Page 17 - My FlipBook
P. 17
Brochure 2020
同時,楊團隊也研究其他的後量子密碼系統的設計、實 resilient Cryptography 與 Tampering-resilient Cryptography
作和攻擊。他們曾在幾個公開的晶格密碼系統分析的競 領域,以及在分析使用隨機預言機 (Random Oracle) 的構
賽中名列前茅。在其他的密碼系統中也可以看到他的影 造的安全性時,可能為壞人帶來優勢。 從理論的角度,
響。他最近的一個研究是如何高速且定常時間的計算最 了解這些優勢對安全性的影響,以及如何證明安全性是
高公因式 ( 數 ) 和模乘法反元素,這在 NTRU 及相關的密 重要的研究課題。這樣的理論研究也會對實務上決定後
碼系統的金鑰生成上非常重要。 量子密碼系統的安全參數產生影響。在此研究方向我們
的研究集中在探討具有量子信息壞人,發展對此證明安
量子為壞人帶來的能力其實不僅限於量子計算,還有如 全性的技術。我們也探討量子隨機預言模型下的安全性。
處 理 量 子 信 息, 利 用 量 子 糾 纏, 與 進 行 量 子 疊 加 的 操
作 等, 這 些 能 力 在 不 同 的 密 碼 學 領 域, 如 在 Leakage-
量子密碼學
相對於後量子密碼學探討古典密碼系統如何抵禦量子 第 一 項 是 關 於 設 備 無 關 密 碼 學, 其 目 的 是 設 計 協 定
(Protocol) 讓 古 典 的 好 人 能 安 全 地 利 用 不 可 信 任 的 量
壞 人, 量 子 密 碼 學 廣 泛 地 探 討 當 好 人 也 具 備 量 子 能 力 子 設 備。 我 們 的 研 究 工 作 提 出 了 一 個 基 於 最 少 假 設 的
時 能 實 現 的 密 碼 學 任 務。 如 量 子 密 鑰 分 發 (Quantum 設 備 無 關 亂 數 增 強 (Device-independent Randomness
Key Distribution; QKD) 可 以 實 現 具 資 訊 理 論 安 全 性 Ampli cation; DI-RA) 協定。具體來說,我們的協定能只
(Information-theoretic Security) 的 安 全 通 訊 (Secure 利用一個具足夠亂度 (Su cient Min-entropy) 的弱亂數源
Communication),這在古典密碼學 ( 好人不具備量子能 (Weak Random Source),在不需要其他結構上的假設下可
力時 ) 可被證明是不可能實現的。又例如當未來資料也 驗證的產生純隨機數 (Truly Random Bits)。其他已知協定
變成量子資料時,我們如何對量子資料進行加密,能否 均需要使用具一定結構的 Santha-Vazirani 亂數源與特定
像對古典資料一樣,對加密後的量子資料進行運算,也 的條件獨立性假設。此研究結果在基礎物理學上也有應
是量子密碼學探討的重要問題。儘管這樣的研究可能在 用:我們的協定可被解讀為一個關於物理世界具隨機性
可見的將來無法實用化,量子密碼學是令人興奮的跨領 或確定性的二分定理 (Dichotomy Theorem):只要物理世
域 的 學 科, 需 要 結 合 密 碼 學、 量 子 物 理、 複 雜 度 理 論 界不是確定性的,就可驗證的存在完全隨機無法預測的
(Complexity Theory) 與 資 訊 理 論 (Information Theory) 等 事件,因此排除了「弱隨機世界」的可能。
領域的最近技術來研究。量子密碼學也提供了豐富的情
境與研究課題,往往能協助發展新的技術與深入的觀察, 我們近期的研究工作發展並利用量子密碼學的技術來研
反過來推動這些領域的研究。
究「 低 量 子 深 度 的 經 典 量 子 混 合 計 算 模 型 」 的 計 算 能
鐘 楷 閔 研 究 員 是 理 論 學 家, 從 事( 後 ) 量 子 密 碼 學 的 力,並回答 Scott Aaronson 與 Richard Jozsa 過去提出的
理 論 研 究 近 十 年。 他 曾 在 各 主 要 國 際 密 碼 學 會 議, 如 猜想。在可見的未來量子電腦的能力可能會被侷限在低
CRYPTO,Eurocrypt,Asiacrypt,QCrypt 與 TCC 擔 任 議 深度的量子計算,因此此類混合計算模型可以說是短期
程 委 員 會 (Program Committee) 委 員。 除 上 述 關 於 後 內利用量子電腦所能取得的計算能力。Jozsa 於 2006 年
量 子 密 碼 學 的 理 論 課 題 外, 他 也 研 究 了 量 子 密 碼 學 中 提出一個猜想,認為所有多項式時間 (Polynomial-time)
的 多 個 課 題, 如 設 備 無 關 密 碼 學 (Device-independent 的量子計算都可以在一種基於所謂 Measurement-based
Cryptography)、 安 全 多 方 量 子 計 算 (Secure Multipart Computation 所定義的混合計算模型下被模擬。但另一
Quantum Computation) 與 古 典 委 託 量 子 計 算 (Classical 方面,Aaronson 持不同立場,猜想 BQP 與另一種自然的
Delegation of Quantum Computation) 等,並利用量子密 混合計算模型之間應該存在所謂的 Oracle Separation。我
碼學中的技術來回答量子複雜度理論中的猜想。底下重 們利用量子密碼學的技術證明了 BQP 與這兩種混合計算
點介紹其中兩項研究工作。 模型之間的 Oracle Separation,證明了 Aaronson 的猜想,
也表示 Jozsa 的猜想相對於 Oracle 並不成立。
15
同時,楊團隊也研究其他的後量子密碼系統的設計、實 resilient Cryptography 與 Tampering-resilient Cryptography
作和攻擊。他們曾在幾個公開的晶格密碼系統分析的競 領域,以及在分析使用隨機預言機 (Random Oracle) 的構
賽中名列前茅。在其他的密碼系統中也可以看到他的影 造的安全性時,可能為壞人帶來優勢。 從理論的角度,
響。他最近的一個研究是如何高速且定常時間的計算最 了解這些優勢對安全性的影響,以及如何證明安全性是
高公因式 ( 數 ) 和模乘法反元素,這在 NTRU 及相關的密 重要的研究課題。這樣的理論研究也會對實務上決定後
碼系統的金鑰生成上非常重要。 量子密碼系統的安全參數產生影響。在此研究方向我們
的研究集中在探討具有量子信息壞人,發展對此證明安
量子為壞人帶來的能力其實不僅限於量子計算,還有如 全性的技術。我們也探討量子隨機預言模型下的安全性。
處 理 量 子 信 息, 利 用 量 子 糾 纏, 與 進 行 量 子 疊 加 的 操
作 等, 這 些 能 力 在 不 同 的 密 碼 學 領 域, 如 在 Leakage-
量子密碼學
相對於後量子密碼學探討古典密碼系統如何抵禦量子 第 一 項 是 關 於 設 備 無 關 密 碼 學, 其 目 的 是 設 計 協 定
(Protocol) 讓 古 典 的 好 人 能 安 全 地 利 用 不 可 信 任 的 量
壞 人, 量 子 密 碼 學 廣 泛 地 探 討 當 好 人 也 具 備 量 子 能 力 子 設 備。 我 們 的 研 究 工 作 提 出 了 一 個 基 於 最 少 假 設 的
時 能 實 現 的 密 碼 學 任 務。 如 量 子 密 鑰 分 發 (Quantum 設 備 無 關 亂 數 增 強 (Device-independent Randomness
Key Distribution; QKD) 可 以 實 現 具 資 訊 理 論 安 全 性 Ampli cation; DI-RA) 協定。具體來說,我們的協定能只
(Information-theoretic Security) 的 安 全 通 訊 (Secure 利用一個具足夠亂度 (Su cient Min-entropy) 的弱亂數源
Communication),這在古典密碼學 ( 好人不具備量子能 (Weak Random Source),在不需要其他結構上的假設下可
力時 ) 可被證明是不可能實現的。又例如當未來資料也 驗證的產生純隨機數 (Truly Random Bits)。其他已知協定
變成量子資料時,我們如何對量子資料進行加密,能否 均需要使用具一定結構的 Santha-Vazirani 亂數源與特定
像對古典資料一樣,對加密後的量子資料進行運算,也 的條件獨立性假設。此研究結果在基礎物理學上也有應
是量子密碼學探討的重要問題。儘管這樣的研究可能在 用:我們的協定可被解讀為一個關於物理世界具隨機性
可見的將來無法實用化,量子密碼學是令人興奮的跨領 或確定性的二分定理 (Dichotomy Theorem):只要物理世
域 的 學 科, 需 要 結 合 密 碼 學、 量 子 物 理、 複 雜 度 理 論 界不是確定性的,就可驗證的存在完全隨機無法預測的
(Complexity Theory) 與 資 訊 理 論 (Information Theory) 等 事件,因此排除了「弱隨機世界」的可能。
領域的最近技術來研究。量子密碼學也提供了豐富的情
境與研究課題,往往能協助發展新的技術與深入的觀察, 我們近期的研究工作發展並利用量子密碼學的技術來研
反過來推動這些領域的研究。
究「 低 量 子 深 度 的 經 典 量 子 混 合 計 算 模 型 」 的 計 算 能
鐘 楷 閔 研 究 員 是 理 論 學 家, 從 事( 後 ) 量 子 密 碼 學 的 力,並回答 Scott Aaronson 與 Richard Jozsa 過去提出的
理 論 研 究 近 十 年。 他 曾 在 各 主 要 國 際 密 碼 學 會 議, 如 猜想。在可見的未來量子電腦的能力可能會被侷限在低
CRYPTO,Eurocrypt,Asiacrypt,QCrypt 與 TCC 擔 任 議 深度的量子計算,因此此類混合計算模型可以說是短期
程 委 員 會 (Program Committee) 委 員。 除 上 述 關 於 後 內利用量子電腦所能取得的計算能力。Jozsa 於 2006 年
量 子 密 碼 學 的 理 論 課 題 外, 他 也 研 究 了 量 子 密 碼 學 中 提出一個猜想,認為所有多項式時間 (Polynomial-time)
的 多 個 課 題, 如 設 備 無 關 密 碼 學 (Device-independent 的量子計算都可以在一種基於所謂 Measurement-based
Cryptography)、 安 全 多 方 量 子 計 算 (Secure Multipart Computation 所定義的混合計算模型下被模擬。但另一
Quantum Computation) 與 古 典 委 託 量 子 計 算 (Classical 方面,Aaronson 持不同立場,猜想 BQP 與另一種自然的
Delegation of Quantum Computation) 等,並利用量子密 混合計算模型之間應該存在所謂的 Oracle Separation。我
碼學中的技術來回答量子複雜度理論中的猜想。底下重 們利用量子密碼學的技術證明了 BQP 與這兩種混合計算
點介紹其中兩項研究工作。 模型之間的 Oracle Separation,證明了 Aaronson 的猜想,
也表示 Jozsa 的猜想相對於 Oracle 並不成立。
15
