NTRUEncrypt

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 17. december 2015; checks kræver 20 redigeringer .

NTRUEncrypt ( forkortelse for Nth-degree TRUNcated polynomial ring eller Number Theorists aRe Us) er et kryptografisk system med offentlig nøgle, tidligere kaldet NTRU .

NTRUEncrypt-kryptosystemet, baseret på et gitterkryptosystem , blev skabt som et alternativ til RSA og Elliptic Curve Cryptosystems (ECC) . Algoritmens stabilitet sikres af vanskeligheden ved at finde den korteste gittervektor , som er mere modstandsdygtig over for angreb udført på kvantecomputere . I modsætning til sine konkurrenter RSA , ECC , Elgamal bruger algoritmen operationer på ringen af trunkerede polynomier med en grad, der ikke overstiger : $\mathbb {Z} [X]/(X^{N}-1)$ $N-1$

{\textbf {a}}(X)={\textbf {a}}=a_{0}+a_{1}X+a_{2}X^{2}+\cdots +a_{N-2}X ^{N-2}+a_{N-1}X^{N-1}

Et sådant polynomium kan også repræsenteres af en vektor

{\vec {a}}(X)={\vec {a}}=\sum _{i=0}^{N-1}a_{i}X^{i}=[a_{0},a_ {1},a_{2},\cdots ,a_{N-2},a_{N-1}]

Som enhver ung algoritme er NTRUEncrypt dårligt forstået, selvom den officielt blev godkendt til brug i finansiering af Accredited Standards Committee X9 . [en]

Der er en open source- implementering af NTRUEncrypt . [2]

Historie

NTRUEncrypt, oprindeligt kaldet NTRU, blev opfundet i 1996 og introduceret til verden på CRYPTO , RSA Conference , Eurocrypt . Grunden, der fungerede som begyndelsen på udviklingen af algoritmen i 1994 , var artiklen [3] , som talte om letheden ved at knække eksisterende algoritmer på kvantecomputere, hvilket, som tiden har vist, ikke er langt væk [4] . Samme år udviklede matematikerne Jeffrey Hoffstein, Jill Pipher og Joseph H. Silverman, som udviklede systemet sammen med grundlæggeren af NTRU Cryptosystems, Inc. (senere omdøbt til SecurityInnovation), patenterede Daniel Lieman deres opfindelse. [5]

Ringe af trunkerede polynomier

NTRU opererer på højst gradspolynomier $N-1$

{\textbf {a}}=a_{0}+a_{1}X+a_{2}X^{2}+\cdots +a_{N-2}X^{N-2}+a_{N- 1}X^{N-1},

hvor koefficienterne er heltal. Med hensyn til operationerne af addition og multiplikation modulo et polynomium , danner sådanne polynomier en ring R , kaldet ringen af trunkerede polynomier , som er isomorf til kvotientringen $a_{0},\cdots ,a_{N-1}$ $X^{N}-1$ $\mathbb {Z} [X]/(X^{N}-1).$

NTRU bruger den trunkerede polynomiumring R sammen med modulo de coprime tal p og q til at reducere polynomiernes koefficienter.

Algoritmen bruger også inverse polynomier i ringen af trunkerede polynomier. Det skal bemærkes, at ikke ethvert polynomium har en invers, men hvis der findes et inverst polynomium, så er det let at beregne det. [6] [7]

Følgende muligheder vil blive valgt som et eksempel:

Parameterbetegnelser	N	q	s
Parameterværdier	elleve	32	3

Generering af offentlig nøgle

For at sende en besked fra Alice til Bob kræves en offentlig og privat nøgle. Både Bob og Alice kender den offentlige nøgle, kun Bob kender den private nøgle, som han bruger til at generere den offentlige nøgle. For at gøre dette vælger Bob to "små" polynomier f g fra R . Polynomiers "småhed" er underforstået i den forstand, at den er lille i forhold til et vilkårligt polynomium modulo q : i et vilkårligt polynomium skal koefficienterne være tilnærmelsesvis ensartet fordelt modulo q , mens de i et lille polynomium er meget mindre end q . Småheden af polynomier bestemmes ved hjælp af tallene df og dg :

Polynomiet f har df - koefficienter lig med " 1 " og df-1- koefficienter lig med " -1 " og resten til " 0 ". I dette tilfælde siger de det ${\textbf {f}}\in {\mathcal {L}}_{f}$
Polynomiet g har dg - koefficienter lig med " 1 " og det samme tal lig med " -1 ", resten er " 0 ". I dette tilfælde siger de det ${\textbf {g}}\in {\mathcal {L}}_{g}$

Grunden til at polynomierne er valgt på denne måde er, at f sandsynligvis vil have en invers, men g vil bestemt ikke ( g (1) = 0, og element nul har ingen invers).

Bob skal holde disse polynomier hemmelige. Dernæst beregner Bob de inverse polynomier og , det vil sige sådan, at: ${\textbf {f}}_{p}$ ${\textbf {f}}_{q}$

\ {\textbf {f}}\cdot {\textbf {f}}_{p}\equiv 1{\pmod {p}}

og .

\ {\textbf {f}}\cdot {\textbf {f}}_{q}\equiv 1{\pmod {q}}

Hvis f ikke har et inverst polynomium, så vælger Bob et andet polynomium f .

Den hemmelige nøgle er et par , og den offentlige nøgle h beregnes med formlen: $\left({\textbf {f)),{\textbf {f}}_{p}\right)$

{\textbf {h}}=(p{\textbf {f}}_{q}\cdot {\textbf {g}})\,{\bmod {\,}}q.

Eksempel

Lad os for eksempel tage df =4 og dg =3. Så kan man som polynomier vælge

{\textbf {f}}=-1+X+X^{2}-X^{4}+X^{6}+X^{9}-X^{10}

{\textbf {g}}=-1+X^{2}+X^{3}+X^{5}-X^{8}-X^{10}

Dernæst søges der for polynomiet f inverse polynomier modulo p =3 og q =32:

{\textbf {f}}_{p}=1+2X+2X^{3}+2X^{4}+X^{5}+2X^{7}+X^{8}+2X^{9 }

{\textbf {f}}_{q}=5+9X+6X^{2}+16X^{3}+4X^{4}+15X^{5}+16X^{6}+22X^{7 }+20X^{8}+18X^{9}+30X^{10}

Det sidste trin er at beregne den offentlige nøgle h selv :

{\textbf {h}}=(p{\textbf {f}}_{q}\cdot {\textbf {g}})\,{\bmod {\,}}{32}=8+25X+22X ^{2}+20X^{3}+12X^{4}+24X^{5}+15X^{6}+19X^{7}+12X^{8}+19X^{9}+16X^{ ti}.

Kryptering

Nu hvor Alice har den offentlige nøgle, kan hun sende den krypterede besked til Bob. For at gøre dette skal du repræsentere meddelelsen som et polynomium m med koefficienter modulo pvalgt fra området (- p /2, p /2]. Det vil sige, m er et "lille" polynomium modulo q . Dernæst skal Alice vælg et andet "lille" polynomium r , som kaldes "blændende", defineret af tallet dr :

Polynomiet r har dr - koefficienter lig med " 1 " og det samme tal lig med " -1 ", resten er " 0 ". I dette tilfælde siger de det ${\textbf {r}}\i {\mathcal {L}}_{r}.$

Ved at bruge disse polynomier opnås den krypterede meddelelse med formlen:

{\textbf {e}}=({\textbf {r}}\cdot {\textbf {h}}+{\textbf {m}})\,{\bmod {\,}}q.

I dette tilfælde vil enhver, der kender (eller kan beregne) det blændende polynomium r , kunne læse meddelelsen m .

Eksempel

Antag at Alice ønsker at sende en besked repræsenteret som et polynomium

{\textbf {m}}=-1+X^{3}-X^{4}-X^{8}+X^{9}+X^{10}

og valgte et "blindende" polynomium, for hvilket dr = 3:

{\textbf {r}}=-1+X^{2}+X^{3}+X^{4}-X^{5}-X^{7}.

Så vil chifferteksten e klar til at blive sendt til Bob være:

{\textbf {e}}=({\textbf {r}}\cdot {\textbf {h}}+{\textbf {m}})\,{\bmod {\,}}{32}=14+ 11X+26X^{2}+24X^{3}+14X^{4}+16X^{5}+30X^{6}+7X^{7}+25X^{8}+6X^{9}+ 19X^{10}.

Dekryptering

Nu, efter at have modtaget den krypterede besked e , kan Bob dekryptere den ved hjælp af sin private nøgle. Først får han et nyt mellempolynomium:

{\textbf {a}}=({\textbf {f}}\cdot {\textbf {e}})\,{\bmod {\,}}q.

Hvis vi skriver chifferteksten, får vi kæden:

{\textbf {a}}=({\textbf {f}}\cdot {\textbf {e}})\,{\bmod {\,}}q=({\textbf {f}}\cdot ({ \textbf {r}}\cdot {\textbf {h}}+{\textbf {m}})))\,{\bmod {\,}}q=({\textbf {f}}\cdot ({ \ textbf {r}}\cdot p{\textbf {f}}_{q}\cdot {\textbf {g}}+{\textbf {m}})))\,{\bmod {\,}} q

og endelig:

{\textbf {a}}=(p{\textbf {r}}\cdot {\textbf {g}}+{\textbf {f}}\cdot {\textbf {m}})\,{\bmod { \,}}q.

Efter at Bob har beregnet polynomiet a modulo q, skal han vælge dets koefficienter fra området (- q /2, q /2] og derefter beregne polynomiet b opnået fra polynomiet a ved reduktionsmodulo p:

{\textbf {b}}={\textbf {a}}\,{\bmod {\,}}p=({\textbf {f}}\cdot {\textbf {m}})\,{\bmod {\,}}p,

siden . $(p{\textbf {r}}\cdot {\textbf {g}})\,{\bmod {\,}}p=0$

Nu, ved at bruge den anden halvdel af den hemmelige nøgle og det resulterende polynomium b , kan Bob dekryptere meddelelsen:

{\textbf {c}}=({\textbf {f}}_{p}\cdot {\textbf {b}})\,{\bmod {\,}}s.

Det er let at se det

{\textbf {c}}\equiv {\textbf {f}}_{p}\cdot {\textbf {f}}\cdot {\textbf {m}}\equiv {\textbf {m}}{\pmod {p}}.

Det resulterende polynomium c er faktisk den oprindelige meddelelse m .

Eksempel : Bob modtog en krypteret besked e fra Alice

{\textbf {e))=14+11X+26X^{2}+24X^{3}+14X^{4}+16X^{5}+30X^{6}+7X^{7}+25X^ {8}+6X^{9}+19X^{10}

Ved at bruge den hemmelige nøgle f får Bob et polynomium a

{\textbf {a}}={\textbf {f}}\cdot {\textbf {e}}{\pmod {32}}=3-7X-10X^{2}-11X^{3}+10X^ {4}+7X^{5}+6X^{6}+7X^{7}+5X^{8}-3X^{9}-7X^{10}{\pmod {32)),

med koefficienter, der hører til intervallet (- q /2, q /2]. Dernæst transformerer du polynomium a til polynomium b , hvilket reducerer koefficienterne modulo p.

{\textbf {b}}={\textbf {a}}{\pmod {3}}=-XX^{2}+X^{3}+X^{4}+X^{5}+X^ {7}-X^{8}-X^{10}{\pmod {3}}

Det sidste trin er at gange polynomiet b med den anden halvdel af den private nøgle ${\textbf {f}}_{p}$

{\textbf {c}}={\textbf {f}}_{p}\cdot {\textbf {b}}={\textbf {f}}_{p}\cdot {\textbf {f}}\ cdot {\textbf {m}}{\pmod {3}}={\textbf {m}}{\pmod {3}}

{\textbf {c}}=-1+X^{3}-X^{4}-X^{8}+X^{9}+X^{10}

Hvilket er den originale besked, som Alice sendte.

Modstand mod angreb

Fuld opregning

Det første af de mulige angreb er brute -force angrebet . Her er flere varianter af opregning mulige: enten at sortere gennem alle og kontrollere for små koefficienter for resultaterne , som ifølge ideen skulle have været små, eller at sortere gennem alle , også kontrollere for små koefficienter af resultatet . I praksis er plads mindre end plads , derfor bestemmes holdbarhed af plads . Og vedholdenheden af et individuelt budskab bestemmes af rummet . ${\textbf {f}}\in {\mathcal {L}}_{f}$ ${\textbf {f}}\cdot {\textbf {h}}{\pmod {q}}={\textbf {g}}{\pmod {q}}$ ${\textbf {g}}\in {\mathcal {L}}_{g}$ ${\textbf {f}}{\pmod {q}}={\textbf {f}}\cdot {\textbf {h}}\cdot {\textbf {h}}^{-1}{\pmod {q }}={\textbf {f}}\cdot {\textbf {f}}_{q}\cdot {\textbf {g}}\cdot {\textbf {h}}^{-1}{\pmod { q))={\textbf {g}}\cdot {\textbf {h}}^{-1}{\pmod {q}}$ ${\mathcal {L}}_{g}$ ${\mathcal {L}}_{f}$ ${\mathcal {L}}_{g}$ ${\mathcal {L}}_{r}$

Møde i midten

Der er en mere optimal variant af opregningsmøde i midten foreslået af Andrew Odlyzhko . Denne metode reducerer antallet af muligheder til kvadratroden:

Sikkerhed for den private nøgle = = , ${\sqrt {{\mathcal {L}}_{g}}}$ ${\frac {1}{d_{g}!}}{\sqrt {\frac {N!}{(N-2d_{g})!}}}$

Og vedholdenheden af en enkelt besked = = . ${\sqrt {{\mathcal {L}}_{r}}}$ ${\frac {1}{d!)}}{\sqrt {\frac {N!}{(N-2d)!}}}$

Et møde-i-midt-angreb bytter den tid, der er nødvendig til beregning, med den nødvendige hukommelse til at gemme midlertidige resultater. Så hvis vi vil sikre systemets stabilitet , skal vi vælge en størrelsesnøgle . $2^{n}$ $2^{2n}$

Multiple message attack

Et ret alvorligt angreb på en enkelt besked, som kan undgås ved at følge en simpel regel – send ikke den samme besked flere gange. Essensen af angrebet er at finde en del af koefficienterne for det blændende polynomium r . Og de resterende koefficienter kan simpelthen sorteres fra, og derved læse beskeden. Da den samme krypterede meddelelse med forskellige blændende polynomier er , hvor i=1, … n. Du kan evaluere et udtryk , der er nøjagtigt lig med . For et tilstrækkeligt stort antal transmitterede meddelelser (f.eks. for n = 4, 5, 6) er det muligt, baseret på koefficienternes lillehed, at genvinde det meste af det blændende polynomium . $e_{i}=r_{i}\cdot h+m\ {\bmod {\ }}q$ $(e_{i}-e_{1})\cdot h_{q}\ {\bmod {\ }}q$ ${\textbf {r}}_{i}-{\textbf {r}}_{1}\ {\bmod {\ }}q$ ${\textbf {r}}_{1}$

Gitterbaseret angreb

Betragt et gitter genereret af rækkerne af en 2 N × 2 N matrix med determinant , bestående af fire blokke med størrelse N × N : $\mathbf {\alpha } ^{N}q^{N}$

\left({\begin{array}{cccc|cccc}\alpha &0&\cdots &0&h_{0}&h_{1}&\cdots &h_{N-1}\\0&\alpha &\cdots &0&h_{N-1} &h_{0}&\cdots &h_{N-2}\\\vdots &\vdots &\ddots &\vdots &\vdots &\vdots &\ddots &\vdots \\0&0&\cdots &\alpha &h_{1} &h_{2}&\cdots &h_{0}\\\hline 0&0&\cdots &0&q&0&\cdots &0\\0&0&\cdots &0&0&q&\cdots &0\\\vdots &\vdots &\ddots &\vdots &\vdots &\ &\ddots &\vdots \\0&0&\cdots &0&0&0&\cdots &q\\\end{array}}\right).

Da den offentlige nøgle er , derfor indeholder dette gitter en vektor med størrelse 2 N , som først indeholder koefficienterne for vektoren f , ganget med koefficienten , derefter koefficienterne for vektoren g . Opgaven med at finde en sådan vektor, for store N og korrekt udvalgte parametre, anses for vanskelig at løse. ${\textbf {h}}=(p{\textbf {g}}\cdot {\textbf {f}}_{q})\,{\bmod {\,}}q$ ${\textbf {g}}\equiv {\textbf {h}}\cdot {\textbf {f}}{\pmod {q}}$ $\mathbf {\tau } =(\alpha f,g)$ $\mathbf {\alpha }$

Valgt chiffertekstangreb

Det valgte chiffertekstangreb er det farligste angreb. Det blev foreslået af Éliane Jaulmes og Antoine Joux [8] i 2000 på CRYPTO-konferencen. Essensen af dette angreb er at vælge sådan et polynomium a(x), så . Samtidig interagerer Eve ikke med hverken Bob eller Alice. ${\textbf {a}}(x){\pmod {q}}\ \neq \ {\textbf {a}}(x)$

Hvis vi tager chifferteksten , hvor , får vi et polynomium . Da koefficienterne for polynomiet f og g tager værdierne "0", "1" og "-1", vil koefficienterne for polynomiet a tilhøre mængden {-2py , -py , 0, py, 2py}. Hvis py er valgt sådan, at , så når man reducerer modulo af polynomiet a(x), vil kun koefficienter lig med -2py eller 2py blive givet . Lad nu den i -te koefficient være lig med 2py , så vil polynomiet a(x) efter moduloreduktion blive skrevet som: ${\textbf {e}}^{*}=\ y{\textbf {h}}\ +\ py$ $y\in \mathbb {Z}$ ${\textbf {a}}^{*}={\textbf {f}}\cdot {\textbf {e}}^{*}{\pmod {q}}=\ yp{\textbf {g}}\ +\ yp{\textbf {f}}{\pmod {q}}$ ${\frac {q}{4}}<py<{\frac {q}{2}}$

{\textbf {a}}^{*}={\textbf {f}}\cdot {\textbf {e}}^{*}{\pmod {q}}=\ yp{\textbf {g}}\ +\ yp{\textbf {f}}-\ q\cdot \ x^{i}

og polynomiet b(x) :

{\textbf {b}}^{*}={\textbf {a}}^{*}{\pmod {p}}=\ yp{\textbf {g}}\ +\ yp{\textbf {f} }-\ q\cdot \ x^{i}{\pmod {p}}=-\ q\cdot \ x^{i}

beregn endelig:

{\textbf {c}}^{*}={\textbf {z}}(x)={\textbf {b}}^{*}\cdot {\textbf {f}}_{p}{\pmod {p}}=-\ q\cdot \ x^{I}\cdot {\textbf {f}}_{p}{\pmod {p}}

Hvis vi nu betragter alle mulige i , så i stedet for individuelle , kan vi komponere et polynomium K og den dekrypterede meddelelse vil have formen: $x^{i}$

{\textbf {c}}=-\ q{\textbf {K}}\cdot {\textbf {f}}_{p}{\pmod {p}}

eller hemmelig nøgle:

{\textbf {f}}=-\ q{\textbf {K}}\cdot {\textbf {c}}^{-1}{\pmod {p}}

Sandsynligheden for at finde nøglekomponenter på denne måde er omkring 0,1 ... 0,3 for en nøgle på størrelse 100. For store nøgler (~500) er denne sandsynlighed meget lille. Ved at anvende denne metode et tilstrækkeligt antal gange kan du gendanne nøglen fuldstændigt.

For at beskytte mod denne type angreb bruges den avancerede NTRU-FORST- krypteringsmetode . Til kryptering bruges et blændende polynomium , hvor H er en kryptografisk stærk hashfunktion , og R er et tilfældigt sæt bits . Efter at have modtaget beskeden, dekrypterer Bob den. Dernæst krypterer Bob den nyligt dekrypterede besked på samme måde som Alice gjorde. Derefter sammenligner den den med den modtagne. Hvis beskederne er identiske, så accepterer Bob beskeden, ellers afviser han den. ${\textbf {r}}(x)=H({\textbf {m}}(x),\ R)$

Holdbarhed og ydeevne parametre

På trods af det faktum, at der er hurtige algoritmer til at finde det inverse polynomium, foreslog udviklerne til kommerciel brug som en hemmelig nøgle f at tage:

{\textbf {f}}=1\ +\ p{\textbf {F}}

hvor F er et lille polynomium. Den således valgte nøgle har følgende fordele:

f har altid et omvendt modulo p , nemlig . ${\textbf {f}}^{-1}={\textbf {f}}_{p}=1{\pmod {p}}$
Da vi ikke længere behøver at gange med det inverse polynomium, når vi dekrypterer , og det falder uden for kategorien af den hemmelige nøgle. ${\textbf {f}}_{p}=1{\pmod {p}}$ ${\textbf {f}}_{p}$

En af undersøgelserne arkiveret 6. oktober 2016 på Wayback Machine viste, at NTRU er 4 størrelsesordener hurtigere end RSA og 3 størrelsesordener hurtigere end ECC .

Som tidligere nævnt foreslår udviklerne, for at sikre den høje stabilitet af algoritmen, kun at bruge de anbefalede parametre angivet i tabellen:

Anbefalede parametre

Betegnelse	N	q	s	df	dg	dr	Garanteret holdbarhed
NTRU167:3	167	128	3	61	tyve	atten	Moderat holdbarhed
NTRU251:3	251	128	3	halvtreds	24	16	Standard modstandsniveau
NTRU503:3	503	256	3	216	72	55	Det højeste niveau af holdbarhed
NTRU167:2	167	127	2	45	35	atten	Moderat holdbarhed
NTRU251:2	251	127	2	35	35	22	Standard modstandsniveau
NTRU503:2	503	253	2	155	100	65	Det højeste niveau af holdbarhed

Noter

↑ Security Innovations NTRUEncrypt vedtaget som X9-standard for databeskyttelse . Hentet 15. marts 2022. Arkiveret fra originalen 13. august 2016. (ubestemt)
↑ NTRUEncrypt og NTRUSign i Java . Hentet 1. november 2011. Arkiveret fra originalen 19. november 2011. (ubestemt)
↑ Algoritmer til kvanteberegning: diskrete logaritmer og factoring (downlink) . Hentet 30. oktober 2011. Arkiveret fra originalen 18. juni 2010. (ubestemt)
↑ NIST demonstrerer 'universel' programmerbar kvanteprocessor . Hentet 30. oktober 2011. Arkiveret fra originalen 30. november 2011. (ubestemt)
↑ NTRU Public Key Algorithms IP Assurance Statement for 802.15.3 . Hentet 30. oktober 2011. Arkiveret fra originalen 9. april 2016. (ubestemt)
↑ JH Silverman, Almost Inverses and Fast NTRU Key Creation Arkiveret 24. marts 2012 på Wayback Machine , NTRU Cryptosystems Technical Report #014.
↑ JH Silverman, Invertibility in Truncated Polynomial Rings Arkiveret 14. maj 2012 på Wayback Machine , NTRU Cryptosystems Technical Report #009.
↑ Jaulmes É., Joux A. Et valgt krypteringsangreb mod NTRU //Annual International Cryptology Conference. - Springer, Berlin, Heidelberg, 2000. - S. 20-35.

Links

NTRU Cryptosystems' tekniske hjemmeside
NTRU Cryptosystems, Inc.
Jeffrey Hoffstein, Jill Pipher, Joseph H. Silverman. NTRU: Et ringbaseret offentlig nøglekryptosystem . I Algorithmic Number Theory (ANTS III), Portland, OR, juni 1998, JP Buhler (red.), Lecture Notes in Computer Science 1423, Springer-Verlag , Berlin, 1998, 267-288.
Howgrave-Graham, N., Silverman, JH & Whyte, W., Meet-In-The-Middle Attack on a NTRU Private Key .
J. Hoffstein, J. Silverman. Optimeringer til NTRU . Public-Key Cryptography and Computational Number Theory (Warszawa, 11.-15. september 2000), DeGruyter, vises.
AC Atici, L. Batina, J. Fan & I. Verbauwhede. Lavprisimplementeringer af NTRU til omfattende sikkerhed Arkiveret 28. september 2011 på Wayback Machine .

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort