Serangan kuantum pada fungsi hash

Garis pertanyaan diilhami oleh pick pick trick di Bagian 4 dari versi PDF makalah Quantum Attacks on Classic Proof Systems - The Hardness of Quantum Rewinding (Ambainis et al. , 2014) . Slide tersedia di sini . Saya tidak sepenuhnya mengikuti argumen di sana jadi mungkin saya melewatkan sesuatu yang penting tapi di sini adalah interpretasi saya tentang trik mereka.

Pertimbangkan fungsi hash klasik yang tahan tabrakan yaitu sulit untuk menemukan . Kami ingin menyandikan komitmen pesan menggunakan fungsi hash ini. Yaitu, saya mengambil beberapa pesan dan menggabungkan beberapa keacakan pada akhirnya sehingga saya menghasilkan komitmen . Ketika diminta untuk membuktikan komitmen saya, saya tidak dapat menemukan pasangan yang berbeda (m ', u') sedemikian rupa sehingga c = H (m '\ Vert u') karena sifat hash bebas tabrakan. Satu-satunya pilihan saya adalah membuka komitmen untuk (m, u) .$x \rightarrow H(x)$$H(x) = H(x') \land x\neq x'$$m$$u$$c = H(m\Vert u)$$(m',u')$$c = H(m'\Vert u')$$(m,u)$

Sekarang, kita menyerang protokol ini dengan sirkuit kuantum dari fungsi hash.

1. Ambil superposisi atas semua input yang mungkin $x_i$ dan kueri fungsi hash dengan status ini untuk mendapatkan status $\vert\psi\rangle = \sum_{i}\vert x_i\rangle\vert H(x_i)\rangle$ .

2. Ukur register kedua untuk mendapatkan komitmen acak. Pengukuran secara acak memilih $c = H(x_i)$ untuk beberapa $i$ . Register pertama kemudian memiliki $\vert\phi\rangle = \sum_j \vert x_j\rangle$ sehingga $\forall j, c = H(x_j)$ .

3. Saya ingin membuka komitmen untuk beberapa yang diberikan kepada saya oleh lawan. Gunakan pencarian Grover pada register pertama untuk menemukan dari status yang memenuhi beberapa properti khusus. Secara khusus, properti khusus adalah yang pertamabit adalah . Yaitu, saya akan mencari .$m'$$x_{\text{sol}}$$\vert\phi\rangle = \sum_j\vert x_j\rangle$$|m'|$$x_{\text{sol}}$$m'$$x_{\text{sol}} = m'\Vert u'$

Menggunakan slide diposting sebelumnya (Slide 8) dan terminologi mereka, itu adalah efisien untuk menemukan nilai dari persimpangan dua set dan . Di sini adalah himpunan semua sehingga dan adalah himpunan semua mana yang pertamabit persis .$x$$S$$P$$S$$x$$H(x) = c$$P$$x$$|m'|$$x$$m'$

Pertanyaan saya tentang serangan ini adalah sebagai berikut:

1. Apakah saya mendapatkan ide dasar serangan yang benar? Jika salah, abaikan sisa posting!

2. Berapa banyak elemen yang ada di superposisi setelah kita berkomitmen pada tertentu ? Agar saya dapat membuka komitmen untuk pesan apa pun, sepertinya saya harus memiliki elemen (ukuran rentang fungsi hash). Tapi ini terlalu besar.$\vert\phi\rangle$$c$$O(N)$

3. Kecepatan pencarian Grover - ini terkait dengan poin sebelumnya - adalah hal lain. Bukankah kompleksitas komputasi pencarian di atas superposisi besar seperti sama dengan mencoba menebak pra-gambar untuk output fungsi hash yang diberikan karena kita harus mencari semua ? Dalam hal ini, di mana keuntungannya?$\vert\phi\rangle$$u$

Saya mencari intuisi lebih dari bukti matematika sehingga setiap bantuan sangat dihargai!

Apakah saya mendapatkan ide dasar serangan yang benar? Jika salah, abaikan sisa posting!

Kebanyakan. Cara Anda menggambarkannya, Anda memang akan mendapatkan status , tetapi Anda tidak akan dapat melakukan transformasi kesatuan . Tetapi pada langkah 3, ketika Anda menjalankan Grover pada status , Anda sebenarnya perlu menerapkan sebagai bagian dari algoritma Grover. Alasannya adalah sebagai berikut: Biasanya, Grover disajikan sebagai algoritma yang pencarian nilai yang memenuhi predikat . Dalam kasus ini, algoritma Grover pertama-tama menginisialisasi keadaan menjadi$\lvert\phi\rangle$$I-\lvert\phi\rangle\langle\phi\rvert$$\lvert\phi\rangle$$I-\lvert\phi\rangle\langle\phi\rvert$$x\in\{0,1\}^n$$P$$\lvert\phi\rangle:=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$. Dan, selama loop utamanya, ia menggunakan operator flip . Operator itu cukup mudah dibangun jika , jadi biasanya tidak disebutkan sebagai persyaratan algoritma. Namun, alih-alih mencari , Anda dapat mencari untuk beberapa set$I-\lvert\phi\rangle\langle\phi\rvert$$\lvert\phi\rangle=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$$x\in\{0,1\}^n$$x\in X$$X$ . (Lagi pula, tidak ada yang istimewa tentang bitstrings of length$n$ .) Maka Anda perlu mengubah deskripsi Grover: Keadaan awal akan$\lvert\phi\rangle=\sum_{x \in X}2^{-\lvert X\rvert/2}\lvert x\rangle$, dan kami perlu untuk menerapkan$I-\lvert\phi\rangle\langle\phi\rvert$selama loop utama. Untuk banyak set$X$(misalnya, angka modulo$N$) akan cukup mudah untuk membangun$\lvert\phi\rangle$dan$I-\lvert\phi\rangle\langle\phi\rvert$. Namun, dalam kasus umum, mungkin sulit untuk membangun keduanya. Dalam uraian algoritme Anda, kami memiliki situasi yang serupa. Yaitu,$X=\{x:H(x)=c\}$ untuk beberapa perbaikan$c$ . Tetapi untuk set$X$ , tidak ada cara untuk membangun$\lvert\phi\rangle$ atau$I-\lvert\phi\rangle\langle\phi\rvert$. Itu sebabnya algoritme Anda tidak berfungsi (tetapi masih memberikan ide yang tepat). Sebaliknya, di koran yang Anda kutip, keduanya$\lvert\phi\rangle$ dan$I-\lvert\phi\rangle\langle\phi\rvert$disediakan oleh nubuat khusus yang dibangun hanya untuk tujuan ini. Menggunakan oracle itu, Anda kemudian dapat menjalankan algoritma Grovers di negara$\lvert\phi\rangle$.

Berapa banyak elemen yang ada di superposisi $\lvert\phi\rangle$ setelah kami berkomitmen untuk tertentu $c$ ?

Ini akan tergantung pada parameter yang Anda pilih. Kami berharap sekitar $M/N$ jika $M$ adalah ukuran dari domain dan $N$ ukuran kisaran $H$ . Agar hal-hal menjadi menarik, Anda harus memilih $M\gg N$ sehingga akan ada banyak elemen eksponensial dalam superposisi (dan setidaknya $2^{\lvert m\rvert}$ sehingga setiap pesan dimungkinkan). Namun, saya berasumsi alasan mengapa Anda bertanya-tanya tentang hal ini adalah karena Anda berpikir bahwa jumlah elemen harus kecil agar Grover dapat berfungsi, yang bukan masalahnya, lihat di bawah:

Kecepatan pencarian Grover - ini adalah masalah utama dan saya tidak yakin bagaimana trik mereka bekerja. Bukankah kompleksitas komputasi sama dengan mencoba menebak pra-gambar untuk output yang diberikan dari fungsi hash karena kita harus mencari semua u? Dalam hal ini, di mana keuntungannya?

Di sini tampaknya terletak kesalahpahaman. Ingat penjelasan saya tentang algoritma Grover di awal jawaban ini. Pencarian Grover beberapa $x\in X$ , memuaskan beberapa predikat $P$ . Dalam kasus kami $X$ dapat menjadi besar ( elemen $M/N$ ) karena itu adalah himpunan semua preimage $c$ . Tapi itu tidak masalah. Ingat bahwa Grover asli berfungsi pada $\{0,1\}^n$ yang juga sangat besar, tetapi bekerja dengan cepat selama kami mencari beberapa $x\in\{0,1\}^n$ yang memiliki beberapa properti umum$P$ . Sebagai contoh, jika kita mencari menggunakan Grover untuk$x\in\{0,1\}^n$ yang memenuhi$33\mid x$ (predikat$P$ ), maka ada banyak$x$ yang memenuhi$P$ , setiap 33.$x$ memuaskan! Dan runtime akan menjadi sesuatu seperti$\sqrt{33}$ . Jadi, sebagai aturan umum, jika predikat$P$puas untuk setiap$i$elemen -th$X$, maka algoritma Grover yang pencarian untuk$x\in X$yang memenuhi$P$memakan waktu sekitar$\sqrt i$ melangkah. Di sini tidak masalah apa set$X$, atau seberapa besar itu! (Selama kita memiliki cara untuk membangun$\lvert\phi\rangle$dan$I-\lvert\phi\rangle\langle\phi\rvert$untuk set ini$X$.) Sekarang, dalam pengaturan Anda menjelaskan,$X=\{x:H(x)=c\}$. Dan$P$adalah predikat yang mengatakan bahwa$x$dimulai dengan$m'$. Untuk menganalisis runtime algoritma Grover dalam kasus ini, kami tidak peduli dengan$X$, Tetapi kita perlu tahu seberapa sering elemen memuaskan $P$ . Itu mudah: Setiap $2^{\lvert m'\rvert}$elemen-tidak. Jadi runtime dari Grover akan menjadi $O(\sqrt{2^{\lvert m'\rvert}})$. Ini adalah masalah jika$m'$panjang, tetapi jika$m'$adalah, misalnya, hanya sedikit, maka ini berfungsi dengan baik. Sebagai contoh, jika kita menggunakan fungsi hash untuk mengkomit ke pesan satu-bit, kita dapat membuka komitmen untuk nilai$m'$.

Jika Anda ingin contoh di mana $m'$ lebih panjang, maka Anda perlu memvariasikan konstruksinya. Pada dasarnya, Anda berkomitmen pada setiap bit secara individual dan menyatukan komitmen. Maka setiap komitmen dapat dipatahkan menggunakan metode yang dijelaskan di atas, dan Anda perlu menjalankan algoritme $\lvert m'\rvert$waktu.