Điểm:24

Tác phẩm "Một thuật toán lượng tử hiệu quả cho các vấn đề về mạng đạt được hệ số xấp xỉ theo cấp số nhân" nghĩa là gì?

lá cờ ie

Trong Một thuật toán lượng tử hiệu quả cho các bài toán mạng đạt được hệ số xấp xỉ dưới cấp số nhân, tác giả tuyên bố họ đưa ra thuật toán lượng tử thời gian đa thức để giải bài toán Giải mã khoảng cách giới hạn với hệ số xấp xỉ cấp số nhân trên một lớp các mạng số nguyên. Không kết quả này có ý nghĩa gì? Nó sẽ ngụ ý sự không an toàn của mật mã mạng? Nó có quan trọng như thuật toán lượng tử để bao thanh toán của Peter Shor?

fgrieu avatar
lá cờ ng
Trước khi công việc này ám chỉ sự không an toàn của mật mã mạng, chúng ta cần [Máy ​​tính lượng tử liên quan đến mật mã](https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF ). [Bổ sung muộn: điều này nhận xét rõ ràng: câu hỏi "Liệu ((kết quả này) _imply_ sự không an toàn của mật mã mạng?" chỉ có thể có với CRQC]
Yehuda Lindell avatar
lá cờ us
@fgrieu Một trong những điểm bán hàng chính của mật mã mạng là khả năng kháng lượng tử.Vì vậy, câu hỏi đặt ra là liệu kết quả mới này có làm mất hiệu lực yêu cầu đó hay không. Rõ ràng là không có mối đe dọa nào cho đến khi một máy tính lượng tử ở giai đoạn này được chế tạo, nếu một chiếc máy như vậy đã từng được chế tạo. Tuy nhiên, câu hỏi vẫn là liệu mật mã dựa trên mạng tinh thể có nên tiếp tục là một ứng cử viên cho thế giới hậu lượng tử hay không.
kelalaka avatar
lá cờ in
@YehudaLindell không phải là mối đe dọa nếu một chiếc máy như vậy khả thi sao? Vì kẻ nghe trộm có thể lưu trữ thông tin liên lạc và phá vỡ tất cả. Đây là lý do tại sao chúng tôi đang sử dụng AES-256 chứ không phải AES-128.
Mark avatar
lá cờ ng
@kelalaka nó thực sự phụ thuộc vào ứng dụng. Một số (như xác thực) bị ảnh hưởng nhẹ trong thời gian tới, với các ngoại lệ nhỏ (có thể là các bản cập nhật hệ điều hành hoặc những thứ quan trọng về bảo mật *cao* khác).
yyyyyyy avatar
lá cờ in
Hiện có một [ghi chú](https://github.com/lducas/BDD-note/blob/main/note.pdf) của Léo Ducas & Wessel van Woerden tuyên bố rằng LLL cổ điển đủ để có được khá nhiều thứ giống nhau kết quả.
Yehuda Lindell avatar
lá cờ us
@kelaka Tôi đồng ý rằng ai đó nói rằng họ cần sự riêng tư trong 20 năm có thể lo lắng.Cá nhân tôi nghi ngờ điều đó sẽ xảy ra trong vòng 20 năm nữa nhưng tôi có thể thấy được mối lo ngại. Trong mọi trường hợp, tôi thực sự khuyên bạn nên sử dụng mã hóa kép với cả RSA/Lưới hoặc ECC/Lưới.
Điểm:30
lá cờ in

Chưa có bài báo công khai nào, vì vậy câu trả lời này là sơ bộ và dựa trên những gì đã được trình bày trong buổi nói chuyện và cuộc thảo luận tiếp theo. Không thể đạt được sự hiểu biết đầy đủ cho đến khi có một bài báo để xác minh, đánh giá và so sánh với công việc trước đó và các kết quả đã biết. Tuy nhiên, một sự hiểu biết tốt về tình hình dường như đã xuất hiện.

tl; dr là: vấn đề đặc biệt mà các tác giả giải quyết là cổ điển dễ dàng giải quyết bằng thuật toán mạng tiêu chuẩn (không cần lượng tử), như được hiển thị trong ghi chú này. Hơn nữa, bước lượng tử cốt lõi mới thay vào đó cũng có thể được triển khai theo cách cổ điển (và đơn giản và hiệu quả hơn nhiều). Vì vậy, công trình không cho thấy bất kỳ lợi thế lượng tử nào so với những gì chúng ta đã biết cách làm cổ điển, cũng như không có gì mới về những gì chúng ta có thể làm theo cách cổ điển. Chi tiết theo sau.

Mệnh đề âtrên một lớp lưới số nguyênâ là một hạn định rất quan trọng. Vấn đề BDD mà các tác giả giải quyết là vấn đề mà mạng là â$q$-aryâ và được tạo bởi một $n$-mô-đun chiều-$q$ vectơ (hoặc một số ít trong số chúng), mô đun $q \gg 2^{\sqrt{n}}$, và vectơ mục tiêu nằm trong một $\ll 2^{-\sqrt{n}}$ hệ số khoảng cách tối thiểu của mạng tinh thể. Cài đặt này khác xa với bất kỳ thứ gì đã từng được sử dụng trong mật mã mạng (theo hiểu biết của tôi), vì vậy kết quả sẽ không có bất kỳ ảnh hưởng trực tiếp nào đến các hệ thống mạng được đề xuất. Tất nhiên, câu hỏi rộng hơn là liệu các kỹ thuật này có thể dẫn đến kết quả mạnh mẽ hơn có ảnh hưởng đến tiền điện tử mạng hay không.

Dựa trên mô tả được đưa ra trong buổi nói chuyện, một số chuyên gia tham dự tin rằng rất có thể vấn đề về mạng đặc biệt mà các tác giả giải quyết đã có thể giải quyết dễ dàng bằng cách sử dụng đã biết. cổ điển kỹ thuật (không cần lượng tử). CẬP NHẬT: điều này đã xảy ra và được chứng minh trong lưu ý này. Nói cách khác, dạng cụ thể của bài toán BDD giúp dễ dàng giải quyết theo những cách đã biết và không gây ngạc nhiên. Thuật toán chỉ đơn thuần là trình tự giảm cơ sở LLL tiêu chuẩn, tiếp theo là giải mã mặt phẳng gần nhất của Babai, nhưng cho thấy rằng điều này thực sự hoạt động dựa trên một số thuộc tính sâu hơn (nhưng đã biết trước đây) của LLL so với các thuộc tính thường được gọi.

Thế còn câu hỏi rộng hơn: các kỹ thuật chính có thể dẫn đến kết quả tốt hơn mà hiện tại chúng ta không thể đạt được theo cách cổ điển không? Nó chỉ ra rằng những gì mà bước lượng tử cốt lõi hoàn thành, phép biến đổi “trường hợp xấu nhất thành trường hợp trung bình”, có thể được thực hiện cổ điển (và đơn giản hơn và hiệu quả hơn) bằng cách sử dụng một kỹ thuật ngẫu nhiên hóa nổi tiếng—cái được gọi là “Tự khử LWE” hoặc â($q$-ary) Rút gọn từ BDD sang LWE.â Xem Mục 5 và Định lý 5.3 của tờ giấy này và các tác phẩm trước đó được trích dẫn trong đó để biết chi tiết.

Chính xác hơn, $n$-chiều $q$-ary BDD cho khoảng cách tương đối $\alpha$ (vấn đề được các tác giả xem xét) thường giảm xuống LWE với tỷ lệ lỗi $\alpha \cdot O(\sqrt{n})$. Mặc dù mức giảm này có vẻ không cần thiết để giải quyết vấn đề BDD ban đầu đang được đề cập, nhưng nó cho thấy rằng bước lượng tử mới cốt lõi có thể được thay thế bằng một thứ gì đó cổ điển ít nhất cũng hoạt động tốt (và thậm chí có thể tốt hơn về mặt tham số). Điều này chỉ ra rằng kỹ thuật lượng tử chính có thể không nắm giữ bất kỳ sức mạnh mới lạ hay đáng ngạc nhiên nào trong bối cảnh này.

Sam Jaques avatar
lá cờ us
Việc sử dụng các vectơ riêng gần đúng, có giá trị riêng có "bí mật", là điều mới mẻ đối với tôi. Đó có phải là một kỹ thuật nổi tiếng trong phân tích mật mã mạng lượng tử hay có khả năng nó có thể tìm thấy một ứng dụng mạnh hơn so với phép khử $n\rightarrow\sqrt{n}$?
Chris Peikert avatar
lá cờ in
Tôi đã không thực sự làm theo những gì họ đang làm với điều đó. Nhưng âvéc tơ riêng gần đúngâ (theo một nghĩa khác, phi lượng tử) là một công cụ phổ biến trong thế hệ mới nhất của sơ đồ FHE dựa trên LWE, hay còn gọi là GSW.
lá cờ cn
Thật thú vị... giả sử mối quan tâm duy nhất của tôi lúc đó là điều này có thể truyền cảm hứng cho người khác khám phá điều gì đó thực sự mới lạ hơn. Mối quan tâm chung với các ứng cử viên PQ hiện tại là trước khi QC tồn tại, chúng tôi chắc chắn chưa khám phá bất kỳ thứ gì gần với toàn bộ không gian của các thuật toán lượng tử khả thi.
Sam Jaques avatar
lá cờ us
Trong đoạn cuối thứ hai của bạn, tôi không thấy chuỗi giảm. Định lý 5.3 của bài báo mà bạn đã liên kết dường như không cải thiện hệ số xấp xỉ hoặc thứ nguyên, đó là những gì thuật toán lượng tử thực hiện. Bạn có thể giải thích làm thế nào nó hoạt động? Khi chúng tôi giảm xuống LWE, chúng tôi có thể giảm trở lại $q$-ary BDD với khoảng cách tương đối nhỏ hơn $\alpha$ không?
Điểm:9
lá cờ in

Tôi đã tạo một trang web để thu thập thông tin từ cộng đồng về các thuật toán cho các vấn đề về mạng trong NP giao nhau với CoNP:

https://latticealgorithms.xyz

Giấy của chúng tôi là lên:

https://arxiv.org/abs/2201.13450

Đối với hồ sơ, đây là dòng thời gian chúng tôi theo dõi:

Cho đến ngày 17/8/21, chúng tôi đã xem qua văn học cổ điển khá thông suốt. Một thuật toán cổ điển cũng sẽ ổn để chúng ta có thể đưa nó trở lại các thuật toán lượng tử. Nhưng vì trường hợp cơ bản là loại trường hợp xấu nhất của bài toán ẩn số đã được nghiên cứu kỹ lưỡng, nên có vẻ hợp lý là không có gì được biết.

17/8/21-21/9/21: Chúng tôi đã hỏi một nhóm gồm 5 chuyên gia về những gì được biết về vấn đề này. Trong một trường hợp, chúng tôi chỉ ra cách tiếp cận cổ điển tốt nhất mà chúng tôi có thể tìm thấy. Chúng tôi không nhận được phản hồi với thông tin mới.

21/9/21: Quyết định đưa ra trường hợp cơ sở đặc biệt với một vectơ trong bài nói chuyện vì (1) nó sẽ hỗ trợ mọi người giải quyết vấn đề đó và (2) đó là bài nói chuyện chuyên đề trong hội thảo lượng tử và do đó cần để có thể tiếp cận với nhiều đối tượng. Một cuộc nói chuyện chỉ với lưới hoặc chỉ lượng tử đã là một thách thức, và để kết hợp cả hai, tốt, hãy thử nó! 21/9/21: Thảo luận sôi nổi về các khả năng trong hội thảo, nhưng không có thuật toán.

22/9/21: Chúng tôi được liên hệ với một thuật toán cổ điển mới cho trường hợp đặc biệt và sau khi chúng tôi làm rõ thuật toán của chúng tôi có thể làm gì, một bản sửa đổi phác thảo cách nhận được trường hợp tổng quát hơn bằng cách phân tích LLL.

31/1/22: Chưa nhận được câu trả lời cổ điển nào cho giới hạn Schnorr của chúng tôi.

Sean

Điểm:8
lá cờ ng

Người ta có thể đưa ra câu trả lời dài hơn nhiều cho câu hỏi này (và tôi sẽ khá thích thú khi nhìn thấy ai đó giống như quan điểm của Chris), nhưng hai điểm sau đây có lẽ đủ cho một người không phải là chuyên gia.

các yếu tố gần đúng: Cách chính mà cuộc tấn công này nên được coi là (có khả năng) đe dọa đến mật mã dựa trên mạng là thông qua khả năng cải tiến trong tương lai. Hệ số gần đúng mà mục tiêu này nhắm đến (mà tôi tin là $2^{n^{1/2}}$) đủ lớn để ngay cả khi LWE cổ điển yếu trong phạm vi này, người ta vẫn có thể xây dựng những thứ như:

  • PKE
  • Chữ ký số
  • FHE

Ví dụ. hầu hết những gì bạn có thể quan tâm sẽ vẫn tồn tại. Vì vậy, bản thân cuộc tấn công hiện tại không thực sự tác động đến phần chính của mật mã dựa trên mạng "thực tế", mặc dù tất nhiên là có thể cải thiện cuộc tấn công trong tương lai.

Khả năng Dequantization: Cuộc tấn công có hai phần:

  1. Bước giảm kích thước (lượng tử) (từ $n\to \sqrt{n}$)
  2. Sử dụng các kỹ thuật cổ điển tiêu chuẩn để giải quyết $\sqrt{n}$-dấu hiệu kích thước.

Một số người đã đề xuất khả năng phi lượng tử hóa bước đầu tiên, thông qua những việc như thực hiện các tổ hợp tuyến tính ngẫu nhiên (giả sử với hệ số Gaussian) của các vectơ cơ sở. Nếu việc giảm kích thước này hoạt động, người ta sẽ nhận được BDD với hệ số xấp xỉ $2^{n^{1/2}}$ trong thời gian đa thức (tôi tin).

Trong khi điều này sẽ làm cho chính thuật toán mạnh mẽ hơn, nó cũng sẽ làm cho nó ít liên quan hơn theo một nghĩa nào đó. Điều này là do chúng tôi (về mặt kinh điển) có một ý tưởng khá đúng đắn về mức độ khó của các vấn đề về mạng tinh thể. Bằng cách này, tôi đặc biệt nghĩ về những thứ như:

  1. Các kết quả độ cứng "chi tiết" khác nhau tồn tại (giả sử theo Giả thuyết thời gian theo cấp số nhân, hoặc các biến thể của nó),
  2. gần đây lưới lọc giới hạn dưới, và
  3. kết quả độ cứng khi có sự hiện diện của tiền xử lý (ví dụ kết quả độ cứng CVPP).

Tất nhiên những điều này không loại trừ tất cả các cuộc tấn công có thể xảy ra, nhưng chúng nên được đề cập đến như một bằng chứng chính thức ngày càng tăng về độ cứng cổ điển của các vấn đề về mạng. Điều này có nghĩa là điều liên quan chính về cuộc nói chuyện được liên kết là sự tồn tại của một tăng tốc lượng tử không tầm thường --- nếu điều này bị phi lượng tử hóa, thì chúng ta đang quay trở lại bối cảnh của máy tính cổ điển, nơi hiểu biết của chúng ta về độ cứng của các bài toán mạng tốt hơn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.