Como justificar a segurança pós-criptografia quântica?

Existe alguma definição ou teorema sobre o que um computador quântico pode obter a partir de quais esquemas criptográficos pós-quânticos (por exemplo, criptografia de treliça, mas não criptografia quântica) podem justificar sua segurança? Sei que a função de localização do período é capaz de quebrar o RSA e logs discretos, mas é o único algoritmo relevante para quebrar os esquemas de criptografia? Posso dizer que, se um esquema não é suscetível à função de localização do período, ele não é suscetível à computação quântica? Caso contrário, existe alguma declaração alternativa semelhante da forma "se um esquema de criptografia não puder ser quebrado pelo algoritmo X, não pode ser quebrado pela computação quântica"?

Por exemplo, é suficiente provar que um esquema de criptografia só pode ser quebrado ao tentar todas as chaves possíveis, e o melhor que a computação quântica pode fazer nesse sentido é o tempo de pesquisa de raiz quadrada com o algoritmo de Grover?

Este é essencialmente o domínio das classes de complexidade computacional. Por exemplo, a classe BQP pode ser descrita de maneira grosseira como o conjunto de todos os problemas que podem ser resolvidos com eficiência em um computador quântico. A dificuldade com as classes de complexidade é que é difícil provar separações entre muitas classes, ou seja, a existência de problemas que estão em uma classe, mas não em outra.

Em certo sentido, é suficiente poder dizer "se este algoritmo quântico não pode quebrá-lo, é seguro", basta usar o algoritmo correto. Você precisa de um algoritmo completo do BQP, como encontrar raízes do polinômio Jones - qualquer algoritmo quântico pode ser convertido como uma instância de um algoritmo completo do BQP. No entanto, como esse algoritmo pode ser usado para o cracking é completamente obscuro e não é trivial. Não é suficiente ver que você não pode diretamente fazer força bruta. Portanto, essa abordagem provavelmente não é tão útil.

O que queremos de um cenário de criptografia pós-quantum? Nós precisamos:

• uma função que podemos calcular facilmente para fins de criptografia.$y=f(x)$
• para o qual o inverso não pode ser facilmente calculado em um computador quântico, ou seja, a classe do problema está fora do BQP.$f^{-1}(y)$
• dado algum segredo , existe uma função classicamente computável eficientemente , ou seja, com as informações suplementares, a função pode ser invertida. Isso é para que a pessoa certa (que possui a chave privada, ) possa descriptografar a mensagem.$z$$g(y,z)=x$$f(x)$$z$

Este último item é (essencialmente) a definição da classe de complexidade NP: os problemas para os quais pode ser difícil encontrar uma solução, mas para os quais uma solução é facilmente verificada quando é fornecida uma prova (correspondente à chave privada no nosso caso) .

Então, o que estamos procurando são problemas no NP, mas não no BQP. Como não sabemos se NP = BQP, não sabemos que essas coisas existem. No entanto, há um bom caminho para procurar soluções: consideramos problemas completos de NP. Esses são os casos mais difíceis de problemas no NP; portanto, se o BQP NP (que se acredita ser o caso), os problemas completos do NP certamente não estão no BQP. (Se um problema estiver completo para uma classe de complexidade, isso significa que, se você puder resolvê-lo com eficiência, poderá resolver todas as instâncias da classe com eficiência.) Portanto, esse é um tipo de orientação para onde se pode procurar algoritmos pós-quânticos .$\neq$

A sutileza adicional que complica as coisas, no entanto, é mais ou menos (não sou especialista) que as classes de complexidade falam sobre a complexidade do pior caso, ou seja, para um determinado tamanho de problema, é sobre quão difícil é a instância mais difícil possível do problema. Mas poderia haver apenas uma instância desse problema, o que significaria que, se corrigirmos o tamanho do problema (como é padrão, por exemplo, você pode falar sobre RSA de 1024 bits; 1024 bits é o tamanho do problema), haverá apenas uma chave privada. Se sabemos disso, um interceptador pode usar essa chave privada para descriptografar as mensagens. Portanto, precisamos realmente que esse raciocínio de complexidade computacional se aplique a uma grande proporção de entradas possíveis. Isso leva você ao mundo da complexidade de casos médios, onde, pelo que entendi, fica muito mais difícil fazer essas declarações.

Pode ser útil comparar o RSA, um sistema de criptografia de chave pública e ignorar a existência de computadores quânticos. É baseado na dificuldade de fatorar grandes números compostos. Esse problema não está (acredita-se) em P, portanto acredita-se que seja difícil para um hacker com um computador clássico obter a resposta. Enquanto isso, ele está no NP porque a solução é facilmente verificada (se você receber um fator, poderá verificar com facilidade). Isso significa que pode ser descriptografado usando um computador clássico pelo legítimo destinatário.

Existe alguma definição ou teorema sobre o que um computador quântico pode obter a partir do qual esquemas criptográficos pós-quantum (por exemplo, criptografia de treliça, mas não criptografia quântica) podem justificar sua segurança?

Não. Só porque seu esquema criptográfico pós-quântico funciona hoje, não significa que Peter Shor não encontrará um algoritmo quântico para quebrá-lo amanhã. "

Sei que a função de localização do período é capaz de quebrar o RSA e logs discretos, mas é o único algoritmo relevante para quebrar os esquemas de criptografia?

Não. Um exemplo de outro algoritmo é o algoritmo de Grover, que é relevante para quebrar sistemas de criptografia com base no problema do logaritmo transcendental .

Posso dizer que, se um esquema não é suscetível à função de localização do período, ele não é suscetível à computação quântica?

Não. Os esquemas baseados no Problema do Logaritmo Transcendental não são suscetíveis à descoberta de períodos, mas são suscetíveis a acelerações quânticas aprimoradas.

Caso contrário, existe alguma declaração alternativa semelhante da forma "se um esquema de criptografia não puder ser quebrado pelo algoritmo X, não pode ser quebrado pela computação quântica"?

Não. Não conhecemos todos os algoritmos quânticos em existência possível. Mesmo que um esquema seja resistente à descoberta de períodos e ao algoritmo de Grover, pode ser possível usar computadores quânticos para quebrá-lo com mais eficiência do que computadores clássicos. Talvez precisemos deixar Peter Shor interessado o suficiente para criar um esquema de descriptografia aprimorado quântico para ele.

É suficiente provar que um esquema de criptografia só pode ser quebrado ao tentar todas as chaves possíveis, e o melhor que a computação quântica pode fazer nesse sentido é o tempo de pesquisa da raiz quadrada com o algoritmo de Grover?

Não. Só porque um computador clássico não pode interromper seu esquema, exceto tentando todas as chaves possíveis, não significa que um computador quântico não possa.

Aqui está uma pergunta que tem uma resposta sim :

O que podemos fazer para provar que um esquema de criptografia é seguro contra computadores quânticos?

Resposta: Prove que descriptografar o código é um problema completo do QMA ou difícil do QMA. Problemas difíceis de QMA são difíceis para computadores quânticos, da mesma forma que problemas difíceis de NP são difíceis para computadores clássicos.

Isso me inspirou a fazer esta pergunta, que eu não sei a resposta!