Il calcolo quantistico potrebbe alla fine essere usato per rendere banale l'hashing dei giorni nostri da rompere?


18

In poche parole, se si dovesse costruire un dispositivo di calcolo quantistico con la potenza, diciamo, di 20 qubit, un tale computer potrebbe essere utilizzato per rendere inutile qualsiasi tipo di algoritmo di hashing moderno?

Sarebbe anche possibile sfruttare la potenza del calcolo quantistico in un'applicazione di calcolo tradizionale?


Domanda correlata ma non duplicata: cs.stackexchange.com/questions/356/… (Nota finora non abbiamo algoritmi efficienti per risolvere i problemi NP-hard con un computer quantistico)
Ken Li

Puoi indicare i risultati che ti danno questo sospetto? Perché i bit quantici dovrebbero avere un impatto in questo scenario?
Raffaello

Risposte:


13

I computer quantistici potrebbero presentare alcuni vantaggi rispetto ai computer classici in alcuni casi. L'esempio più notevole è l'algoritmo di Shor che può fattorizzare un gran numero in tempo polinomiale (mentre classicamente, l' algoritmo più noto richiede tempo esponenziale). Questo rompe completamente schemi come RSA, basato sulla durezza della fattorizzazione.

Questo non è necessariamente il caso delle funzioni hash. Innanzitutto, dobbiamo definire cosa significa interrompere una funzione hash. Un modo per romperlo è chiamato attacco pre-immagine : mi dai il valore hash e devo trovare un messaggio tale che . Un altro attacco è l' attacco di collisione , in cui non mi dai nulla, e devo trovare due diversi messaggi con lo stesso hash . Questo è più facile che trovare un pre-immagine, poiché non sono legato a una specifica .vmhash(m)=vm1,m2hash(m1)=hash(m2)v

Cosa possono fare i computer Quantum? Il risultato principale è l'algoritmo di ricerca di Grover : un metodo per un computer quantistico per cercare in un database non ordinato di dimensioni con tempo (mentre in genere ci vorrà un tempo previsto di ).NO(N)N/2

Con l'algoritmo di Grover, trovare una pre-immagine di una funzione hash il cui output è -bits richiede tempo , anziché .KO(2K/2)O(2K)

È un problema ? Non necessariamente. Le funzioni hash sono progettate in modo tale che il tempo sia considerato "sicuro" (in altre parole, i progettisti di hash raddoppiano sempre ). Ciò è dovuto al paradosso del compleanno con cui è possibile trovare una collisione con il tempo da un computer classico.2K/2KO(2K/2)

La cosa bella dell'algoritmo di Grover è che è ottimale: ogni altro algoritmo quantico per trovare un elemento in un database non ordinato verrà eseguito in time .Ω(N)

I computer quantistici possono eseguire attacchi di collisione migliori ? In realtà non ne sono sicuro. L'algoritmo di Grover può essere esteso, in modo tale che se ci sono elementi (cioè preimmagini), il tempo per trovarne uno è ridotto a . Ma ciò non provoca alcuna collisione: l'esecuzione dell'algoritmo potrebbe restituire la stessa immagine precedente. D'altra parte, se scegliamo a caso e quindi utilizziamo l'algoritmo di Grover, è probabile che restituisca un messaggio diverso. Non sono sicuro che questo dia attacchi migliori.tO(N/t)m1

(questo risponde alla domanda più generale, senza limitare il computer a 20 qubit, che non sarà sufficiente per interrompere gli hash a 1024 bit correnti).


nitpick: il runtime di GNFS è sub-esponenziale.
CodesInChaos

1

Da quanto ho capito, l'informatica quantistica ha il potere di rompere facilmente gli algoritmi di hash di oggi. Tuttavia, a lungo termine saremo anche in grado di utilizzare algoritmi di hashing più complessi e in generale è più facile crittografare che decodificare qualcosa. Penso che i maggiori problemi da considerare siano quando il calcolo quantico è disponibile solo per pochi eletti, offrendo loro un facile accesso alle cose protette dagli algoritmi di oggi molto prima che gli algoritmi più avanzati o persino la consapevolezza della minaccia siano diffusi.

Vedi qui per una risposta realmente tecnica alla domanda su Stack Overflow.


2
La maggior parte delle primitive crittografiche simmetriche di AFAIK sarà ancora sicura anche quando il calcolo quantistico diventerà praticabile. Dimezza il blocco effettivo o la lunghezza della chiave in alcuni scenari, ma le primitive crittografiche con un livello di sicurezza corrente di 256 bit o più saranno ancora sicure, poiché il lavoro dell'ordine di 128 bit è impossibile. La maggior parte delle primitive asimmetriche attualmente in uso si romperà completamente però. Ma non con solo 20 qubit. Per questo avrai bisogno di diverse migliaia di qubit.
CodesInChaos
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.