NewHope

Im Bereich der Post-Quanten-Kryptographie ist NewHope ein Schlüsselaustauschprotokoll, das von Erdem Alkim, Léo Ducas, Thomas Pöppelmann und Peter Schwabe entwickelt wurde. Es wurde entworfen um Angriffen mittels Quantencomputern zu widerstehen.^[1][2]

NewHope basiert auf dem mathematischen Problem des Ring Learning with Errors (RLWE) von dem angenommen wird, dass es nur sehr aufwändig zu lösen ist. Es wurde als Teilnehmer für die zweite Runde im NIST Post-Quantum Cryptography Standardization-Wettbewerb ausgewählt,^[3] und in Googles CECPQ1 Experiment als quantensicherer Algorithmus zusammen mit dem klassischen X25519 Algorithmus verwendet.^[4][5]

Die Autoren von NewHope haben bei der Entwicklung des Algorithmus mehrere Entwurfsentscheidungen getroffen:

• Binomial-Stichprobe: Obwohl eine Stichprobe einer hochwertigen diskreten Gauss-Verteilung bei Post-Quanten-gitterbasierten kompakten Signaturverfahren wie Falcon (GPV-artiges Hash-and-Sign-Paradigma) und BLISS (GLP-artiges Fiat–Shamir-Paradigma) wichtig ist, um zu verhindern, dass die Signatur Informationen über den privaten Schlüssel preisgibt, ist es ansonsten für das Schlüsselaustauschverfahren nicht so wichtig. Der Autor entschied sich für eine Stichprobe von Fehlervektoren aus der Binomialverteilung.
• Fehlerabgleich: Was NewHope von seinen Vorgängern unterscheidet ist die Methode für den Fehlerabgleich. Frühere Ring Learning with Error Key Exchange korrigieren Fehler jeweils um einen Koeffizienten nach dem anderen, wogegen NewHope Fehler um 2 oder 4 Koeffizienten auf einmal basierend auf hochdimensionaler Geometrie korrigiert. Dies ermöglicht eine geringere Fehlerquote bei der Entschlüsselung und eine höhere Sicherheit.
• Basisvektorgenerierung: Die Autoren von NewHope schlugen vor den Basis-„Generator“-Vektor (gemeinhin als A oder ${\displaystyle a}$ bezeichnet) aus der Ausgabe der XOF-Funktion SHAKE-128 abzuleiten um zu verhindern, dass „Hintertür“-Werte verwendet werden können, wie das beim traditionellen Diffie–Hellman über einen Logjam-Angriff geschehen kann.
• Sicherheitsebenen: In den frühen Versionen der Abhandlung die NewHope beschrieben, schlugen die Autoren vor, ein Polynom mit 1024 Graden für eine 128-Bit-„Post-Quanten“-Sicherheitsstufe und ein Polynom mit 512 Graden als „Spielzeug“-Instanz für Kryptanalyse-Wettbewerbe vor.^[6] In der beim NIST eingereichten Version wird die 512-Grade-Version als auf einem Sicherheitsstufe mit „klassischer“ 128-Bit Verschlüsselung stehend kategorisiert.

• CECPQ2
• Kryptographie
• gitterbasierte Kryptographie
• Quantenkryptographie

1. ↑ NewHope Post-quantum key encapsulation. Abgerufen im 1. Januar 1 (englisch). 
2. ↑ Chrome: Stop future computers from cracking current encryption. CNET; abgerufen im 1. Januar 1 (englisch). 
3. ↑ Information Technology Laboratory Computer Security Division: Round 2 Submissions - Post-Quantum Cryptography - CSRC. In: Csrc.nist.gov. 3. Januar 2017, abgerufen am 14. November 2019 (englisch). 
4. ↑ Experimenting with Post-Quantum Cryptography. In: security.googleblog.com. 7. Juli 2016, abgerufen am 14. November 2019 (englisch). 
5. ↑ CECPQ1 results (28 Nov 2016). Adam Langley, security officer at Google; abgerufen im 1. Januar 1 (englisch). 
6. ↑ Post-quantum key exchange - a new hope. In: eprint.iacr.org. 10. November 2016, abgerufen am 14. November 2019 (englisch). 

• Reference implementation