如何证明后量子加密的安全性？

9

关于量子计算机可以从哪些后量子密码方案（例如晶格密码学而不是量子密码学）证明其安全性的问题上，是否有定义或定理？我知道周期查找功能能够破解RSA和离散日志，但是它是唯一与破解加密方案相关的算法吗？我可以说，如果一个方案对周期查找功能不敏感，那么对量子计算就不敏感？如果不是，是否存在类似的替代陈述，形式为“如果加密方案不能被算法X破坏，则不能被量子计算破坏”？

例如，是否足以证明加密方案只能通过尝试所有可能的密钥才能破解，并且量子计算在这方面能做到的最好是使用格罗弗算法的平方根搜索时间？

cryptography

— 约瑟夫·约翰斯顿
source

1

您启发了我提出这个问题。

— user1271772

相关：crypto.stackexchange.com/questions/30055/…。简而言之：大多数加密系统通过假设某些问题“困难”而被证明是安全的。但是，该问题的难度通常更多地基于经验论证（例如“我们不知道如何解决”），而不是基于计算复杂性理论的理论论证。

— 离散蜥蜴

5

这本质上是计算复杂性类的领域。例如，BQP类可以粗略地描述为可以在量子计算机上有效解决的所有问题的集合。复杂性类的困难在于，很难证明许多类之间的分离，即存在于一个类而不是另一个类中的问题。

从某种意义上说，只要说“如果这种量子算法不能破解它，那是安全的”就足够了，您只需要使用正确的算法即可。您需要一个BQP完整算法，例如查找琼斯多项式的根-任何量子算法都可以转换为BQP完整算法的实例。但是，该算法如何用于破解还完全不清楚，也不是一件容易的事。仅仅看到您不能直接强行处理事物还不够。因此，该方法可能没有太大帮助。

从后量子加密方案中我们想要什么？我们需要：

一个功能 $y=f(x)$ 我们可以轻松地为加密目的进行计算。
反之， $f^{-1}(y)$ 无法在量子计算机上轻松计算，即问题类别超出BQP。
给出一些秘密 $z$ ，有一个经典有效的可计算函数 $g(y,z)=x$ ，即带有补充信息的功能 $f(x)$ 可以倒转这样一来，正确的人（拥有私钥， $z$ ）可以解密邮件。

最后一个项目符号（本质上）是复杂度类NP的定义：可能很难找到解决方案的问题，但是在得到证明时可以轻松验证解决方案的问题（在我们的情况下对应于私钥）。

因此，我们追求的是NP中的问题，而不是BQP中的问题。由于我们不知道NP = BQP，所以我们不知道这种情况是否存在。但是，有一个寻找解决方案的好方法：我们考虑NP完全问题。这些是NP中最难的问题，因此如果BQP $\neq$ NP（通常认为是这样），NP完全问题肯定不在BQP中。（如果问题对于复杂性类来说是完整的，则意味着如果可以有效地解决它，则可以有效地解决该类的所有实例。）因此，这是一种指导，可用于寻找后量子算法的位置。

然而，使事情复杂化的其他细微之处大概是（我不是专家）复杂度类谈论的是最坏情况下的复杂度，即对于给定的问题规模，这是最难解决的问题的难易程度。但是可能只有一个这样的问题实例，这意味着如果我们解决问题的大小（按照标准，例如，您可能谈论1024位RSA； 1024位是问题的大小），那么只有一个私钥。如果我们知道，窃听者可以只使用该私钥来解密消息。因此，我们实际上需要这种计算复杂性推理适用于大部分可能的输入。据我所知，这使您进入了平均情况下的复杂性世界，做出这样的陈述变得更加困难。

将其与公钥密码系统RSA进行比较可能会有所帮助，而忽略了量子计算机的存在。它是基于分解大复合数的难度。在P中，这个问题不是（被认为是），因此，对于拥有经典计算机的黑客来说，很难找到答案。同时，它在NP中，因为解决方案易于验证（如果给出一个因素，则可以轻松地检查它是一个因素）。这意味着合法接收者可以使用经典计算机对其进行解密。

— 达夫·沃利
source

4

关于量子计算机可以从哪些后量子密码方案（例如晶格密码学而不是量子密码学）证明其安全性的问题上，是否有定义或定理？

不会。仅仅因为您的后量子密码方案今天可以工作，并不意味着Peter Shor明天就找不到找到可以破解它的量子算法。”

我知道周期查找功能能够破解RSA和离散日志，但是它是唯一与破解加密方案相关的算法吗？

不。另一种算法的一个例子是Grover算法，它与基于先验对数问题的破解密码系统有关。

我可以说，如果一个方案对周期查找功能不敏感，那么对量子计算就不敏感？

不会。基于先验对数问题的方案不易发现周期，但易受量子加速的影响。

如果不是，是否存在类似的替代陈述，形式为“如果加密方案不能被算法X破坏，则不能被量子计算破坏”？

不。我们不知道可能存在的每个量子算法。即使方案对周期查找和格罗弗算法具有弹性，也有可能使用量子计算机比传统计算机更有效地破解它。我们可能只需要让Peter Shor感兴趣，以提出一种量子增强的解密方案。

是否足以证明加密方案只能通过尝试所有可能的密钥才能破解，并且量子计算在这方面能做到的最好是使用格罗弗算法的平方根搜索时间？

不会。仅因为经典计算机只能尝试所有可能的键才能破坏您的方案，但这并不意味着量子计算机就不能。

这是一个肯定回答的问题：

我们怎样做才能证明加密方案对量子计算机是安全的？

答：证明解密代码是QMA完整或QMA难题。QMA难题是量子计算机难题，就像NP难题对于经典计算机难题一样。

这激发了我提出这个问题，我不知道答案是什么！

— 用户名
source

非常简洁明了，尤其是您的问题以粗体显示时。我还从您提出的相关问题中学到了东西。但是，有关其他信息以及有关复杂性类别的说明，我接受了另一个答案。

— 约瑟夫·约翰斯顿