1

Criptograa P s-Qu ntica e Teoria dos C digos o a o

Andr Jucovsky Bianchi e
Departamento de Ci ncia da Computacao e Instituto de Matem tica e Estatstica a Universidade de S o Paulo a ajb@ime.usp.br

ResumoO desenvolvimento te rico e pr tico de siso a temas computacionais qu nticos representa uma ameaca a a sistema criptogr cos cujos problemas computacionala mente difceis associados s o baseados em determinadas a estruturas alg bricas. Sistemas populares como o RSA e e problemas bastante estudados como criptograa baseada em curvas elpticas t m sua seguranca quebrada pelos e algoritmos qu nticos de fatoracao e de logaritmo discreto a de Shor. Este artigo descreve brevemente alguns conceitos fundamentais da criptograa P s-Qu ntica para em o a seguida introduzir os sistemas criptogr cos de McEliece e a Niederreiter, resistentes a ataques baseados na t cnica de e amostragem qu ntica de Fourier, como e o caso do algoa ritmo de Shor. Ao nal, comentamos diversas publicacoes com propostas de melhoria ou extens o destes sistemas a criptogr cos, evidenciando algumas linhas de esutdo da a Criptograa P s-Qu ntica. o a

I. I NTRODUC AO Os avancos dos anos 60 e 70 na area de complexidade computacional trouxeram a possibilidade de basear sistemas criptogr cos em problemas computacionalmente a difceis. Neste contexto, ao longo do desenvolvimento da criptograa moderna foram propostos novos modelos de seguranca utilizando estes problemas como ingredi entes, substituindo assim a ideia de seguranca perfeita pela restricao mais fraca de que seja apenas ineciente extrair informacoes sobre o texto original a partir do texto cifrado sem o conhecimento da chave criptogr ca. a Este relaxamento permitiu o desenvolvimento de diversos sistemas criptogr cos ecientes com chaves substanciala mente menores que nos algoritmos cl ssicos. a Problemas NP-completos, por serem representantes de uma classe de problemas para os quais h forte a evid ncia de intratabilidade, seriam candidatos imediatos e a servirem de base para sistemas criptogr cos, n o a a fosse por alguns detalhes. E frequente encontrar problemas NP-completos cujo caso m dio n o e intrat vel e, e a a frequentemente, a pr pria computacao de inst ncias ino a trat veis e, ela mesma, intrat vel. Desta forma, a atencao a a dos desenvolvedores de criptossistemas se voltou naquele momento para problemas menos difceis por m com e complexidade sucientemente alta, ou seja, problemas cujo c lculo de um caso m dio e eciente, mas para os a e quais encontrar a solucao do caso m dio e supostamente e intrat vel. E este o caso, por exemplo, dos protocolos a

Dife-Hellman para troca de chaves (1976) e RSA (1978) para criptograa de chave p blica, ambos baseados no u problema do logaritmo discreto. Este cen rio mudou bruscamente em 1994 com o ada vento dos algoritmos de Shor para fatoracao e logaritmo discreto em tempo polinomial utilizando um computador qu ntico. A partir da, o desenvolvimento da Computacao a Qu ntica contribuiu em duas direcoes para a criptograa. a Por um lado, a Computacao Qu ntica forneceu ferramen a tal te rico para a caracterizacao da seguranca de novos o sistemas criptogr cos beaseados em Fsica Qu ntica, a a area que podemos chamar de Criptograa Qu ntica. a Por outro lado, a possibilidade de resolver em tempo polinomial (utilizando um computador qu ntico) proa blemas nas quais muitos sistemas criptogr cos atuais a est o baseados motiva o desenvolvimento da criptograa a P s-Qu ntica: aquela criptograa que trata dos sistemas o a que n o s o quebrados com o advento do computador a a qu ntico e seu arsenal de algoritmos, entre eles os de a Shor. Na pr xima secao, apresentaremos uma breve o introducao a criptograa P s-Qu ntica. Em seguida, ap ` o a resentaremos os sistemas criptogr cos de McEliece e a Niederreiter, sugeridos no nal dos anos 70 e provados somente em 2011 serem resistentes a ataques como os que quebram a maioria dos sistemas criptogr cos atuais a supondo a exist ncia de computadores qu nticos grandes e a o suciente. Finalmente, discutiremos algumas propostas de melhorias e aplicacoes destes criptossistemas, contex tualizando seu estudo atual. A. Criptograa P s-Qu ntica o a Em 1994, Peter Shor desenvolveu algoritmos para computar ecientemente a fatoracao em primos e o logaritmo discreto utilizando um computador qu ntico a [12]. Estes algoritmos s o baseados em um processo a chamado Quantum Fourier Sampling (QFS), que consiste em utilizar o paralelismo qu ntico para a computacao a r pida da transformada discreta de Fourier de funcoes a limitadas em Zn e em seguida realizar a medicao dos resultados. Os problemas resolvidos por tais algoritmos s o na a realidade inst ncias de um problema mais geral chamado a

Hidden Subgroup Problem (HSP). O HSP e denido informalmente da seguinte forma: dado um grupo e uma funcao que e constante e distinta em coclasses de algum subgrupo desconhecido, encontre um conjunto de geradores deste subgrupo. Em outras palavras, uma funcao constante e distinta em coclasses de um subgrupo e uma funcao peri dica, e encontrar o subgrupo pode ser o compreendido como encontrar o perodo desta funcao. Desta forma, n o e de surpreender que a utilizacao de a t cnicas baseadas na Transformada de Fourier possam e ajudar a resolver este problema. De fato, quando o grupo ` subjacente e nito e abeliano, a t cnica QFS leva a e solucao do HSP. Assim, h evid ncia suciente para supor que proa e blemas computacionalmente difceis baseados em grupos abelianos podem ser resolvido por inst ncias adaptadas a do algoritmo de Shor utilizando as t cnicas acima mene cionadas. Ent o, alguns problemas utilizados com basa tante frequ ncia na criptograa moderna s o, na verdade, e a Pr -Qu nticos, pois n o resistem ao advento do come a a putador qu ntico. Exemplos de problemas Pr -Qu nticos a e a s o os j mencionados problemas da fatoracao em primos a a e do logaritmo discreto, al m de outros como curvas e elpticas, homomorsmos alg bricos, entre outros [3]. e Desta forma, a pesquisa para o desenvolvimento da criptograa P s-Qu ntica possui como foco a o a busca por sistemas criptogr cos baseados em problea mas alg bricos construdos sobre grupos n o-abelianos, e a provas de seguranca para estes esquemas e propostas pr ticas com par metros de tamanho razo vel que garana a a tam bons nveis de seguranca. Este artigo trata de sistemas criptogr cos baseados a em c digos corretores de erros, para os quais h provas o a de que n o s o afetados pelas t cnicas baseadas no a a e algoritmo de Shor. Mas, al m destes, h tamb m sistemas e a e para os quais n o se conhece ataques qu nticos, al m a a e de haver evid ncia de que sejam resistem aos ataques e descritos acima, como e o caso de sistemas baseados em reticulados ou em sistemas de equacoes multivariadas quadr ticas. a Este texto tem como objetivo apresentar os principais conceitos envolvidos na criptograa baseada em teoria dos c digos corretores de erros, apresentados pela o primeira vez por McEliece em 1979, e seus desenvolvimentos recentes com o interesse crescente em problemas P s-Qu nticos. Publicado apenas um ano ap s o sistema o a o RSA, a proposta de McEliece para sistemas baseados em teoria dos c digos n o teve tanta atencao quanto o a outros. Por motivos de interesse pr tico e comercial, o a RSA ganhou inicialmente bastante aceitacao e se tornou um dos padr es mais utilizados na criptograa moderna. o Hoje se mostra necess rio revisitar ideias antigas para a recuperar e desenvolver sistemas interessantes que foram deixados para tr s. a

Na pr xima secao, descreveremos brevemente a teoria o envolvida na criptograa baseada em c digos corretores o de erros para em seguida apresentar alguns desenvolvimentos recentes destas ideias. II. C RIPTOSSISTEMAS P OS -Q U ANTICOS BASEADOS EM C ODIGOS CORRETORES DE ERROS Os estudos na area da teoria da informacao, iniciada principalmente por Claude Shannon no nal dos anos 40, permitiram o desenvolvimento da teoria dos c digos, o que consiste principalmente em duas grandes frentes: codicacao da fonte (compress o) e codicacao do canal a (correcao de erros). Richard Hamming foi pioneiro nesta area e em 1950 inventou o primeiro c digo corretor de o erros, chamado de c digo de Hamming (4, 7). Inforo malmente, a ideia e transmitir, junto com a informacao desejada (neste caso 4 bits), uma certa quantidade de informacao redundante (totalizando, neste caso, 7 bits) que permita a recuperacao dos dados originais na even tualidade de serem introduzidos erros ao longo de um canal de comunicacao ruidoso. Quase tr s d cadas depois, muito da teoria b sica dee e a senvolvida para c digos corretores de erros j havia sido o a compilada em forma de livro por McEliece [8], quando este publicou, em 1978, reducoes polinomiais de proble mas NP-completos para problemas simples de c digos o corretores de erros [1]. Assim, com forte evid ncia de e intratabilidade de alguns problemas baseados em teoria dos c digos, abriu-se caminho para a criacao de novos o criptossistemas que mais tarde seriam revisitados por sua caracterstica P s-Qu ntica, ent o desconhecida. o a a A seguir, apresentaremos algumas denicoes b sicas a para a compreens o do uso dos c digos corretores de a o erros para criptograa. Em seguida, apresentaremos os sistemas criptogr cos de chave p blica de McEliece a u e de Niederreiter, variantes de um mesmo tema sobre c digos corretores de erros, e que mais tarde foram o provados serem equivalentes para uma certa escolha adequada de par metros [6]. a A. C digos corretores de erros o Denicao 1. Um (n, k)c digo linear sobre um corpo o nito Fq e um subespaco kdimensional de um espaco linear ndimensional Fn . Dizemos que n e o compri q mento do c digo, e que k e sua dimens o. o a Dependendo da estrutura alg brica do corpo utilizado e para sua construcao, cada c digo possuir uma determi o a nada capacidade de correcao de erros. Para ter uma ideia mais clara do processo de correcao de erros, introduzi mos mais duas denicoes para em seguida complementar com um exemplo. Denicao 2. Seja C um (n, k)c digo linear sobre o Fq . Uma matriz G cujo espaco gerado pelas linhas

seja igual a C e chamada de matriz geradora de C. Reciprocamente, se G e uma matriz com valores em Fq , o espaco gerado por suas linhas e chamado de c digo o gerado por G. Denicao 3. Uma palavra de c digo de um o (n, k)c digo linear C e um vetor ndimensional o pertencente a C. Exemplo 1. Seja C1 um seguinte matriz geradora: 1 0 0 1 G1 = 0 0 0 0 (7, 4) c digo linear com a o 0 0 1 0 0 0 0 1 0 1 1 1 1 0 1 1 1 1 0 1

e enviada, ent o a palavra recebida y = (y1 , . . . , yn ) a tamb m pertence a Fn . A diferenca z = y x e chamada e q de padr o de erros introduzido pelo canal na transmiss o a a da mensagem, de forma que se zi = 0 ent o dizemos que a ocorreu um erro na posicao i da palavra de c digo. o A decodicacao e realizada atrav s da utilizacao da e matriz de vericacao de paridade H, da forma descrita a seguir. Para todo x transmitido, vale que HxT = 0, de forma que se z = 0 ent o e muito prov vel que Hy T = a a 0. O vetor s = Hy T e chamado de sndrome, e tem a caracterstica de que seu valor depende apenas do padr o a de erros introduzido no canal, e n o depende da palavra a de c digo transmitida, pois: o s = Hy T = H(x + z)T = HxT + Hz T = Hz T . (II.1) No contexto de correcao de erros, o interesse est em a recuperar o valor da palavra transmitida x. Mas, se for possvel inferir z a partir de Hy T , ent o basta fazer x = a y z para obter a mensagem original. Em geral, existem diversas escolhas possveis para z a partir de uma certa sndrome, e a infer ncia de qual foi o padr o de erros e a inserido e baseada em estatsticas do canal e propriedades alg bricas dos corpos utilizados. e Para terminar esta secao, enunciamos formalmente os problemas de decodicacao de sndromes q- rias que a embasam os criptossistemas que ser o apresentados. Para a isto, utilizamos a nocao de peso de Hamming de um vetor, denido a seguir. Denicao 5. O peso de Hamming de um vetor x e o n mero de coordenadas n o nulas de x, denotado por u a wt(x). Problema 1. O problema da decodicacao de sndromes q- rias (qSD) a Entrada: H uma matriz r n de vericacao de paridade sobre Fq , s Fr e um inteiro > 0. q n Sada: Uma palavra de c digo x Fq tal que o T T wt(x) e Hx = s . Uma outra forma de enunciar o problema pode ser vista a seguir. Problema 2. O problema geral da decodicacao de sndromes q- rias (G-SD) a Entrada: G uma matriz n k geradora de um (n, k)c digo linear sobre Fq , y Fn e um inteiro o q > 0. n Sada: Uma palavra de c digo x Fq e um padr o o a de erros e Fk tais que wt(e) e e xG+e = y. q Esta forma do enunciado do problema e exatamente o problema NP-completo utilizado no criptossistema proposto por McEliece em 1978, que veremos na pr xima o secao.

Este c digo e chamado de C digo de Hamming. o o Um (n, k)c digo linear possui q k palavras de o c digo, de forma que pode comunicar q k meno sagens diferentes. A codicacao de uma ktupla u = (u1 , . . . , uk ) consiste no mapeamento atrav s da e combinacao linear das linhas da matriz G geradora do c digo, da seguinte forma: o u uG Assim, utilizando o c digo do exemplo 1, e possvel o mapear vetores quaisquer de dimens o 4 em vetores a de dimens o 7 que pertencem ao c digo, atrav s da a o e multiplicacao de vetor por matriz da forma descrita acima. A recuperacao da mensagem original atrav s da e palavra de c digo e feita atrav s da utilizacao de uma o e matriz de paridade associada ao c digo. Para um deo terminado (n, k)c digo linear C, uma vericacao de o paridade e uma equacao da forma a1 x1 + + an xn = 0 que e satisfeita para todo x = (x1 , . . . , xn ) C. O conjunto de todos os vetores a = (a1 , . . . , an ) para os quais a equacao acima e satisfeita para todo x C e tamb m um subespaco vetorial de Fn , chamado c digo e o q dual de C e denotado por C . E possvel mostrar que C e um (n, n k)c digo linear sobre Fq , de forma o que uma matriz de paridade para C pode ser denida como uma matriz geradora de C . Ou, equivalentemente: Denicao 4. Seja C um (n, k)c digo linear sobre Fq . o A matriz H com a propriedade de que HxT = 0 se e s se x C e chamada de matriz de vericacao de o paridade para C. Supondo que os alfabetos das mensagens enviadas e recebidas por um certo canal ruidoso sejam os mesmos, se uma certa palavra de c digo x = (x1 , . . . , xn ) Fn o q

B. O criptossistema de McEliece O criptossistema de McEliece [7] utiliza um (n, k)c digo linear bin rio C construdo selecionandoo a se aleatoriamente um polin mio irredutvel de grau t o sobre F2m . A possibilidade de construcao de um sistema criptogr co est baseada no fato de que para cada a a polin mio deste tipo existe um c digo de comprimento o o 2m e dimens o k n tm ecientemente decodic vel a a e capaz de corrigir um padr o de erros com peso menor a ou igual a t. Sistema 1. Criptossistema de McEliece Sejam G uma matriz k n geradora do c digo C, S o qualquer matriz k k n o singular e P qualquer matriz a de permutacao n n. O criptossistema de McEliece e denido da seguinte forma: Chave privada: G, S e P , como descritas acima. Chave publica: G = SGP e t. Mensagens: vetores x de k bits sobre F2 . Encriptacao: O texto cifrado e y = xG + e, sendo que e e um vetor de erros aleat rio sobre Fn com o q wt(e) = t. 1 Decriptacao: Como y = xSGP + e, ent o yP a = 1 (xS)G + eP . Assim, podemos utilizar um algoritmo r pido de decodicacao para C para corria gir o erro eP 1 , de forma a obter xS e nalmente x. E interessante notar que o sistema e facilmente implement vel tanto em software quanto em hardware, pois se a baseia em operacoes elementares de algebra linear como multiplicacao de vetor por matriz. Em seu artigo original, McEliece n o chega a fazer uma an lise completa da a a seguranca do sistema, mas comenta que utilizando-se n = 1024, k = 524 e t = 50, a probabilidade da decodicacao correta de um vetor aleat rio sem o o conhecimento da chave privada e de cerca de 2215 . C. O criptossistema de Niederreiter O criptossistema de Niederreiter utiliza a ideia de matriz de vericacao de paridade, e tamb m e baseado e em c digos de Goppa, mas agora sobre Fq [10]. o Sistema 2. Criptossistema de Niederreiter Sejam H uma matriz (n k) n de vericacao de paridade para um c digo C, M uma matriz (n k) o (n k) n o singular qualquer, e P uma matriz n a n de permutacao, todas sobre Fq . O criptossistema de Niederreiter e denido da seguinte forma: Chave privada: H, M e P , como descritas acima. Chave publica: H = M HP e t. Mensagens: vetores y de n bits sobre Fq com peso t. T Encriptacao: O texto cifrado e z = y(H ) , com dimens o (n k). a

Decriptacao: Como z = y(M HP )T , ent o a z(M T )1 = (yP T )H T . Assim, podemos utilizar um algoritmo r pido de decodicacao para C para a encontrar yP T , e nalmente y.

Como j mencionamos anteriormente, os dois cripa tossistemas apresentados s o equivalentes. Na pr xima a o secao, discutiremos algumas implementacoes. III. D ESENVOLVIMENTO E IMPLEMENTAC OES Uma vez proposto um criptossistema, o interesse de pesquisadores da area costuma determinar os rumos da investigacao sobre sua seguranca e praticidade. Por motivos hist ricos, comerciais e pr ticos, os sistemas o a propostos por McEliece e Niederreiter no nal dos anos 70 n o tiveram tanta atencao quanto outros sistemas a desenvolvidos na mesma epoca. Apenas recentemente, com o desenvolvimento da Criptograa P s-Qu ntica, estes sistemas voltaram a o a receber maior atencao. Em 1994, Li et al. mostraram a equival ncia dos dois sistemas [6] sem citar as dee scobertas de Shor do mesmo ano (publicadas de fato somente tr s anos mais tarde) e suas implicacoes na e area de criptograa. Nos anos seguintes, a pesquisa se intensicou sobre estas propostas na busca de sistemas resistentes a ataques qu nticos conhecidos. a Foi somente no ano da publicacao do presente texto (2011) que Dinh et al. mostraram que, de fato, os criptossistemas acima descritos, baseados em c digos o corretores de erros, s o resistentes a ataques do tipo QSP, a descrito na introducao [5]. Nesta secao, veremos alguns avancos nas propostas de implementacao dos sistemas descritos na secao anterior. O que buscamos aqui e tanto ilustrar os diferentes aspectos envolvidos na seguranca de um criptossistema, quanto evidenciar de que forma a motivacao P s-Qu ntica tem o a contribudo para o desenvolvimento das pesquisas sobre os criptossistemas de McEliece e Niederreiter. A. Seguranca sem ntica a O conceito de seguranca sem ntica em um certo a sistema criptogr co de chaves p blicas pode ser coma u preendido informalmente como a diculdade de obter informacoes sobre o texto original a partir do texto cifrado. Em outras palavras, deve ser computacionalmente difcil distinguir o texto cifrado de um texto es colhido aleatoriamente com distribuicao de probabilidade constante sobre as letras do alfabeto em quest o. a Acontece que os sistemas McEliece e Niederreiter n o a s o seguros contra a modalidade de ataques chamada a de Chosen Plaintext Attacks, nas quais o atacante tem a possibilidade de associar um texto cifrado a uma mensagem original escolhida a dedo. Considerando, por exemplo, o sistema McEliece, se um atacante possui

acesso a um certo texto cifrado y que sabe ser a vers o a criptografada de uma de duas mensagens x1 ou x2 , ent o a ele pode computar x1 G + y e vericar se o peso do resultado e igual ao valor p blico t. Desta forma, a u informacao obtida pode, com alta probabilidade, quebrar o sistema. Em 2008, Nojima et al. provaram que a concatenacao do texto original com uma palavra aleat ria de um o certo tamanho mnimo antes da encriptacao e condicao suciente para garantir a seguranca sem ntica dos sis a temas, contanto que os problemas da decodicacao de sndromes e da obtencao do c digo original ap s a o o permutacao das matrizes geradora e de vericacao de paridade sejam realmente difceis[11]. Ao m do artigo e proposta a utilizacao de c digos o lineares com n = 4096 e k = 2560 e a introducao de t = 128 erros para a codicacao de mensagens de tamanho igual a 512 bits e nvel de seguranca de 131 bits, aproximadamente. B. Melhorando os ataques e a seguranca dos sistemas Um dos melhores ataques conhecidos para os sistemas McEliece e Niederreiter e chamado de Information-Set Decoding (ISD). O ataque de Stern e uma variante deste ataque, que busca encontrar uma palavra de c digo de o tamanho pequeno, o que e suciente para a decodicacao de um c digo linear, e consequentemente tamb m e o e suciente para quebrar os sistemas da forma que foram propostos. Em um artigo de 2008, Bernstein et al. apresentaram uma variante mais poderosa do ataque de Stern que utiliza escolhas mais cuidadosas ao longo do algoritmo de forma a chegar mais r pido na resposta desejada [2]. a Com este novo ataque, eles demonstram que e possvel quebrar o sistema com os par metros originalmente a propostos utilizando um computador desktop comum em 1400 dias (em comparacao a 7 milh es e 400 mil dias o para o ataque anterior). Com o novo ataque, os autores sugerem novos valores para os par metros do sistema, aumentando o tamanho a das palavras de c digo e o n mero de erros introduzidos o u atrav s de novas t cnicas de decodicacao. Para um nvel e e de seguranca de 256 bits, eles prop em a utilizacao de o (6624, 5129)c digos lineares com a introducao de t = o 117 erros, resultando em chaves p blicas de cerca de 7,6 u Mbits. C. Encurtando as chaves Ao mesmo tempo que a complexidade dos algoritmos de encriptacao e decriptacao (com o conhecimento das chaves) e mais baixa do que em sistemas baseados nos problemas da fatoracao e do logaritmo discreto, os sistemas baseados em c digos corretores de erros o

possuem chaves bem maiores do que os algoritmos mais comumente utilizados. Muitas propostas foram feitas para diminuicao do tamanho das chaves sem comprome timento da seguranca do sistema, como por exemplo a utilizacao de c digos pouco densos, quasi-cclicos e out o ros, o que permite uma certa economia na representacao das matrizes utilizadas por conta de sua estrutura. Em 2009, Misoczki et al. [9] propuseram a utilizacao de c digos de Goppa quasi-di dicos, que resultam em o a chaves menores em um fator de O(n) em relacao as ` chaves propostas originalmente, conseguindo inclusive manter o fator de correcao de erros intacto, difer entemente do que ocorreu em propostas anteriores de diminuicao do tamanho das chaves. Os autores mostram que o problema da decodicacao de sndromes quasi-di dicas e equivalente ao QSD, e a portanto NP-completo. As operacoes de geracao de c digo, codicacao e decodicacao tamb m t m sua o e e complexidade reduzida para O(n log n) e e proposta a utilizacao de (8192, 4096)c digos lineares de Goppa, o com introducao de t = 256 erros e chaves de 65 Kbits para um nvel de seguranca 256 bits. D. Side channel attacks Ataques que exploram caractersticas das implementacoes dos criptossistemas s o chamados de a side channel attacks, ou ataques de canais colaterais. Vari veis como tempo de processamento, consumo de a energia ou utilizacao de mem ria podem ser utilizadas o para obter informacao relevante sobre o texto original ` sem ter acesso as chaves criptogr cas. a Um artigo de Strenzke et al. de 2008 apresenta em detalhes um ataque de temporizacao sobre o grau do polin mio localizador de erros, utilizado no passo de o correcao de erros do algoritmo de decriptacao [13]. Atrav s da manipulacao dos textos cifrados, um opoe nente pode acompanhar o tempo de decifracao e obter informacoes sobre o padr o de erros inserido na men a sagem. A proposta de medida de precaucao e aumentar o grau dos polin mios articialmente sempre que eles o forem menores do que um certo valor. Tamb m s o apresentados, com menos detalhes, e a ataques que se baseiam na an lise da utilizacao de a mem ria e consumo de energia, assim como possveis o medidas preventivas. A conclus o e que, assim como a outros sistemas, os sistemas McEliece e Niederreiter tamb m s o vulner veis a ataqueis por canais colaterais e a a e necessitam de estudo minucioso para viabilizar sua utilizacao pr tica. a E. Esquemas de identicacao Os esquemas criptogr cas construdos a partir de proa ` blemas relacionados a teoria dos c digos n o se limitam o a

a infraestruturas de chave-p blica somente. E possvel u utilizar variacoes das mesmas construcoes para o de senvolvimento de esquemas de assinatura, indenticacao, entre outros. Um exemplo de esquema de identicacao que utiliza provas com conhecimento zero baseadas nos problemas de decodicacao de sndromes q- rias foi publi a cado em 2010 por Cayrel et al.[4]. Os autores apresentam uma variacao, sobre alfabetos q rios, de um a outro esquema publicado anteriormente construdo sobre c digos bin rios. O sistema proposto possui valores de o a par metros bem menores para um nvel de seguranca a equivalente. Para um nvel de seguranca de 128 bits, os autores prop em 16 rodadas do algoritmo de identicacao cono strudo sobre um (n, k)c digo linear sobre F256 com o n = 208, k = 104 e chave privada com peso de Hamming igual a 75. Neste contexto, a informacao p blica do sistema ocupa pouco menos que 87 Kbits, u por m a identicacao p blica ocupa apenas 832 bits e e u chave privada 1664 bits. A comunicacao entre as partes e de cerca de 48 Kbits. Com isto conclumos a apresentacao de uma amostra das propostas e estudos relacionados aos sistemas apresentados, todos motivados pela caracterstica P s o Qu ntica dos sistemas baseados em c digos corretores a o de erros. Na pr xima secao faremos uma breve discuss o o a do que foi apresentado para ent o concluir este relat rio. a o IV. D ISCUSS AO E CONCLUS AO Como vimos, as caractersticas P s-Qu nticas dos o a problemas baseados em teoria dos c digos motivam hoje o diversos estudos sobre os sistemas McEliece e Niederreiter. A escolha cuidadosa das estruturas e manipulacoes alg bricas e dos par metros de cada sistema e fundae a mental e diversas direcoes podem ser exploradas com o objetivos de melhorar o desempenho ou a seguranca dos sistemas. Vimos, na secao anterior, propostas de (1) estabeleci mento da seguranca sem ntica dos sistemas, (2) melhoria a de alguns tipos de ataque com o objetivo de renar a escolha dos par metros e assim aumentar a seguranca a dos sistemas, (3) encurtamento de chaves e outros par metros, (4) ataques baseados em implementacoes a fsicas dos sistemas, e (5) esquemas com outros objetivos que n o somente a protecao de informacao trafegada a em canais p blicos. Isto d uma ideia da vastid o de u a a possibilidades que t m de ser investigadas para que e haja consenso na utilizacao de um certo algoritmo em detrimento de outros. O campo da criptograa P s-Qu ntica e terreno f rtil o a e para novos estudos. E interessante notar que uma parte signicativa das pesquisas atuais trate de de problemas e algoritmos que tiveram pouca atencao por muito tempo.

A computacao qu ntica ainda e uma area recente e a pode ser que no futuro aparecam algoritmos que re solver o os problemas da teoria de c digos corretores de a o erros de forma eciente em computadores qu nticos. Por a outro lado, j se completam quase duas d cadas desde a e a primeira aparicao do algoritmo de Shor, e deste ent o a n o se tem notcias de outros algoritmos qu nticos t o a a a poderosos em termos de criptan lise. Qualquer que seja o a resultado, o processo de investigacao e fundamental para validar ou refutar propostas de novos criptossistemas. R EFER E NCIAS
[1] E R Berlekamp, R J Mceliece, and H C A Van Tilborg. On the inherent intractability of certain coding problems. IEEE Transactions on Information Theory, 24, 1978. [2] Daniel Bernstein, Tanja Lange, and Christiane Peters. Attacking and defending the mceliece cryptosystem. In Post-Quantum Cryptography, volume 5299 of Lecture Notes in Computer Science, pages 3146. 2008. [3] Daniel J. Bernstein, Johannes Buchmann, and Erik Dahmen. Post Quantum Cryptography. Springer Publishing Company, Incorporated, 1st edition, 2008. [4] Pierre-Louis Cayrel, Pascal V ron, and Sidi Mohamed El Yous e Alaoui. A zero-knowledge identication scheme based on the q-ary syndrome decoding problem. In Selected Areas in Cryptography, pages 171186, 2010. [5] Hang Dinh, Cristopher Moore, and Alexander Russell. Mceliece and niederreiter cryptosystems that resist quantum fourier sampling attacks. In CRYPTO, pages 761779, 2011. [6] Yuan Xing Li, Robert H. Deng, and Xin mei Wang. On the equivalence of mcelieces and niederreiters public-key cryptosystems. IEEE Transactions on Information Theory, 40(1):271273, 1994. [7] R J Mceliece. A public-key cryptosystem based on algebraic coding theory. DSN progress report, 42(44):114116, 1978. [8] Robert J. Mceliece. The Theory of Information and Coding, volume 3 of Enciclopedia of Mathematics: Probability. 1977. [9] Rafael Misoczki and Paulo S. Barreto. Selected areas in cryptography. chapter Compact McEliece Keys from Goppa Codes, pages 376392. 2009. [10] H Niederreiter. Knapsack-type cryptosystems and algebraic coding theory. Problems of Control and Information Theory, 15(2):159166, 1986. [11] Ryo Nojima, Hideki Imai, Kazukuni Kobara, and Kirill Morozov. Semantic security for the mceliece cryptosystem without random oracles. Des. Codes Cryptography, 49(1-3):289305, 2008. [12] Peter W. Shor. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer. SIAM J. on Computing, pages 14841509, 1997. [13] Falko Strenzke, Erik Tews, H. Molter, Raphael Overbeck, and Abdulhadi Shoufan. Side channels in the mceliece pkc. In Post-Quantum Cryptography, volume 5299 of Lecture Notes in Computer Science, pages 216229. 2008.