Score:1

zk-STARKs ทนทานต่อควอนตัมจริงหรือ?

ธง br

ฉันเห็นการกล่าวถึงมากมายว่าการพิสูจน์ zk-STARK ที่กำลังพัฒนาโดยเฉพาะสำหรับใช้ในเครือข่ายบล็อกเชนนั้นมีป้ายกำกับว่า "การต่อต้านควอนตัม" บทความและรายงานจำนวนมากที่ระบุถึงสิ่งนี้ อ้างสิทธิ์ดังกล่าวตามแนวคิดที่ว่า zk-STARK อาศัยแฮชที่ป้องกันการชนกัน ความเข้าใจของฉันก็คือว่าไม่มีแฮชที่ป้องกันการชนกันได้อย่างสมบูรณ์ และนั่นไม่ใช่เรื่องเล็กน้อยสำหรับคอมพิวเตอร์ควอนตัมที่จะพยายามค้นหาการชนกันของแฮชใดๆ มีบางส่วนที่ฉันไม่เข้าใจที่ทำให้ zk-STARKs ต้านทานควอนตัมหรือไม่

Geoffroy Couteau avatar
cn flag
คำถามที่เกี่ยวข้อง: [ควอนตัมฟังก์ชันแฮชการเข้ารหัสลับปลอดภัยหรือไม่](https://crypto.stackexchange.com/questions/44386/are-cryptographic-hash-functions-quantum-secure/44390#44390)
Score:1
ธง ng

สำหรับฟังก์ชันแฮชจำนวนมาก การโจมตีแบบควอนตัมที่รู้จักกันเป็นอย่างดีจะขึ้นอยู่กับ ค้นหาโกรเวอร์. สิ่งนี้ช่วยเพิ่มความเร็ว $O(N)$ การดำเนินการเพื่อ $O(\sqrt{N})$ดังนั้นการเร่งความเร็วก็เช่นกัน แต่โดยปัจจัย "พหุนาม" เท่านั้น (มันไม่ได้เพิ่มความเร็วของไฟล์ $O(2^N)$ การดำเนินการเพื่อ $O(N)$หรืออะไรทำนองนั้น)

ความเข้าใจของฉันก็คือว่าไม่มีแฮชที่ป้องกันการชนกันได้อย่างสมบูรณ์ และนั่นไม่ใช่เรื่องเล็กน้อยสำหรับคอมพิวเตอร์ควอนตัมที่จะพยายามค้นหาการชนกันของแฮชใดๆ

ส่วนที่คุณไม่เข้าใจคือคำสั่งที่สอง หากคุณมีการโจมตีเฉพาะในใจ (ซึ่งเอาชนะสิ่งต่างๆ ตามการค้นหาของ Grover) คุณควรลองหารายละเอียด เพราะมันจะเป็นผลลัพธ์ที่ค่อนข้างดี

poncho avatar
my flag
@James: โปรดทราบว่าการค้นหาของ Grover นั้นพิสูจน์ได้ภายในค่าคงที่ (ไม่ไกลจาก 1) ของค่าที่เหมาะสมที่สุดที่พิสูจน์ได้ หากคุณมองว่าฟังก์ชันแฮชเป็นวัตถุทึบแสง ดังนั้น ผลลัพธ์ใด ๆ ที่คุณจะได้รับดีกว่าของ Grover จะขึ้นอยู่กับภายในของฟังก์ชันแฮชเอง
James avatar
br flag
เนื่องจากคอมพิวเตอร์แบบดั้งเดิมสามารถค้นหาการชนกันแบบสุ่มสำหรับฟังก์ชันแฮชใน $O(\sqrt{N})$ นั่นหมายความว่าทั้งคอมพิวเตอร์คลาสสิกและคอมพิวเตอร์ควอนตัมใช้จำนวนขั้นตอนโดยประมาณเท่ากันในการดำเนินการนี้ หรือการค้นหาของ Grover จะใช้ $O(\sqrt{\sqrt{N}})$ ขั้นตอนแทนการค้นหาการชนแบบสุ่ม
James avatar
br flag
ฉันยังรู้สึกว่าคอมพิวเตอร์ควอนตัมสามารถตรวจสอบผลลัพธ์ที่เป็นไปได้มากขึ้นต่อขั้นตอนโดยขึ้นอยู่กับจำนวนของ qubits แม้ว่าความรู้ที่แท้จริงของฉันเกี่ยวกับพื้นที่นี้จะค่อนข้างคลุมเครือ
Mark avatar
ng flag
@James [บันทึกเหล่านี้](https://www.scottaaronson.com/qclec/24.pdf) ทำให้ดูเหมือนว่าคำตอบคือ $O(N^{1/3})$ โดยไม่คำนึงถึงเลขยกกำลังที่แม่นยำ การคำนวณแบบควอนตัมไม่เป็นที่รู้จักในการปรับปรุงโพลิโนเมียลขั้นสูงที่นี่ และความประทับใจครั้งที่สองของคุณคือความเข้าใจผิดทั่วไปเกี่ยวกับคอมพิวเตอร์ควอนตัม ดูตัวอย่าง [ความเชื่อที่ 2 ของบทความนี้](https://cacm.acm.org/magazines/2019/4/235578-cyber-security-in-the-quantum-era/fulltext) ซึ่ง (คร่าวๆ) คืออะไร คุณกำลังพาดพิงถึง
poncho avatar
my flag
@เครื่องหมาย: สำหรับการค้นหาแบบชนกัน คำตอบจะอยู่ระหว่าง $O(N^{1/3})$ และ $O(N^{1/2})$ หากคุณนับเฉพาะการสืบค้นของ Oracle ขอบเขตล่างจะถือว่าทำได้ อย่างไรก็ตาม ค่าใช้จ่ายวงจรค่อนข้างสูง (สูงจนสำหรับฟังก์ชันแฮชที่ใช้งานได้จริง การขนานด้วยอัลกอริทึม $O(N^{1/2})$ จะถูกกว่า) ไม่ทราบว่ามีอัลกอริทึมที่มีค่าใช้จ่ายน้อยกว่าซึ่งบรรลุ (หรือเข้าใกล้) ถึงขอบเขตล่างหรือไม่

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา