Quantum-Secure Message Authentication Codes Dan Boneh and - PowerPoint PPT Presentation

Quantum-­‑Secure ¡Message ¡ Authentication ¡Codes ¡ Dan ¡Boneh ¡and ¡Mark ¡Zhandry ¡– ¡Stanford ¡University ¡ 1/19 ¡

Classical ¡Chosen ¡Message ¡Attack ¡ (CMA) ¡ m i σ i = S ( k, m i ) Secret ¡key ¡k ¡ 2/19 ¡

Post-­‑Quantum ¡CMA ¡ Adversary ¡has ¡ quantum ¡compu@ng ¡power: ¡ ¡ ¡ m i ¡ σ i = S ( k, m i ) ¡ ¡ Secret ¡key ¡k ¡ ¡ Interac@ons ¡remain ¡ classical ¡ ¡ ¡ ¡ 3/19 ¡ ⇒ ¡ ¡ ¡security ¡models ¡ unchanged ¡ ¡

Quantum ¡CMA ¡ Everyone ¡is ¡quantum ¡ ¡ ¡ ¡ ⇒ ¡ ¡ ¡ ¡ ¡ quantum ¡queries ¡ ¡ ¡ P m α m | m i ¡ P m α m | m, S ( k, m ) i ¡ ¡ Secret ¡key ¡k ¡ ¡ Quantum ¡interac@ons ¡ ¡ ¡ ⇒ ¡ ¡ ¡ new ¡security ¡models ¡ 4/19 ¡ Extends ¡[BDFLSZ’11, ¡DFNS’11, ¡Zha’12a, ¡Zha’12b] ¡

An ¡Emerging ¡Field ¡ Many ¡classical ¡security ¡games ¡have ¡quantum ¡analogs: ¡ • Quantum ¡secret ¡sharing, ¡zero ¡knowledge ¡ [DFNS’11] ¡ • Quantum-­‑secure ¡PRFs ¡ [Zha’12b] ¡ • Quantum ¡CMA ¡for ¡signatures, ¡quantum ¡CCA ¡ [BZ’13b] ¡ • Quantum-­‑secure ¡non-­‑malleable ¡commitments ¡??? ¡ • Quantum-­‑secure ¡IBE, ¡ABE, ¡FE ¡??? ¡ • Quantum-­‑secure ¡iden@fica@on ¡protocols ¡??? ¡ 5/19 ¡

Motivation ¡ Hardware ¡Alterna5ve: ¡ Leakage ¡Analog: ¡ ¡ ¡ ¡“Classicalize” ¡queries ¡by ¡ ¡ ¡ ¡ ¡observing ¡them ¡ ¡ ¡ ¡ ⇒ ¡ m ¡ ¡ X ¡ ¡ ¡ ¡ ¡ Hardware ¡designer ¡– ¡ensure ¡ Hardware ¡designer ¡– ¡ensure ¡ nobody ¡can ¡bypass ¡ ¡ no ¡side-­‑channels ¡ So:ware ¡Alterna5ve: ¡ So:ware ¡Alterna5ve: ¡ ¡ ¡ ¡Quantum-­‑secure ¡crypto ¡ ¡ ¡ ¡Leakage-­‑resilient ¡crypto ¡ ¡ ¡ 6/19 ¡ Hardware ¡designer ¡not ¡worried ¡ Hardware ¡designer ¡not ¡worried ¡

Quantum ¡MAC ¡Security: ¡DeAinitions ¡ P m α m | m i P m α m | m, S ( k, m ) i q ¡queries ¡ Secret ¡key ¡k ¡ { ( m ∗ 1 ) , ..., ( m ∗ q +1 ) } 1 , σ ∗ q +1 , σ ∗ Existen@al ¡forgery: ¡ ¡ q ¡quantum ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ q+1 ¡(dis5nct) ¡tags ¡ 7/19 ¡

Building ¡Quantum-­‑Secure ¡MACs ¡ First ¡aaempt: ¡do ¡classical ¡construc@ons ¡work? ¡ ¡ Example: ¡ 1-­‑5me ¡ MAC ¡from ¡pairwise ¡independence ¡ ¡ ¡ h k ( m ) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡pairwise ¡independent ¡ S ( k, m ) = h k ( m ) ¡ e.g. ¡ ¡ h k ( m ) = k 1 m + k 2 mod p ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ One ¡quantum ¡query ¡ ¡ ¡ ⇒ ¡ ¡ ¡ two ¡tags??? ¡ 8/19 ¡ ¡

Quantum ¡Polynomial ¡Interpolation ¡ P x α x | x i P x α x | x, F ( x ) i F ( x ) = a 0 + · · · + a d x d Theorem: ¡d ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡a 0 , ¡…, ¡a d ¡ ¡w.h.p ¡ ( a 0 , · · · , a d ) Classically, ¡need ¡d+1 ¡queries ¡ Best ¡known ¡lower ¡bound: ¡(d+1)/2 ¡queries ¡ Example: ¡1 ¡quantum ¡query ¡to ¡h k (m) ¡= ¡k 1 ¡m ¡+ ¡k 0 ¡mod ¡p ¡ ¡ ¡ ¡ ⇒ ¡ ¡ ¡ ¡k 0 , ¡k 1 ¡ 9/19 ¡ à ¡ ¡Pairwise ¡independence ¡is ¡ insecure ¡for ¡one-­‑@me ¡MAC ¡ ¡ ¡ à ¡ ¡Carter ¡Wegman ¡(CW) ¡is ¡ insecure ¡under ¡quantum ¡CMA ¡ ¡

Secure ¡1-­‑Time ¡MACs ¡ ¡ Theorem: ¡ Any ¡ 4-­‑wise ¡ independent ¡func@on ¡ ¡ is ¡a ¡quantum ¡secure ¡one-­‑@me ¡MAC ¡ ¡ ¡ 2-­‑wise ¡independence: ¡ ¡ ¡ ¡ insecure ¡ 3-­‑wise ¡independence: ¡ ¡ ¡ ¡ ??? ¡ 4-­‑wise ¡independence: ¡ ¡ ¡ ¡ secure ¡ ¡ Can ¡also ¡make ¡CW ¡secure ¡with ¡pairwise ¡independence ¡ ¡ 10/19 ¡

Quantum-­‑Secure ¡MACs ¡from ¡PRFs ¡ Classical ¡construc@on: ¡ ¡ S( ¡k ¡, ¡m ¡) ¡ ¡ ¡ ¡ ¡= ¡ ¡ ¡PRF( ¡k ¡, ¡m ¡) ¡ ¡ ¡ V( ¡k ¡, ¡m ¡, ¡σ ¡) ¡ ¡ ¡ ¡= ¡ ¡ ¡Check: ¡ ¡PRF( ¡k ¡, ¡m ¡) ¡ ¡== ¡ ¡σ ¡ ¡ ¡ Classical ¡CMA: ¡ ¡ ¡ secure ¡ ¡ Quantum ¡CMA: ¡ ¡ ¡ ??? ¡ ¡ 11/19 ¡

Quantum-­‑Secure ¡MACs ¡from ¡PRFs ¡ P m α m | m i Secret ¡key ¡k ¡ P m α m | m, PRF ( k, m ) i q ¡queries ¡ { ( m ∗ 1 ) , ..., ( m ∗ q +1 ) } 1 , σ ∗ q +1 , σ ∗ Existen@al ¡forgery: ¡ ¡ q ¡quantum ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ q+1 ¡(dis5nct) ¡points ¡ of ¡PRF 12/19 ¡ ¡ ¡

Quantum-­‑Secure ¡PRFs ¡ [Zha’12b] ¡ Main ¡tool ¡for ¡building ¡MACs: ¡ P x α x | x i Random ¡key ¡ k ? ¡? ¡ ? ¡ ¡ P x α x | x, F ( x ) i F ( x ) ≡ PRF ( k, x ) ¡ ¡ vs. ¡ P x α x | x i Random ¡func@on ¡ F P x α x | x, F ( x ) i from ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡to ¡ ¡ Y X 13/19 ¡

Quantum ¡Oracle ¡Interrogation ¡ P m α m | m i Random ¡func@on ¡ F P m α m | m, F ( m ) i from ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡to ¡ ¡ X { 0 , 1 } n q ¡queries ¡ { ( m ∗ 1 ) , ..., ( m ∗ q +1 ) } 1 , σ ∗ q +1 , σ ∗ ¡ ¡ Hypothe@cal ¡MAC ¡forger: ¡ q ¡quantum ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ q+1 ¡(dis5nct) ¡points ¡ of ¡F ¡ 14/19 ¡ ¡ Ques@on: ¡ Is ¡this ¡hard? ¡ ¡

Quantum ¡Oracle ¡Interrogation ¡ 1 Classically: ¡hard ¡ ¡Adv[ q+1 ¡points ]: ¡ 2 n ¡ Quantum: ¡ not ¡so ¡fast ¡ ¡ ¡ ¡[vD’98]: ¡random ¡func@on ¡F: ¡X ¡ à ¡{0,1} ¡ ¡ ¡ q ¡quantum ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ 1.9q ¡points ¡ w.h.p. ¡ ¡ ¡ ¡ ¡Also ¡true ¡for ¡small ¡range ¡size: ¡ ¡ex: ¡random ¡func@on ¡F: ¡X ¡ à ¡{0,1} 2 ¡ ¡ ¡ q ¡quantum ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ 1.3q ¡points ¡ w.h.p. ¡ 15/19 ¡ Ques@on: ¡ What ¡about ¡large ¡range ¡size? ¡

Quantum ¡Oracle ¡Interrogation ¡ Theorem: ¡Random ¡func@on ¡F: ¡X ¡ à ¡{0,1} n ¡ q + 1 ¡ ¡ ¡ ¡ ¡ ¡ ¡Adv[ q ¡queries ¡ ¡ ¡ ⇒ ¡ ¡ ¡ q+1 ¡points ] ¡≤ ¡ ¡ 2 n Highly ¡non-­‑trivial ¡ New ¡quantum ¡impossibility ¡tool: ¡The ¡ Rank ¡Method ¡ ¡ Therefore: ¡ • Small ¡range: ¡ ¡Adv[ q+1 ¡points ] ¡large ¡ ¡ 16/19 ¡ • Large ¡range: ¡ ¡Adv[ q+1 ¡points ] ¡small ¡

The ¡Rank ¡Method ¡ Rank : ¡new ¡quan@ty ¡for ¡quantum ¡oracle ¡algorithms ¡ • Measure ¡of ¡informa@on ¡learned ¡by ¡algorithm ¡ Adv[ q ¡queries ¡ ⇒ ¡ q+1 ¡points ] ¡ ¡ ¡ ¡≤ ¡ Rank [ q ¡queries ] ¡× ¡Adv[ 0 ¡queries ¡ ⇒ ¡ q+1 ¡points ] ¡ ¡ 1 Adv[ 0 ¡queries ¡ ⇒ ¡ q+1 ¡points ] ¡≤ ¡ ¡ 2 n ( q +1) Rank [ q ¡queries ] ¡≤ ¡ ¡ ( q + 1)2 nq 17/19 ¡ q + 1 Adv[ q ¡queries ¡ ⇒ ¡ q+1 ¡points ] ¡≤ ¡ ¡ 2 n

Back ¡to ¡MAC ¡Security ¡ Classical ¡CMA: ¡ ¡ ¡ ¡ 1 ¡ ¡ ¡secure ¡PRF ¡ ¡ ¡ ⇒ ¡ ¡ ¡ secure ¡MAC ¡ ¡ ¡ ¡ ¡(Adv: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ 2 n ¡ Quantum ¡CMA: ¡ ¡ ¡ ¡ ¡ ¡ ¡quantum-­‑secure ¡PRF ¡ ¡ ¡ ⇒ ¡ ¡ ¡ quantum-­‑secure ¡MAC ¡ ¡ ¡ ¡ q + 1 ¡ ¡ ¡ ¡ ¡ ¡(Adv: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ 2 n ¡ Both ¡cases: ¡ 18/19 ¡ ¡ ¡ ¡MAC ¡size ¡super-­‑logarithmic ¡ ¡ ¡ ⇒ ¡ ¡ ¡ MAC ¡is ¡secure ¡

Summary ¡& ¡Open ¡Problems ¡ Quantum ¡security ¡stronger ¡than ¡classical ¡security ¡ • Pairwise ¡independent ¡func@ons: ¡ ¡ ¡ 1-­‑5me ¡insecure ¡ • Classical ¡Carter-­‑Wegman: ¡ ¡ ¡ insecure ¡ ¡ MACs ¡secure ¡against ¡quantum ¡CMA: ¡ • quantum-­‑secure ¡PRF ¡ ¡ ¡ ¡ ⇒ ¡ ¡ ¡ ¡ quantum-­‑secure ¡MAC ¡ • 4-­‑wise ¡independent ¡hash ¡ ¡ ¡ ¡ ⇒ ¡ ¡ ¡ 1-­‑5me ¡MAC ¡ • Efficient ¡“Quantum ¡Carter ¡Wegman” ¡ ¡ Open ¡Problem: ¡ 19/19 ¡ • CBC-­‑MAC, ¡PMAC, ¡NMAC ¡ ¡ ¡ ¡ quantum ¡secure? ¡ Thanks! ¡