Echo

Echo 关注TA

大家好,我是Echo!

Echo

Echo

关注TA

大家好,我是Echo!

  •  普罗旺斯
  • 自由职业
  • 写了309,833,134字

该文章投稿至Nemo社区   资讯  板块 复制链接


清华教授扔出量子密码学重磅炸弹引起业界轰动,但算法被发现 Bug

发布于 2024/04/21 00:15 154浏览 0回复 2,335

前段时间,由清华叉院助理教授陈一镭提出的全新「破解格密码的量子算法」,一经发表便引发了业内轰动。然而就在最近,关键的第 9 步被发现有无法修复的 bug,导致算法无法成立。

一直以来,解决格上的近似最短向量问题(Lattice Problems)以及带错误学习问题(LWE),都是计算机领域的经典算法难题。

尤其是在科学界看来,它们远远超出了传统计算机的能力范围。那么,量子计算机有望能破解 Lattice Problems 以及 LWE 吗?

前段时间,来自清华大学交叉信息研究院陈一镭助理教授,便针对这些问题提出了一种全新的「破解格密码的量子算法」。

预印本论文一经发表,便在整个计算机界引起了巨大的轰动。

如著名密码学家 N. P. Smart,就在第一时间发了篇博客文章,详细讨论了论文所带来的影响。

文章地址: https://nigelsmart.github.io/ LWE.html

具体来说,陈教授提出的这种多项式时间量子算法,主要用于求解具有特定多项式模数-噪声比的「带错误学习问题」(LWE)。

通过结合 Regev 所提出的从网格问题到 LWE 的还原,便可以获得多项式时间量子算法,并可以在

的近似因子内求解所有 n 维网格的决策最短向量问题(GapSVP)和最短独立向量问题(SIVP)。

在此之前,还没有已知的多项式甚至亚指数时间量子算法可以在任何多项式近似因子内求解所有网格的 GapSVP 或 SIVP。

论文地址: https://eprint.iacr.org/ 2024/ 555.pdf

为了开发求解 LWE 的量子算法,作者提出了两种新的技术:

首先,在量子算法的设计中引入具有复杂方差的高斯函数。特别是,利用复高斯函数离散傅里叶变换中的卡斯特波特征。

其次,使用带有复高斯窗口的窗口量子傅里叶变换,从而能够结合时域和频域的信息。

基于此,便可以先将 LWE 实例转换为具有纯虚高斯振幅的量子态,然后将纯虚高斯态转换为 LWE 秘密和误差项的经典线性方程,最后利用高斯消元法求解线性方程组。

但遗憾的是,Hongxun Wu(UC 伯克利博二学生)和 Thomas Vidick(量子领域专家)发现,算法的第 9 步实际上存在一个尚不能修复的 bug。

也就是说,这个通过多项式模数-噪声比,来求解 LWE 的多项式时间量子算法,无法成立了。

对此作者表示,希望像复高斯(Complex Gaussian)和窗口 QFT(windowed QFT)这样的想法,会在量子计算中找到其他应用,而 LWE 问题或许会将有别的解决方法。

9 大关键步骤

首先进行参数的设置,之后需要运行一个由九个步骤组成的量子子程序,共运行 O (n) 次。

论文中最关键的,是一个需要调用 O (n) 次的,由九个步骤组成的量子子程序。

其中,每次调用都会得到一个经典线性方程,其随机系数是

中最短的向量(与 LWE 秘密向量和错误向量相关)。

在调用完 O (n) 次之后,便可以得到一个全秩线性方程组,并通过高斯消元法计算出 LWE 秘密和错误项。

步骤 1:在上进行叠加,并应用复高斯窗口

步骤 2:在 |φ1⟩上应用

步骤 3:在 |φ2⟩上应用复高斯窗口,得到 |φ3⟩和 z′

步骤 4:在 |φ3⟩上应用

步骤 5:将 |φ4⟩分割成高阶 | h′⟩和低阶 | h′′⟩,然后对 | h′′⟩进行测量

步骤 6:在 |φ5⟩上应用

步骤 7:提取 |φ6⟩的中心,得到纯虚高斯状态 |φ7⟩

步骤 8:提取并保留 |φ8⟩=|φ7⟩

在步骤 8 中,作者首先进行四次运算(可逆),然后进行部分测量,最后将四次运算反转。也就是说,需要在不折叠或修改 |φ7⟩的情况下,学习

步骤 9:从和 |φ8⟩中提取秘密的线性方程

第 9 步的目标是将 |φ8⟩转换为秘密的经典线性方程,并最终得到主 Lemma(3.8)的证明。

其中,步骤 9 使用步骤 8 中获得的

信息,以及插入 LWE 秘密中的已知项的 κ-1 坐标。

这里,bug 来了:|φ8.f⟩的振幅不满足 M2 周期性。

或者,另一种解释是:|φ8.f⟩包含 p1...pκ 向量。经过域扩展后,本应得到 p1p2...pκ-p2...pκ 向量,但按照 |φ8.g⟩的写法,它只包含 p1...pκ 向量。因此 |φ8.g⟩的表达式是错误的。

作者介绍

陈一镭是清华大学交叉信息学院(IIIS)的一名助理教授。

此前,他在波士顿大学获得博士学位,指导老师是 Ran Canetti 教授和 Leonid Reyzin 教授。并在上海交通大学获得学士学位。在那里,一个有趣的问题引导他走上了科研之路。

他的研究兴趣是密码学,特别是在伪随机,格密码,数论,和量子计算等方向。

主要成果有:设计了格问题的量子算法,建立了多线性映射和代码混淆在格问题上安全实现的基础,提出了证明 Fiat-Shamir 假设的方法,以及提出了一个不可逆群的构造。

参考资料:

  • https://www.zhihu.com/question/652567682

  • https://sqz.ac.cn/password-50

  • http://www.chenyilei.net/

  • https://eprint.iacr.org/2024/555

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。


本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/763/143.htm]

本文标签
 {{tag}}
点了个评