Tấn công lượng tử vào các hàm băm

Dòng câu hỏi được lấy cảm hứng từ một mẹo chọn trong Phần 4 của phiên bản PDF của Cuộc tấn công lượng tử giấy trên Hệ thống chứng minh cổ điển - Độ cứng của tua lại lượng tử (Ambainis et al. , 2014) . Các slide có sẵn ở đây . Tôi không hoàn toàn làm theo lập luận ở đó vì vậy có lẽ tôi đã bỏ lỡ điều gì đó quan trọng nhưng đây là cách giải thích của tôi về mánh khóe của họ.

Hãy xem xét hàm băm cổ điển có khả năng chống va chạm tức là khó tính toán . Chúng tôi muốn mã hóa một cam kết của một thông điệp bằng cách sử dụng hàm băm này. Đó là, tôi nhận được một số thông điệp và ghép một số ngẫu nhiên ở cuối để tôi tạo ra một cam kết . Khi được yêu cầu chứng minh cam kết của mình, tôi không thể tìm thấy một cặp khác (m ', u') sao cho c = H (m '\ Vert u') vì tính chất không va chạm của băm. Lựa chọn duy nhất của tôi là mở cam kết với (m, u) .$x \rightarrow H(x)$$H(x) = H(x') \land x\neq x'$ c = H ( m ‖ u ) ( m ′ , u ′ ) c = H ( m ′ ‖ u ′ ) ( m , u )$m$$u$$c = H(m\Vert u)$$(m',u')$$c = H(m'\Vert u')$$(m,u)$

Bây giờ, chúng ta tấn công giao thức này bằng một mạch lượng tử của hàm băm.

1. Đặt chồng lên tất cả các đầu vào có thể $x_i$ và truy vấn hàm băm với trạng thái này để có trạng thái $\vert\psi\rangle = \sum_{i}\vert x_i\rangle\vert H(x_i)\rangle$ .

2. Đo đăng ký thứ hai để có được một cam kết ngẫu nhiên. Phép đo chọn ngẫu nhiên $c = H(x_i)$ cho một số $i$ . Thanh ghi đầu tiên sau đó có $\vert\phi\rangle = \sum_j \vert x_j\rangle$ sao cho $\forall j, c = H(x_j)$ .

3. Tôi muốn mở lời cam kết với một số được đối thủ trao cho tôi. Sử dụng tìm kiếm của Grover trên thanh ghi đầu tiên để tìm từ trạng thái thỏa mãn một số thuộc tính đặc biệt. Cụ thể, tài sản đặc biệt làbit của là . Đó là, tôi sẽ tìm kiếm để tìm .$m'$$x_{\text{sol}}$$\vert\phi\rangle = \sum_j\vert x_j\rangle$$|m'|$$x_{\text{sol}}$$m'$$x_{\text{sol}} = m'\Vert u'$

Sử dụng các slide được đăng trước đó (Slide 8) và thuật ngữ của họ, đó là hiệu quả để tìm một giá trị từ giao lộ của hai bộ và . Ở đây là tập hợp của tất cả sao cho và là tập hợp của tất cả trong đó đầu tiênbit của chính xác là .$x$$S$$P$$S$$x$$H(x) = c$$P$$x$$|m'|$$x$$m'$

Các câu hỏi của tôi về cuộc tấn công này là như sau:

1. Tôi đã có được ý tưởng cơ bản của cuộc tấn công đúng chưa? Nếu sai, bỏ qua phần còn lại của bài viết!

2. Có bao nhiêu phần tử trong chồng chập sau khi chúng ta cam kết với một nhất định ? Để tôi có thể mở cam kết với bất kỳ thư nào, có vẻ như tôi nên có các phần tử (kích thước của phạm vi hàm băm). Nhưng cái này quá lớn.$\vert\phi\rangle$$c$$O(N)$

3. Tốc độ tìm kiếm Grover - điều này có liên quan đến điểm trước - là điều khác. Không phải sự phức tạp tính toán của việc tìm kiếm trên một chồng chất lớn như vậy sẽ giống như cố gắng đoán một hình ảnh trước cho một đầu ra nhất định của hàm băm vì người ta phải tìm kiếm trên tất cả các ? Trong trường hợp này, lợi thế ở đâu?$\vert\phi\rangle$$u$

Tôi đang tìm kiếm trực giác nhiều hơn bằng chứng toán học vì vậy bất kỳ trợ giúp đều được đánh giá cao!

Tôi đã có được ý tưởng cơ bản của cuộc tấn công đúng chưa? Nếu sai, bỏ qua phần còn lại của bài viết!

Hầu hết. Cách bạn mô tả nó, bạn thực sự sẽ có được trạng thái $\lvert\phi\rangle$ , nhưng bạn sẽ không thể thực hiện việc chuyển đổi đơn nhất $I-\lvert\phi\rangle\langle\phi\rvert$. Nhưng trong bước 3, khi bạn chạy Grover ở trạng thái $\lvert\phi\rangle$ , bạn thực sự cần phải áp dụng $I-\lvert\phi\rangle\langle\phi\rvert$như một phần của thuật toán Grover. Lý do là như sau: Thông thường, Grover được trình bày dưới dạng thuật toán tìm kiếm giá trị $x\in\{0,1\}^n$thỏa mãn một vị $P$ . Trong trường hợp này, thuật toán của Grover trước tiên khởi tạo trạng thái thành $\lvert\phi\rangle:=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$ . Và, trong vòng lặp chính của nó, nó áp dụng toán tử lật $I-\lvert\phi\rangle\langle\phi\rvert$. Toán tử đó khá dễ xây dựng nếu $\lvert\phi\rangle=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$, vì vậy nó thường không được nhắc đến như một yêu cầu của thuật toán. Tuy nhiên, thay vì tìm kiếm$x\in\{0,1\}^n$, bạn có thể tìm kiếm$x\in X$đối với một số bộ$X$. (Rốt cuộc, không có gì đặc biệt về bitstrings có độ dài$n$.) Sau đó, bạn cần thay đổi mô tả của Grover: Trạng thái ban đầu sẽ là$\lvert\phi\rangle=\sum_{x \in X}2^{-\lvert X\rvert/2}\lvert x\rangle$, và chúng ta cần phải áp dụng$I-\lvert\phi\rangle\langle\phi\rvert$trong vòng lặp chính. Đối với nhiều bộ$X$(ví dụ: số modulo$N$), nó sẽ khá dễ dàng để xây dựng$\lvert\phi\rangle$và$I-\lvert\phi\rangle\langle\phi\rvert$. Tuy nhiên, trong trường hợp chung, có thể khó xây dựng một trong hai. Trong mô tả của bạn về thuật toán, chúng tôi có một tình huống tương tự. Cụ thể,$X=\{x:H(x)=c\}$ cho một số$c$ cố định. Nhưng đối với tập$X$ đó, không có cách nào để xây dựng$\lvert\phi\rangle$ hoặc$I-\lvert\phi\rangle\langle\phi\rvert$. Đó là lý do tại sao thuật toán của bạn không hoạt động (nhưng nó vẫn đưa ra ý tưởng đúng). Thay vào đó, trong bài báo bạn trích dẫn, cả hai$\lvert\phi\rangle$ và$I-\lvert\phi\rangle\langle\phi\rvert$được cung cấp bởi các nhà tiên tri đặc biệt được xây dựng chỉ cho mục đích này. Sử dụng những lời tiên tri đó, sau đó bạn có thể chạy thuật toán Grovers trên trạng thái$\lvert\phi\rangle$ .

Có bao nhiêu yếu tố trong chồng chất $\lvert\phi\rangle$ sau khi chúng tôi cam kết một số $c$ ?

Điều này sẽ phụ thuộc vào các thông số bạn đã chọn. Chúng tôi hy vọng khoảng $M/N$ nếu $M$ là kích thước của tên miền và $N$ kích thước của hàng loạt các $H$ . Để mọi thứ trở nên thú vị, bạn nên chọn $M\gg N$ để có nhiều yếu tố theo cấp số nhân (và ít nhất là $2^{\lvert m\rvert}$ để mọi thông điệp đều có thể). Tuy nhiên, tôi giả sử lý do tại sao bạn tự hỏi về điều này là bởi vì bạn nghĩ rằng số lượng phần tử nên nhỏ để Grover hoạt động, đó không phải là trường hợp, xem bên dưới:

Tốc độ tìm kiếm Grover - đây là vấn đề chính và tôi không chắc thủ thuật của họ thực sự hoạt động như thế nào. Độ phức tạp tính toán sẽ không giống như cố gắng đoán hình ảnh trước cho một đầu ra nhất định của hàm băm vì người ta phải tìm kiếm trên tất cả các u? Trong trường hợp này, lợi thế ở đâu?

Ở đây dường như nói dối một quan niệm sai lầm. Hãy nhớ những giải thích của tôi về thuật toán của Grover khi bắt đầu câu trả lời này. Tìm kiếm Grover một số $x\in X$ , đáp ứng một số vị $P$ . Trong trường hợp của chúng tôi $X$ có thể là rất lớn ( các yếu tố $M/N$ ) bởi vì nó là tập hợp của tất cả các tiền tố của $c$ . Nhưng điều đó không quan trọng. Hãy nhớ rằng Grover ban đầu hoạt động trên $\{0,1\}^n$ , nó cũng rất lớn, nhưng hoạt động nhanh miễn là chúng tôi đang tìm kiếm một số $x\in\{0,1\}^n$ có một số thuộc tính chung$P$ . Ví dụ: nếu chúng ta tìm kiếm bằng Grover cho$x\in\{0,1\}^n$ thỏa mãn$33\mid x$ (vị ngữ$P$ ), thì chúng ta có rằng có nhiều$x$ thỏa mãn$P$ , cứ 33.$x$ thỏa mãn nó! Và thời gian chạy sẽ là một cái gì đó giống như$\sqrt{33}$ . Vì vậy, như một quy luật chung, nếu một vị$P$được thỏa mãn cho mỗi$i$yếu tố -thứ của$X$, sau đó Thuật toán Grover rằng các tìm kiếm cho$x\in X$thỏa mãn$P$mất khoảng$\sqrt i$ bước. Ở đây không quan trọng bộ$X$là gì, hay nó lớn như thế nào! (Chừng nào chúng ta có một cách để xây dựng$\lvert\phi\rangle$và$I-\lvert\phi\rangle\langle\phi\rvert$cho bộ này$X$.) Bây giờ, trong các thiết lập mà bạn mô tả,$X=\{x:H(x)=c\}$. Và$P$là vị nói rằng$x$bắt đầu với$m'$. Để phân tích thời gian chạy của thuật toán Grover trong trường hợp này, chúng tôi không quan tâm đến$X$, Nhưng chúng ta cần phải biết mức độ thường xuyên một yếu tố thỏa mãn $P$ . Điều đó thật dễ dàng: Mỗi $2^{\lvert m'\rvert}$-th yếu tố nào. Vì vậy thời gian chạy của Grover sẽ là $O(\sqrt{2^{\lvert m'\rvert}})$. Đây là một vấn đề nếu$m'$là dài, nhưng nếu$m'$là, ví dụ, chỉ là một chút, sau đó làm việc này tốt. Ví dụ, nếu chúng ta sử dụng hàm băm để cam kết thông điệp một chút, chúng ta có thể mở cam kết với bất kỳ giá trị của$m'$.

Nếu bạn muốn một ví dụ trong đó $m'$ dài hơn, thì bạn cần phải thay đổi xây dựng. Về cơ bản, bạn cam kết trên từng bit riêng lẻ và kết hợp các cam kết. Sau đó, mỗi cam kết có thể được phá vỡ bằng phương pháp được mô tả ở trên và bạn cần chạy thuật toán $\lvert m'\rvert$lần