Come giustificare la sicurezza della crittografia post quantistica?

9

C'è qualche definizione o teorema su ciò che un computer quantistico può ottenere da quali schemi crittografici post-quantici (ad esempio la crittografia reticolare, ma non la crittografia quantistica) possono giustificare la loro sicurezza? So che la funzione di ricerca del periodo è in grado di rompere RSA e registri discreti, ma è l'unico algoritmo rilevante per rompere gli schemi di crittografia? Posso dire che se uno schema non è suscettibile alla funzione di ricerca del periodo non è suscettibile al calcolo quantistico? In caso contrario, esiste una dichiarazione alternativa simile del modulo "se uno schema di crittografia non può essere rotto dall'algoritmo X, non può essere rotto dal calcolo quantico"?

Ad esempio, è sufficiente dimostrare che uno schema di crittografia può essere rotto solo provando tutte le chiavi possibili, e il meglio che il calcolo quantistico può fare in questo senso è il tempo di ricerca della radice quadrata con l'algoritmo di Grover?

cryptography 
Joseph Johnston
fonte
1
Mi hai ispirato a porre questa domanda.
user1271772
Correlato: crypto.stackexchange.com/questions/30055/… . In breve: la maggior parte dei sistemi crittografici si è dimostrata sicura supponendo che alcuni problemi siano "difficili". Tuttavia, la durezza di quel problema si basa generalmente su argomenti empirici (ad esempio "non sappiamo come risolverlo"), piuttosto che su argomenti teorici della teoria della complessità computazionale.
Lucertola discreta,

Risposte:

5

Questo è essenzialmente il regno delle classi di complessità computazionale. Ad esempio, la classe BQP può essere grossolanamente descritta come l'insieme di tutti i problemi che possono essere risolti in modo efficiente su un computer quantistico. La difficoltà con le classi di complessità è che è difficile dimostrare la separazione tra molte classi, vale a dire l'esistenza di problemi che sono in una classe ma non in un'altra.

In un certo senso, è sufficiente poter dire "se questo algoritmo quantico non può romperlo, è sicuro", devi solo usare l'algoritmo giusto. È necessario un algoritmo completo BQP come la ricerca di radici del polinomio di Jones : qualsiasi algoritmo quantistico può essere lanciato come istanza di un algoritmo completo BQP. Tuttavia, come tale algoritmo possa essere utilizzato per il cracking è completamente poco chiaro e non banale. Non è sufficiente vedere che non puoi direttamente forzare le cose con la forza. Quindi, questo approccio probabilmente non è così utile.

Cosa vogliamo da uno scenario crittografico post-quantico? Abbiamo bisogno:

  • y=f(x)
  • f1(y)
  • zg(y,z)=xf(x)z

Quest'ultimo punto è (essenzialmente) la definizione della classe di complessità NP: i problemi per i quali può essere difficile trovare una soluzione, ma per i quali una soluzione è facilmente verificabile quando viene fornita una prova (corrispondente alla chiave privata nel nostro caso) .

La sottigliezza aggiuntiva che complica le cose, tuttavia, è all'incirca (non sono un esperto) che le classi di complessità parlano della complessità del caso peggiore, cioè per una data dimensione del problema, riguarda quanto sia difficile l'istanza più difficile possibile del problema. Ma potrebbe esserci solo un'istanza del problema, il che significherebbe che se risolviamo la dimensione del problema (come standard, ad esempio potresti parlare di RSA a 1024 bit; la dimensione del problema è 1024 bit), ci sarà solo una chiave privata. Se lo sappiamo, un intercettatore può semplicemente usare quella chiave privata per decrittografare i messaggi. Quindi, in realtà abbiamo bisogno che questo ragionamento sulla complessità computazionale si applichi per una grande proporzione di possibili input. Questo ti porta nel mondo della complessità dei casi medi in cui, come ho capito, diventa molto più difficile fare tali affermazioni.

Potrebbe essere utile fare un confronto con RSA, un sistema crittografico a chiave pubblica, e ignorare l'esistenza di computer quantistici. Si basa sulla difficoltà di fattorizzare grandi numeri composti. Questo problema non è (si ritiene sia) in P, quindi si ritiene che sia difficile per un hacker con un computer classico ottenere la risposta. Nel frattempo, è in NP perché la soluzione è prontamente verificata (se ti viene dato un fattore, puoi facilmente verificare che sia un fattore). Ciò significa che può essere decifrato utilizzando un computer classico dal legittimo destinatario.

DaftWullie
fonte
4

Esiste una definizione o un teorema su ciò che un computer quantistico può ottenere da cui schemi crittografici post quantici (ad esempio crittografia reticolare, ma non crittografia quantistica) possono giustificare la loro sicurezza?

No. Solo perché il tuo schema crittografico post-quantico funziona oggi, non significa che Peter Shor non troverà un algoritmo quantico per romperlo domani. "

So che la funzione di ricerca del periodo è in grado di rompere RSA e log discreti, ma è l'unico algoritmo rilevante per rompere gli schemi di crittografia?

No. Un esempio di un altro algoritmo è l'algoritmo di Grover, che è rilevante per la rottura dei sistemi crittografici basati sul Problema del logaritmo trascendentale .

Posso dire che se uno schema non è suscettibile alla funzione di ricerca del periodo non è suscettibile al calcolo quantistico?

No. Gli schemi basati sul problema del logaritmo trascendentale non sono suscettibili alla ricerca del periodo, ma sono sensibili alle accelerazioni quantistiche potenziate.

In caso contrario, esiste una dichiarazione alternativa simile del modulo "se uno schema di crittografia non può essere rotto dall'algoritmo X, non può essere rotto dal calcolo quantico"?

No. Non conosciamo tutti i singoli algoritmi quantistici nella possibile esistenza. Anche se uno schema è resistente alla ricerca periodica e all'algoritmo di Grover, potrebbe essere possibile utilizzare i computer quantistici per romperlo in modo più efficiente rispetto ai computer classici. Potremmo solo aver bisogno di rendere Peter Shor abbastanza interessato da elaborare uno schema quantico di decrittazione migliorato per questo.

È sufficiente dimostrare che uno schema di crittografia può essere rotto solo provando tutte le chiavi possibili, e il meglio che il calcolo quantistico può fare in questo senso è il tempo di ricerca della radice quadrata con l'algoritmo di Grover?

No. Solo perché un computer classico non può rompere il tuo schema se non provando tutti i tasti possibili, non significa che un computer quantistico non può.

Ecco una domanda che ha una risposta :

Cosa possiamo fare per dimostrare che uno schema di crittografia è sicuro contro i computer quantistici?

Risposta: dimostrare che la decrittografia del codice è un problema di QMA completo o QMA difficile. I problemi di QMA sono problemi difficili per i computer quantistici in quanto i problemi di NP sono difficili per i computer classici.

Questo mi ha ispirato a porre questa domanda, a cui non conosco la risposta!

user1271772
fonte
Molto conciso e al punto, specialmente con la tua domanda in grassetto. Ho anche imparato dalla domanda correlata che hai posto. Ma per ulteriori informazioni e chiarimenti sulle pertinenti classi di complessità, ho accettato l'altra risposta.
Joseph Johnston,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.