的本公开范围内容。

技术特征：
1.针对otr结构的量子伪造攻击方法，其特征在于，方法包括以下步骤：设定明文分块规则，利用明文块计算标签生成公式；将明文块加密为密文，将密文代入标签生成公式内，并且根据代入密文后的标签生成公式来生成函数；设定2n位量子态，应用哈德玛门hadamard变换2n位量子态前n个量子位，获得量子叠加；将量子叠加代入生成的函数内，得到第一状态，对前n个量子位进行hadamard变换，得到第二状态；对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得周期；根据获得的周期伪造密文。2.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述明文分块规则为：m＝m[1]||m[2]||m[3]||m[4]||...||m[d]；m代表明文串，m[d]代表第d个明文块。3.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述标签生成公式为：式中，e代表加密算法，l*代表秘密参数，δ代表e加密随机数后的数，δ＝e(n)，n为随机数。4.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述将密文代入标签生成公式内后为：c[i]代表第i块密文，l＝4δ
。
5.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述函数的生成过程如下：选择x，α,β作为输入，并根据标签生成公式构造函数f：α,β作为输入，并根据标签生成公式构造函数f：作为输出，其中α为常数c[2],β为常数c[4]。6.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述获得量子叠加的过程如下：准备一个2n位量子态表示有n个0态，应用hadamard变换到前n个量子位，获得量子叠加所述第一状态为x是由0或1组成的n位字符串。
7.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述第二状态为：其中z是由0或1组成的n位字符串，x
·
z表示x的第i位和z的第i位依次相乘，最后相加。8.根据权利要求1所述的针对otr结构的量子伪造攻击方法，其特征在于，所述伪造密文其中s是求得的周期。9.一种设备，其特征在于，包括：一个或多个处理器；存储器，用于存储一个或多个程序；当一个或多个所述程序被一个或多个所述处理器执行，使得一个或多个所述处理器实现如权利要求1-8中任一所述的针对otr结构的量子伪造攻击方法。10.一种包含计算机可执行指令的存储介质，其特征在于，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-8中任一所述的针对otr结构的量子伪造攻击方法。

技术总结
本发明公开了针对OTR结构的量子伪造攻击方法、设备及存储介质，涉及量子计算和量子安全技术领域，包括以下步骤：设定明文分块规则，利用明文块计算标签生成公式；将明文块加密为密文，将密文代入标签生成公式内，并且根据代入密文后的标签生成公式来生成函数；设定2n位量子态，应用Hadamard变换2n位量子态前n个量子位，获得量子叠加；将量子叠加代入生成的函数内，得到第一状态，对前n个量子位进行Hadamard变换，得到第二状态；对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得周期；根据获得的周期伪造密文。的周期伪造密文。的周期伪造密文。


技术研发人员：刘文杰 王梦婷 李子贤
受保护的技术使用者：南京信息工程大学
技术研发日：2023.02.14
技术公布日：2023/8/14