Рейтинг:24

Что означает работа «Эффективный квантовый алгоритм для задач с решеткой, обеспечивающий субэкспоненциальный коэффициент аппроксимации»?

флаг ie

В Эффективный квантовый алгоритм для задач с решеткой, обеспечивающий коэффициент субэкспоненциальной аппроксимации, автор утверждает, что они дают квантовый алгоритм с полиномиальным временем для решения проблемы декодирования на ограниченном расстоянии с субэкспоненциальным коэффициентом аппроксимации в классе целочисленных решеток. Что означает этот результат? Будет ли это означать ненадежность решетчатой ​​криптографии? Так ли это важно, как квантовый алгоритм факторинга Питер Шор?

fgrieu avatar
флаг ng
Прежде чем эта работа подразумевает небезопасность решетчатой ​​криптографии, нам понадобятся [Криптографически релевантные квантовые компьютеры](https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804. ). [Позднее добавление: это комментирует очевидное: вопрос «Будет ли ((этот результат) _подразумевать_ небезопасность решетчатой ​​криптографии?» может быть только с CRQC]
Yehuda Lindell avatar
флаг us
@fgrieu Одним из основных преимуществ решетчатой ​​криптографии является квантовая устойчивость.Итак, вопрос в том, опровергает ли этот новый результат это утверждение. Очевидно, что пока не будет построен квантовый компьютер на стадии его создания, если такая машина когда-либо будет построена, угрозы не будет. Однако остается вопрос, должна ли криптография на основе решетки оставаться кандидатом для постквантового мира.
kelalaka avatar
флаг in
@YehudaLindell разве это не угроза, если такая машина возможна? Так как перехватчик может сохранить общение и все сломать. Вот почему мы используем AES-256, а не AES-128.
Mark avatar
флаг ng
@kelalaka это действительно зависит от приложения. На некоторые из них (например, на аутентификацию) в ближайшее время повлияют незначительно, за небольшими исключениями (возможно, обновления ОС или другие *крайне* важные для безопасности вещи).
yyyyyyy avatar
флаг in
Теперь есть [примечание] (https://github.com/lducas/BDD-note/blob/main/note.pdf) от Léo Ducas & Wessel van Woerden, в котором утверждается, что классического LLL достаточно, чтобы получить почти то же самое. результат.
Yehuda Lindell avatar
флаг us
@kelaka Я согласен, что кто-то, говорящий, что ему нужна конфиденциальность в течение 20 лет, может сейчас беспокоиться.Лично я сомневаюсь, что это произойдет в ближайшие 20 лет, но я вижу беспокойство. В любом случае, тем временем я настоятельно рекомендую использовать двойное шифрование как с RSA/решетками, так и с ECC/решетками.
Рейтинг:30
флаг in

Общедоступного документа пока нет, поэтому этот ответ является предварительным и основан на том, что было представлено в докладе и последующем обсуждении. Полное понимание не может быть достигнуто, пока не будет документа для проверки, оценки и сравнения с предыдущей работой и известными результатами. Однако, похоже, уже появляется хорошее понимание ситуации.

tl;dr это: особая проблема, к которой обращаются авторы, классически легко решить с помощью стандартных алгоритмов решетки (квант не требуется), как показано в этой заметке. Более того, основной новый квантовый шаг может быть реализован классически (и гораздо проще и эффективнее). Итак, работа не показывает ни квантового преимущества по сравнению с тем, что мы уже знали, как делать классически, ни чего-то нового в том, что мы можем делать классически. Подробности следуют.

Предложение «об одном классе целочисленных решеток» является очень важным уточнением. Проблема BDD, к которой обращаются авторы, заключается в том, что решетка$q$-ary” и генерируется одним $n$-размерный мод-$q$ вектор (или их небольшое количество), модуль $q \gg 2 ^ {\ sqrt {n}} $, а целевой вектор находится в $\ll 2^{-\sqrt{n}}$ фактор минимального расстояния решетки. Этот параметр далек от всего, что когда-либо использовалось в решетчатой ​​криптографии (насколько мне известно), поэтому результат не окажет прямого влияния на предлагаемые решетчатые системы. Конечно, более широкий вопрос заключается в том, могут ли методы привести к более сильным результатам, которые действительно влияют на решетчатую криптографию.

Основываясь на описании, данном в докладе, несколько экспертов считают весьма вероятным, что проблема специальной решетки, к которой обращаются авторы, уже легко решается с помощью известных классический методы (квант не требуется). ОБНОВИТЬ: это оказалось так, и это подтверждается в эта записка. Другими словами, особая форма проблемы BDD позволяет легко решить ее известными и неудивительными способами. Алгоритм представляет собой просто стандартную последовательность редукции базиса LLL, за которой следует декодирование ближайшей плоскости Бабаи, но демонстрация того, что это действительно работает, зависит от некоторых более глубоких (но ранее известных) свойств LLL, чем те, которые обычно вызываются.

А как насчет более широкого вопроса: могут ли основные методы привести к более сильным результатам, которые мы не можем получить в настоящее время классическими методами? Оказывается, то, что выполняет основной квантовый шаг, преобразование «наихудшего случая в средний», может быть выполнено. классически (и более просто и эффективно) с использованием хорошо известного метода рандомизации — так называемой «саморедукции LWE» или — ($q$-ary) редукция BDD к LWE». См. раздел 5 и теорему 5.3 Эта бумага и более ранние работы, цитируемые там для деталей.

Точнее, $n$-размерный $q$-ary BDD для относительного расстояния $\альфа$ (рассматриваемая авторами задача) классически сводится к LWE с частотой ошибок $\альфа\cdot O(\sqrt{n})$. Хотя это сокращение кажется ненужным для решения исходной рассматриваемой проблемы BDD, оно показывает, что основной новый квантовый шаг может быть заменен чем-то классическим, что работает, по крайней мере, так же хорошо (и, вероятно, даже лучше с точки зрения параметров). Это указывает на то, что основная квантовая техника, вероятно, не обладает какой-либо новой или удивительной силой в этом контексте.

Sam Jaques avatar
флаг us
Использование приближенных собственных векторов, собственное значение которых содержит «секрет», было для меня новым. Является ли это хорошо известным методом в криптоанализе квантовых решеток, или возможно, что он может найти более мощное применение, чем редукция $n\rightarrow\sqrt{n}$?
Chris Peikert avatar
флаг in
Я не совсем понял, к чему они этим клонят. Но «приближенные собственные векторы» (в другом, неквантовом смысле) являются распространенным инструментом в последнем поколении схем FHE на основе LWE, а-ля GSW.
флаг cn
Интересно... предположим, меня беспокоит только то, что это может вдохновить кого-то еще на открытие чего-то более подлинно нового. Общая проблема с нынешними кандидатами на PQ заключается в том, что до того, как QC даже появились, мы, конечно, не исследовали ничего близкого ко всему пространству возможных квантовых алгоритмов.
Sam Jaques avatar
флаг us
В вашем предпоследнем абзаце я не вижу цепочки сокращений. Теорема 5.3 из статьи, на которую вы ссылаетесь, похоже, не улучшает коэффициент аппроксимации или размерность, что и делает квантовый алгоритм. Не могли бы вы объяснить, как это работает? Как только мы приведем к LWE, можем ли мы вернуться к $q$-арному BDD с относительным расстоянием меньше, чем $\alpha$?
Рейтинг:9
флаг in

Я создал веб-сайт для краудсорсинга того, что известно об алгоритмах для задач решетки в NP, пересекающих CoNP:

https://решетчатыеалгоритмы.xyz

Наша газета готова:

https://arxiv.org/abs/2201.13450

Для справки, вот временная шкала, которой мы следовали:

До 17.08.21 мы довольно основательно прошлись по классической литературе. Классический алгоритм также был бы хорош, чтобы мы могли передать его обратно в квантовые алгоритмы. Но поскольку базовый случай представляет собой наихудший тип хорошо изученной проблемы скрытых чисел, казалось разумным, что ничего не известно.

17.08.21-21.09.21: Мы опросили 5 экспертов, что известно о проблеме. В одном случае мы указали наилучший классический подход, который смогли найти. Мы не получили ответов с новой информацией.

21.09.21: Было принято решение использовать специальный базовый случай с одним вектором в докладе, потому что (1) это поможет людям решить его, и (2) это коллоквиум на квантовом семинаре и, следовательно, необходимо быть доступным для широкой аудитории. Разговор только с решетками или только с квантовым уже вызов, а совместить и то, и другое, ну попробуй! 21.09.21: Оживленная дискуссия о возможностях во время панели, но без алгоритмов.

22.09.21: Нам прислали новый классический алгоритм для особого случая, и после того, как мы прояснили, на что способны наши алгоритмы, пересмотр, описывающий, как получить более общий случай, анализируя LLL.

31.01.22: Классического ответа для нашей границы Шнорра пока не получено.

Шон

Рейтинг:8
флаг ng

На этот вопрос можно было бы дать гораздо более длинный ответ (и мне было бы очень интересно увидеть точку зрения кого-то вроде Криса), но следующих двух моментов, вероятно, будет достаточно для неспециалиста.

Факторы приближения: Основной способ, с помощью которого эту атаку следует рассматривать как (потенциальную) угрозу для криптографии на основе решетки, — это возможность будущих улучшений. Коэффициент аппроксимации, на который нацелена эта цель (который, как я полагаю, равен $2^{n^{1/2}}$) достаточно велико, что даже если LWE классически слабо в этом диапазоне, можно было бы построить такие вещи, как:

  • ПКЕ
  • Цифровые подписи
  • ФТО

Например. большая часть того, о чем вы могли бы заботиться, все еще существовала бы. Таким образом, текущая атака сама по себе на самом деле не влияет на основную часть «практической» криптографии на основе решетки, хотя, конечно, возможны дальнейшие улучшения атаки.

Возможность деквантования: Атака состоит из двух частей:

  1. Шаг (квантового) уменьшения размерности (от $n\to \sqrt{n}$)
  2. Используйте стандартные классические методы для решения $\sqrt{n}$-экземпляр измерения.

Ряд людей предложили возможность деквантования первого шага с помощью таких вещей, как взятие случайных линейных комбинаций (скажем, с коэффициентами Гаусса) базисных векторов. Если это уменьшение размерности работает, получается BDD с коэффициентом аппроксимации. $2^{n^{1/2}}$ за полиномиальное время (я полагаю).

Хотя это сделало бы сам алгоритм сильнее, это также сделало бы его менее тревожным в определенном смысле. Это потому, что у нас (классически) есть довольно приличное представление о том, насколько сложными являются проблемы решетки. При этом я, в частности, имею в виду такие вещи, как:

  1. Различные «мелкозернистые» результаты твердости, которые существуют (скажем, в соответствии с экспоненциальной гипотезой времени или ее вариантами),
  2. недавний нижние границы решетчатого просеивания, и
  3. результаты твердости при наличии предварительной обработки (например, результаты твердости CVPP).

Конечно, они не исключают всех возможных атак, но их следует упомянуть как растущее число формальных свидетельств классической сложности задач на решетках. Это означает, что главное, что касается связанного разговора, — это существование нетривиальное квантовое ускорение --- если это деквантовать, мы вернемся к классическим вычислениям, где наше понимание сложности задач решетки лучше.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.