Общедоступного документа пока нет, поэтому этот ответ является предварительным и основан на том, что было представлено в докладе и последующем обсуждении. Полное понимание не может быть достигнуто, пока не будет документа для проверки, оценки и сравнения с предыдущей работой и известными результатами. Однако, похоже, уже появляется хорошее понимание ситуации.
tl;dr это: особая проблема, к которой обращаются авторы, классически легко решить с помощью стандартных алгоритмов решетки (квант не требуется), как показано в этой заметке. Более того, основной новый квантовый шаг может быть реализован классически (и гораздо проще и эффективнее). Итак, работа не показывает ни квантового преимущества по сравнению с тем, что мы уже знали, как делать классически, ни чего-то нового в том, что мы можем делать классически. Подробности следуют.
Предложение «об одном классе целочисленных решеток» является очень важным уточнением. Проблема BDD, к которой обращаются авторы, заключается в том, что решетка$q$-ary” и генерируется одним $n$-размерный мод-$q$ вектор (или их небольшое количество), модуль $q \gg 2 ^ {\ sqrt {n}} $, а целевой вектор находится в $\ll 2^{-\sqrt{n}}$ фактор минимального расстояния решетки. Этот параметр далек от всего, что когда-либо использовалось в решетчатой криптографии (насколько мне известно), поэтому результат не окажет прямого влияния на предлагаемые решетчатые системы. Конечно, более широкий вопрос заключается в том, могут ли методы привести к более сильным результатам, которые действительно влияют на решетчатую криптографию.
Основываясь на описании, данном в докладе, несколько экспертов считают весьма вероятным, что проблема специальной решетки, к которой обращаются авторы, уже легко решается с помощью известных классический методы (квант не требуется). ОБНОВИТЬ: это оказалось так, и это подтверждается в эта записка. Другими словами, особая форма проблемы BDD позволяет легко решить ее известными и неудивительными способами. Алгоритм представляет собой просто стандартную последовательность редукции базиса LLL, за которой следует декодирование ближайшей плоскости Бабаи, но демонстрация того, что это действительно работает, зависит от некоторых более глубоких (но ранее известных) свойств LLL, чем те, которые обычно вызываются.
А как насчет более широкого вопроса: могут ли основные методы привести к более сильным результатам, которые мы не можем получить в настоящее время классическими методами? Оказывается, то, что выполняет основной квантовый шаг, преобразование «наихудшего случая в средний», может быть выполнено. классически (и более просто и эффективно) с использованием хорошо известного метода рандомизации — так называемой «саморедукции LWE» или — ($q$-ary) редукция BDD к LWE». См. раздел 5 и теорему 5.3 Эта бумага и более ранние работы, цитируемые там для деталей.
Точнее, $n$-размерный $q$-ary BDD для относительного расстояния $\альфа$ (рассматриваемая авторами задача) классически сводится к LWE с частотой ошибок $\альфа\cdot O(\sqrt{n})$. Хотя это сокращение кажется ненужным для решения исходной рассматриваемой проблемы BDD, оно показывает, что основной новый квантовый шаг может быть заменен чем-то классическим, что работает, по крайней мере, так же хорошо (и, вероятно, даже лучше с точки зрения параметров). Это указывает на то, что основная квантовая техника, вероятно, не обладает какой-либо новой или удивительной силой в этом контексте.