Esiste un candidato per un'azione di gruppo a senso unico post-quantistica?

Esiste una famiglia nota di azioni di gruppo con un elemento designato
nel set su cui si agisce, dove si sa come

$\:$ campionare (essenzialmente in modo uniforme) dai gruppi, calcolare le operazioni inverse,
$\:$ calcola le operazioni di gruppo e calcola le azioni di gruppo

e non esiste un algoritmo quantico efficiente noto
per avere successo con probabilità non trascurabile in

$\:$ dato come input l'indice di un'azione di gruppo e il risultato di
$\:$ un elemento di gruppo campionato che agisce sull'elemento designato,
$\:$ trova un elemento di gruppo la cui azione sull'elemento designato è il secondo input

?

Per quanto ne so, questi forniscono le uniche costruzioni conosciute di impegni statisticamente non interattivi che nascondono impegni in cui la conoscenza di una botola consente un equivoco efficiente e non rilevabile, una proprietà utile per i protocolli di conoscenza zero e la sicurezza adattiva.

Qualsiasi famiglia di omomorfismi di gruppo a senso unico con le prime tre proprietà (dalla terza e quarta riga di questo post) può essere convertita in una cosa del genere facendo sì che i domini agiscano sui codomain tramite $\: \langle a,b\rangle \mapsto h(a)\cdot b \:$ , $\:$ con gli elementi identità come elementi distinti.

Una versione limitata dello schema di impegno di Pedersen può essere ottenuta come un caso speciale di applicazione della conversione di cui sopra all'omomorfismo esponenziale di gruppo, la cui unidirezionale è equivalente alla durezza del problema del logaritmo discreto, sebbene ciò non sia difficile per gli algoritmi quantistici. (Vedi l'algoritmo di Shor e la sezione di quella pagina sul logaritmo discreto.)

cr.crypto-security quantum-computing gr.group-theory

Sì , c'è una vecchia proposta per questo dovuta a Couveignes , che è stata riscoperta in modo indipendente da Rostovtsev e Stolbunov .

$\mathcal O$ $\mathcal O$ $[\mathfrak a]$ $E$

([a], E) ⟼ E / a = E / ⋂_{α \in a} \ker α .

$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$ Appunti di lezione di Luca De Feo . _{^{(Contengono anche più informazioni necessarie per comprendere questa costruzione!)}}

Mentre è possibile invertire l'azione del gruppo risolvendo un'istanza del problema del turno nascosto, dando origine a un attacco quantico subexponential , il sistema rimane ininterrotto per dimensioni di parametri ragionevolmente grandi. Un problema molto più grande è che questi schemi sono dolorosamente lenti nella pratica: anche dopo un notevole sforzo di ottimizzazione , un calcolo dell'azione di gruppo richiede ancora minuti .

Il problema delle prestazioni è stato affrontato da una recente proposta chiamata CSIDH passando alle curve ellittiche supersingolari, che migliora drasticamente l'efficienza mantenendo sostanzialmente la stessa struttura sottostante. È ancora lento rispetto a schemi pre-quantici comparabili, nonché a schemi post-quantici incomparabili, ma può avere un posto in un mondo post-quantico a causa delle sue caratteristiche uniche.

— yyyyyyy
fonte