Score:24

งาน "อัลกอริทึมควอนตัมที่มีประสิทธิภาพสำหรับปัญหา Lattice ที่บรรลุปัจจัยการประมาณแบบ Subexponential" หมายถึงอะไร

ธง ie

ใน อัลกอริทึมควอนตัมที่มีประสิทธิภาพสำหรับปัญหาแลตทิซเพื่อให้ได้ปัจจัยการประมาณแบบซับเอ็กซ์โพเนนเชียลผู้เขียนอ้างว่าพวกเขาให้อัลกอริธึมควอนตัมพหุนาม-เวลาสำหรับการแก้ปัญหาการถอดรหัสระยะทางที่มีขอบเขตด้วยปัจจัยการประมาณแบบเลขชี้กำลังย่อยในคลาสของจำนวนเต็ม ผลลัพธ์นี้หมายความว่าอย่างไร มันจะบ่งบอกถึงความไม่ปลอดภัยของการเข้ารหัสขัดแตะหรือไม่? มันสำคัญเท่ากับ อัลกอริทึมควอนตัมสำหรับการแยกตัวประกอบ โดย ปีเตอร์ ชอร์?

fgrieu avatar
ng flag
ก่อนที่งานนี้จะบอกเป็นนัยถึงความไม่ปลอดภัยของการเข้ารหัสขัดแตะ เราจำเป็นต้องมี[คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส](https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF ). [การเพิ่มในภายหลัง: ความคิดเห็นนี้ชัดเจน: คำถาม "จะ ((ผลลัพธ์นี้) _imply_ ความไม่ปลอดภัยของการเข้ารหัสขัดแตะหรือไม่" สามารถใช้ได้กับ CRQC เท่านั้น]
Yehuda Lindell avatar
us flag
@fgrieu หนึ่งในจุดขายที่สำคัญของ lattice cryptography คือการต่อต้านควอนตัมดังนั้น คำถามคือผลลัพธ์ใหม่นี้ทำให้การอ้างสิทธิ์นั้นเป็นโมฆะหรือไม่ เห็นได้ชัดว่าไม่มีภัยคุกคามใด ๆ จนกว่าจะมีการสร้างคอมพิวเตอร์ควอนตัมขึ้นในขั้นตอนหนึ่ง หากเครื่องดังกล่าวถูกสร้างขึ้น อย่างไรก็ตาม คำถามยังคงมีอยู่ว่าการเข้ารหัสแบบใช้แลตทิซควรเป็นผู้สมัครสำหรับโลกยุคหลังควอนตัมต่อไปหรือไม่
kelalaka avatar
in flag
@YehudaLindell ไม่เป็นภัยคุกคามหากเป็นไปได้หรือไม่? เนื่องจากเครื่องดักฟังสามารถจัดเก็บและทำลายการสื่อสารทั้งหมดได้ นี่คือเหตุผลที่เราใช้ AES-256 ไม่ใช่ AES-128
Mark avatar
ng flag
@kelalaka มันขึ้นอยู่กับแอปพลิเคชันจริงๆ บางอย่าง (เช่น การยืนยันตัวตน) จะได้รับผลกระทบเล็กน้อยในระยะเวลาอันใกล้ โดยมีข้อยกเว้นเล็กน้อย (อาจเป็นการอัปเดต OS หรือสิ่งอื่นๆ ที่มีความสำคัญด้านความปลอดภัย *สูง*)
yyyyyyy avatar
in flag
ขณะนี้มี [note](https://github.com/lducas/BDD-note/blob/main/note.pdf) โดย Léo Ducas & Wessel van Woerden โดยอ้างว่า LLL แบบคลาสสิกก็เพียงพอแล้วที่จะเหมือนกัน ผลลัพธ์.
Yehuda Lindell avatar
us flag
@kelaka ฉันยอมรับว่ามีคนบอกว่าพวกเขาต้องการความเป็นส่วนตัวเป็นเวลา 20 ปีอาจกังวลในตอนนี้ส่วนตัวผมสงสัยว่ามันจะเกิดขึ้นภายใน 20 ปี แต่ก็เห็นความกังวล ไม่ว่าในกรณีใด ในขณะเดียวกัน ฉันขอแนะนำอย่างยิ่งให้ใช้การเข้ารหัสสองครั้งกับทั้ง RSA/Lattices หรือ ECC/Lattices
Score:30
ธง in

ยังไม่มีกระดาษสาธารณะให้บริการ ดังนั้นคำตอบนี้เป็นข้อมูลเบื้องต้นและขึ้นอยู่กับสิ่งที่นำเสนอในการพูดคุยและการอภิปรายติดตามผล ไม่สามารถเข้าถึงความเข้าใจทั้งหมดได้จนกว่าจะมีเอกสารเพื่อตรวจสอบ ประเมิน และเปรียบเทียบกับงานก่อนหน้าและผลลัพธ์ที่ทราบ อย่างไรก็ตาม ความเข้าใจที่ดีเกี่ยวกับสถานการณ์ดูเหมือนจะเกิดขึ้นแล้ว

tl;dr คือ: ปัญหาพิเศษที่ผู้เขียนกล่าวถึงคือ คลาสสิก ง่ายต่อการแก้ไขโดยใช้อัลกอริธึมขัดแตะมาตรฐาน (ไม่จำเป็นต้องใช้ควอนตัม) ดังที่แสดง ในบันทึกนี้. ยิ่งไปกว่านั้น ขั้นตอนควอนตัมแกนใหม่สามารถนำไปใช้แบบคลาสสิกแทนได้ (และง่ายกว่าและมีประสิทธิภาพมาก) เช่นกัน ดังนั้น งานจึงไม่ได้แสดงให้เห็นถึงความได้เปรียบเชิงควอนตัมเมื่อเทียบกับสิ่งที่เรารู้อยู่แล้วว่าต้องทำอย่างไรในแบบคลาสสิก หรือไม่มีอะไรใหม่เกี่ยวกับสิ่งที่เราสามารถทำได้แบบคลาสสิก รายละเอียดตามนี้

ประโยค âในคลาสของจำนวนเต็ม latticesâ เป็นตัวระบุที่สำคัญมาก ปัญหา BDD ที่ผู้เขียนกล่าวถึงคือปัญหาที่โครงตาข่ายคือ â$คิว$-aryâ และสร้างโดยคนเดียว $n$-มิติ mod-$คิว$ เวกเตอร์ (หรือจำนวนเล็กน้อย), โมดูลัส $q \gg 2^{\sqrt{n}}$และเวกเตอร์เป้าหมายอยู่ภายใน a $\ll 2^{-\sqrt{n}}$ ปัจจัยระยะทางขั้นต่ำของตาข่าย การตั้งค่านี้ห่างไกลจากสิ่งที่เคยใช้ในการเข้ารหัสแบบแลตทิซ (ตามความรู้ของฉัน) ดังนั้นผลลัพธ์จะไม่ส่งผลโดยตรงต่อระบบแลตทิซที่เสนอ แน่นอนว่าคำถามที่กว้างกว่านั้นก็คือว่าเทคนิคดังกล่าวสามารถนำไปสู่ผลลัพธ์ที่ดีกว่าซึ่งส่งผลต่อ lattice crypto หรือไม่

จากคำอธิบายที่ให้ไว้ในการพูดคุย ผู้เข้าร่วมผู้เชี่ยวชาญหลายคนเชื่อว่าเป็นไปได้มากที่ปัญหาโครงตาข่ายพิเศษที่ผู้เขียนกล่าวถึงนั้นสามารถแก้ไขได้อย่างง่ายดายโดยใช้ที่รู้จัก คลาสสิก เทคนิค (ไม่จำเป็นต้องใช้ควอนตัม) อัปเดต: สิ่งนี้กลายเป็นกรณีและได้รับการพิสูจน์ใน บันทึกนี้. กล่าวอีกนัยหนึ่ง รูปแบบเฉพาะของปัญหา BDD ทำให้ง่ายต่อการแก้ไขด้วยวิธีที่เป็นที่รู้จักและไม่น่าแปลกใจ อัลกอริทึมเป็นเพียงลำดับมาตรฐานของการลดพื้นฐาน LLL ตามด้วยการถอดรหัสระนาบที่ใกล้ที่สุดของ Babai แต่แสดงให้เห็นว่าสิ่งนี้ใช้งานได้จริงโดยอาศัยคุณสมบัติของ LLL ที่ลึกกว่า (แต่เคยรู้จักมาก่อน) มากกว่าคุณสมบัติที่มักจะเรียกใช้

แล้วคำถามที่กว้างขึ้น: เทคนิคหลักสามารถนำไปสู่ผลลัพธ์ที่ดีกว่าที่เราไม่สามารถได้รับในปัจจุบันได้หรือไม่ ปรากฎว่าสิ่งที่ขั้นตอนควอนตัมแกนกลางทำได้สำเร็จ การแปลง "ตัวพิมพ์เล็ก-ตัวพิมพ์ใหญ่ที่สุดเป็นตัวพิมพ์ใหญ่-เล็ก" สามารถทำได้ คลาสสิก (และเรียบง่ายและมีประสิทธิภาพมากขึ้น) โดยใช้เทคนิคการสุ่มที่รู้จักกันเป็นอย่างดีซึ่งเรียกว่า âLWE self reductionâ หรือ â($คิว$-ary) การลด BDD เป็น LWEâ ดูส่วนที่ 5 และทฤษฎีบท 5.3 ของ กระดาษแผ่นนี้ และงานก่อนหน้านี้ที่อ้างถึงในรายละเอียด

อย่างแม่นยำมากขึ้น, $n$มิติ $คิว$-ary BDD สำหรับระยะทางสัมพัทธ์ $\alpha$ (ปัญหาที่ผู้เขียนพิจารณา) ลดระดับเป็น LWE แบบคลาสสิกด้วยอัตราข้อผิดพลาด $\alpha \cdot O(\sqrt{n})$. แม้ว่าการลดลงนี้จะดูไม่จำเป็นในการแก้ปัญหา BDD ดั้งเดิมที่เป็นปัญหา แต่ก็แสดงให้เห็นว่าขั้นตอนควอนตัมแกนใหม่สามารถถูกแทนที่ด้วยบางสิ่งแบบดั้งเดิมที่มีประสิทธิภาพอย่างน้อยเช่นกัน (และน่าจะดีกว่าในแง่ของพารามิเตอร์) สิ่งนี้บ่งชี้ว่าเทคนิคควอนตัมหลักอาจไม่มีความแปลกใหม่หรือพลังที่น่าประหลาดใจในบริบทนี้

Sam Jaques avatar
us flag
การใช้เวกเตอร์ค่าลักษณะเฉพาะที่มีค่าค่าลักษณะเฉพาะซึ่งมี "ความลับ" นั้นเป็นเรื่องใหม่สำหรับฉัน นั่นเป็นเทคนิคที่รู้จักกันดีในการเข้ารหัสควอนตัมแลตทิซ หรือเป็นไปได้ไหมที่จะสามารถค้นหาแอปพลิเคชันที่มีประสิทธิภาพมากกว่าการลด $n\rightarrow\sqrt{n}$
Chris Peikert avatar
in flag
ฉันไม่ได้ติดตามสิ่งที่พวกเขาได้รับในเรื่องนี้ แต่ âเวกเตอร์ค่าไอเกนโดยประมาณâ (ในความหมายที่แตกต่างและไม่ใช่ควอนตัม) เป็นเครื่องมือทั่วไปในรูปแบบ FHE ที่ใช้ LWE รุ่นล่าสุด a la GSW
cn flag
น่าสนใจ... สมมติว่าข้อกังวลเดียวของฉันก็คือสิ่งนี้อาจเป็นแรงบันดาลใจให้คนอื่นค้นพบบางสิ่งที่แปลกใหม่อย่างแท้จริง ข้อกังวลทั่วไปเกี่ยวกับผู้สมัครสอบ PQ ในปัจจุบันคือก่อนที่ QC จะเกิดขึ้นจริง เรายังไม่เคยสำรวจสิ่งที่ใกล้เคียงกับพื้นที่ทั้งหมดของอัลกอริทึมควอนตัมที่เป็นไปได้
Sam Jaques avatar
us flag
ในย่อหน้าที่สองสุดท้ายของคุณ ฉันไม่เห็นห่วงโซ่ของการลดลง ทฤษฎีบท 5.3 ของเอกสารที่คุณเชื่อมโยงดูเหมือนจะไม่ปรับปรุงปัจจัยการประมาณหรือมิติ ซึ่งเป็นสิ่งที่อัลกอริทึมควอนตัมทำ คุณช่วยอธิบายวิธีการทำงานได้ไหม เมื่อเราลดขนาดเป็น LWE แล้ว เราสามารถลดกลับเป็น $q$-ary BDD ที่มีระยะห่างสัมพัทธ์น้อยกว่า $\alpha$ ได้หรือไม่
Score:9
ธง in

ฉันสร้างเว็บไซต์เพื่อรวบรวมสิ่งที่ทราบเกี่ยวกับอัลกอริทึมสำหรับปัญหาขัดแตะใน NP ตัดกัน ConNP:

https://latticealgorithms.xyz

กระดาษของเราหมด:

https://arxiv.org/abs/2201.13450

สำหรับบันทึก นี่คือไทม์ไลน์ที่เราติดตาม:

จนถึงวันที่ 17/8/21 เราได้ศึกษาวรรณกรรมคลาสสิกอย่างถี่ถ้วน อัลกอริทึมแบบคลาสสิกก็ใช้ได้เหมือนกัน เพื่อที่เราจะป้อนกลับเข้าไปในอัลกอริทึมควอนตัมได้ แต่เนื่องจากกรณีฐานเป็นประเภทกรณีที่เลวร้ายที่สุดของปัญหาจำนวนที่ซ่อนอยู่ซึ่งได้รับการศึกษาเป็นอย่างดี จึงดูสมเหตุสมผลที่ไม่มีอะไรเป็นที่รู้จัก

17/8/21-9/21/21: เราสอบถามผู้เชี่ยวชาญ 5 คนตามลำดับเกี่ยวกับปัญหาที่ทราบ ในกรณีหนึ่ง เราได้ระบุแนวทางดั้งเดิมที่ดีที่สุดเท่าที่เราจะหาได้ เราไม่ได้รับคำตอบเกี่ยวกับข้อมูลใหม่

21/9/21: มีการตัดสินใจเลือกกรณีฐานพิเศษที่มีเวกเตอร์ 1 ตัวในการพูดคุย เพราะ (1) จะช่วยผู้คนในการแก้ปัญหา และ (2) เป็นการพูดคุยแบบ colloquium ในการสัมมนาควอนตัม ดังนั้นจึงจำเป็นต้อง เพื่อให้เข้าถึงคนในวงกว้างได้ การพูดคุยโดยใช้เพียงแลตทิซหรือควอนตัมอย่างเดียวก็เป็นเรื่องที่ท้าทายแล้ว และลองรวมทั้งสองอย่างเข้าด้วยกัน! 21/9/21: การอภิปรายที่มีชีวิตชีวาเกี่ยวกับความเป็นไปได้ระหว่างการอภิปราย แต่ไม่มีอัลกอริทึม

22/9/22: เราได้รับการติดต่อเกี่ยวกับอัลกอริทึมแบบคลาสสิกใหม่สำหรับกรณีพิเศษ และหลังจากที่เราชี้แจงอย่างชัดเจนว่าอัลกอริทึมของเราสามารถทำอะไรได้บ้าง การแก้ไขจะสรุปวิธีการรับกรณีทั่วไปมากขึ้นโดยการวิเคราะห์ LLL

1/31/22: ยังไม่ได้รับคำตอบคลาสสิกสำหรับขอบเขต Schnorr ของเรา

ฌอน

Score:8
ธง ng

อาจให้คำตอบที่ยาวกว่านี้มากสำหรับคำถามนี้ (และฉันค่อนข้างสนใจที่จะเห็นคนอย่างมุมมองของคริส) แต่สองประเด็นต่อไปนี้อาจเพียงพอสำหรับผู้ที่ไม่ใช่ผู้เชี่ยวชาญ

ปัจจัยประมาณ: แนวทางหลักที่การโจมตีนี้ควรถูกมองว่า (อาจ) คุกคามต่อการเข้ารหัสแบบตาข่ายคือผ่านความเป็นไปได้ของการปรับปรุงในอนาคต ปัจจัยการประมาณเป้าหมายนี้ (ซึ่งฉันเชื่อว่าเป็น $2^{n^{1/2}}$) มีขนาดใหญ่พอที่แม้ว่า LWE จะเป็นก็ตาม คลาสสิก อ่อนแอในช่วงนี้ เรายังคงสามารถสร้างสิ่งต่าง ๆ เช่น:

  • พีเค
  • ลายเซ็นดิจิทัล
  • ฟฮ

เช่น. สิ่งที่คุณอาจสนใจส่วนใหญ่จะยังคงอยู่ ดังนั้นการโจมตีในปัจจุบันจึงไม่ส่งผลกระทบต่อเนื้อหาหลักของการเข้ารหัสแบบตาข่าย "เชิงปฏิบัติ" แม้ว่าการปรับปรุงการโจมตีในอนาคตจะเป็นไปได้ก็ตาม

ความเป็นไปได้ของการลดจำนวน: การโจมตีมีสองส่วน:

  1. ขั้นตอนการลดขนาด A (ควอนตัม) (จาก $n\ถึง \sqrt{n}$)
  2. ใช้เทคนิคคลาสสิกมาตรฐานเพื่อแก้ปัญหา $\sqrt{n}$ตัวอย่างมิติ

ผู้คนจำนวนหนึ่งเสนอแนะความเป็นไปได้ในการลดปริมาณขั้นตอนแรก โดยทำสิ่งต่าง ๆ เช่น การผสมเชิงเส้นแบบสุ่ม (พูดโดยใช้ค่าสัมประสิทธิ์เกาส์เซียน) ของเวกเตอร์พื้นฐาน หากการลดขนาดนี้ได้ผล ผู้ใช้จะได้รับ BDD พร้อมค่าประมาณ $2^{n^{1/2}}$ ในเวลาพหุนาม (ฉันเชื่อ)

ขณะนี้จะทำให้อัลกอริทึมของตัวเอง แข็งแกร่งขึ้นมันจะทำให้ความกังวลน้อยลงในแง่หนึ่ง นี่เป็นเพราะเรา (แบบคลาสสิก) มีความคิดที่ดีพอสมควรว่าปัญหาขัดแตะยากแค่ไหน ด้วยเหตุนี้ ฉันจึงนึกถึงสิ่งต่างๆ เช่น:

  1. ผลลัพธ์ความแข็ง "เนื้อละเอียด" ต่างๆ ที่มีอยู่ (พูดภายใต้สมมติฐานเวลาเอกซ์โพเนนเชียลหรือตัวแปรของมัน)
  2. ล่าสุด ตาข่ายกรองขอบเขตล่าง, และ
  3. ความแข็งส่งผลให้มีการประมวลผลล่วงหน้า (เช่น ผลลัพธ์ความแข็ง CVPP)

แน่นอนว่าสิ่งเหล่านี้ไม่ได้ตัดทอนการโจมตีที่เป็นไปได้ทั้งหมด แต่ควรได้รับการกล่าวถึงในฐานะหลักฐานอย่างเป็นทางการที่เพิ่มขึ้นสำหรับความแข็งแบบคลาสสิกของปัญหาขัดแตะ นี่คือการบอกว่าสิ่งสำคัญที่เกี่ยวข้องกับการพูดคุยที่เชื่อมโยงคือการมีอยู่ของ การเร่งความเร็วควอนตัมที่ไม่สำคัญ --- หากเป็น dequantized เราจะกลับมาสู่การตั้งค่าของการคำนวณแบบคลาสสิก ซึ่งความเข้าใจของเราเกี่ยวกับความแข็งของปัญหาแลตทิซจะดีกว่า

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา