Bisakah komputasi kuantum pada akhirnya digunakan untuk membuat istirahat hashing hari modern menjadi sepele?

18

Sederhananya, jika seseorang membangun perangkat komputasi kuantum dengan kekuatan, katakanlah, 20 qubit, dapatkah komputer seperti itu digunakan untuk membuat segala jenis algoritma hashing modern tidak berguna?

Apakah mungkin untuk memanfaatkan kekuatan komputasi kuantum dalam aplikasi komputasi tradisional?

hakusaro
sumber
Terkait tetapi tidak duplikat pertanyaan: cs.stackexchange.com/questions/356/… (Catatan sejauh ini kami tidak memiliki algoritma yang efisien untuk memecahkan masalah NP-hard dengan komputer kuantum)
Ken Li
Bisakah Anda menunjukkan hasil yang membuat Anda curiga? Mengapa bit kuantum berdampak pada skenario ini?
Raphael

Jawaban:

13

Komputer kuantum mungkin memiliki beberapa keunggulan dibandingkan komputer klasik untuk beberapa kasus. Contoh yang paling luar biasa adalah Algoritma Shor yang dapat memfaktorkan sejumlah besar waktu polinomial (sementara secara klasik, algoritma yang paling terkenal membutuhkan waktu yang eksponensial). Ini benar-benar merusak skema seperti RSA, berdasarkan kekerasan faktorisasi.

Ini belum tentu kasus untuk fungsi hash. Pertama, kita perlu mendefinisikan apa artinya memecah fungsi hash. Salah satu cara untuk memecahnya disebut serangan pra-gambar : Anda memberi saya nilai hash , dan saya perlu menemukan pesan sedemikian sehingga . Serangan lain adalah serangan tabrakan , di mana Anda tidak memberi saya apa-apa, dan saya perlu membuat dua pesan berbeda yang memiliki hash . Ini lebih mudah daripada menemukan preimage, karena saya tidak terikat pada tertentu .vmhash(m)=vm1,m2hash(m1)=hash(m2)v

Apa yang dapat dilakukan komputer Quantum? Hasil utama adalah algoritma pencarian Grover : metode untuk komputer kuantum untuk mencari dalam database berukuran tidak disortir dengan waktu (sementara secara klasik akan membutuhkan waktu yang diharapkan dari ).NHAI(N)N/2

Dengan algoritma Grover, menemukan preimage dari fungsi hash yang outputnya bit membutuhkan waktu , daripada .kHAI(2k/2)HAI(2k)

Apakah ini masalah ? Belum tentu. Fungsi hash dirancang sedemikian rupa sehingga waktu dianggap "aman" (dengan kata lain, desainer hash selalu menggandakan ). Ini disebabkan oleh paradoks Ulang Tahun yang dengannya menemukan tabrakan dimungkinkan dengan waktu oleh komputer klasik.2k/2kHAI(2k/2)

Hal yang menyenangkan tentang algoritma Grover yang optimal - setiap algoritma kuantum lainnya untuk menemukan elemen dalam basis data yang tidak disortir akan berjalan dalam waktu .Ω(N)

Dapatkah komputer kuantum melakukan serangan tabrakan yang lebih baik ? Sebenarnya saya tidak yakin tentang itu. Algoritma Grover dapat diperpanjang, sehingga jika ada item (yaitu, preimage), waktu untuk menemukannya dikurangi menjadi . Tapi ini tidak memberikan benturan - menjalankan algoritma lagi mungkin mengembalikan preimage yang sama. Di sisi lain, jika kita memilih secara acak, dan kemudian menggunakan Algoritma Grover, besar kemungkinan akan mengembalikan pesan yang berbeda. Saya tidak yakin apakah ini memberikan serangan yang lebih baik.tHAI(N/t)m1

(ini menjawab pertanyaan yang lebih umum, tanpa membatasi komputer hingga 20 qubit, yang tidak akan cukup untuk memecahkan hash 1024-bit saat ini).

Ran G.
sumber
nitpick: Runtime dari GNFS bersifat sub-eksponensial.
CodesInChaos
1

Dari apa yang saya pahami, komputasi kuantum memang memiliki kekuatan untuk dengan mudah mematahkan algoritma hashing saat ini. Namun, dalam jangka panjang kita juga akan dapat menggunakan algoritma hashing yang lebih kompleks, dan umumnya lebih mudah untuk mengenkripsi daripada mendekripsi sesuatu. Saya pikir masalah terbesar untuk dipertimbangkan adalah ketika komputasi kuantum hanya tersedia untuk beberapa orang tertentu, memberi mereka akses mudah ke hal-hal yang dilindungi oleh algoritma saat ini jauh sebelum algoritma yang lebih maju atau bahkan kesadaran ancaman itu tersebar luas.

Lihat di sini untuk jawaban yang sebenarnya teknis untuk pertanyaan tentang Stack Overflow.

Rahul Gupta-Iwasaki
sumber
2
AFAIK primitif kripto simetris masih akan aman bahkan ketika komputasi kuantum menjadi layak. Ini membagi dua blok efektif atau panjang kunci dalam beberapa skenario, tetapi kripto primitif dengan tingkat keamanan saat ini 256 bit atau lebih masih akan aman, karena pekerjaan dengan urutan 128 bit tidak mungkin. Sebagian besar primitif asimetris yang sedang digunakan akan benar-benar pecah. Tapi tidak hanya dengan 20 qubit. Anda akan memerlukan beberapa ribu qubit untuk itu.
CodesInChaos