量子コンピューターを使用しても解読できない暗号化方法が存在する可能性はありますか？

41

量子コンピュータは、以前は鍵のビットサイズが指数関数的に増加するリソースによってのみ解けると考えられていた広範な暗号アルゴリズムを多項式時間で解読できることが知られています。その例は、Shorのアルゴリズムです。

しかし、私が知る限り、すべての問題がこのカテゴリに分類されるわけではありません。上の量子コンピュータのための難しい問題を作る、我々は読むことができます

研究者は、問題を解決するのではなく、量子コンピューターを評価する目的でそれらを作成するコンピューターアルゴリズムを開発しました。

量子コンピューターでさえ解読しにくい新しい暗号化アルゴリズムを期待できますか？ 明確にするために、質問は特に新しいアルゴリズムの設計に言及しています。

complexity-theory cryptography

— ペテルはモニカを復職させる
ソース

26

あなたの質問のタイトルは、他の回答で指摘されているように、ワンタイムパッド（OTP）が正解である、破ることが不可能なテクニックを求めています。OTPは情報理論的に安全です。つまり、メッセージの検索に関して、敵の計算能力は適用できません。

ただし、理論的には完全に安全であるにもかかわらず、OTPは現代の暗号化での使用は限られています。実際にうまく使用することは非常に難しいです。

重要な質問は本当に：

量子コンピューターでさえ解読しにくい新しい暗号化アルゴリズムを期待できますか？

非対称暗号化

非対称暗号化には、公開鍵暗号化（PKE）、デジタル署名、および鍵合意スキームが含まれます。これらの手法は、キーの配布とキー管理の問題を解決するために不可欠です。鍵の配布と鍵の管理は無視できない問題であり、これらは主にOTPが実際に使用可能になるのを妨げるものです。今日のインターネットは、非対称アルゴリズムが提供する機能の1つである、安全でない通信チャネルから安全な通信チャネルを作成する機能がなければ機能しません。

Shorのアルゴリズム

Shorのアルゴリズムは、整数因数分解と離散対数の問題を解決するのに役立ちます。これらの2つの問題は、RSAやDiffie-Hellmanなどの広く使用されているスキームのセキュリティの基礎を提供するものです。

NISTは現在、量子コンピューターに耐性があると考えられている問題に基づくアルゴリズムであるポスト量子アルゴリズムの提出を評価しています。これらの問題は次のとおりです。

格子ベースの問題
- 最短ベクトル問題（SVP）
- 最も近いベクトル問題（CVP）
多変量方程式
- 多変量多項式
コードベースのスキーム
- 線形コードのデコードの難易度に基づく
超特異等値ディフィーヘルマン（SIDH）

上記の問題を解決するための古典的なアルゴリズムが存在する可能性があることに注意する必要がありますが、実際にはこれらのアルゴリズムの実行時間/精度は、大きなインスタンスを解決するために禁止されています。これらの問題は、Shorのアルゴリズムの量子部分が行う順序検出の問題を解決する能力が与えられた場合、解決可能ではないようです。

対称暗号化

Groverのアルゴリズムは、ソートされていないリストを検索するときに2次の高速化を提供します。これは事実上、対称暗号化キーを総当たり攻撃する問題です。

Groverのアルゴリズムを回避するのは、Shorのアルゴリズムを回避するのに比べて比較的簡単です。対称キーのサイズを2倍にするだけです。256ビットキーは、グローバーのアルゴリズムを使用する敵に対して、総当たりに対する128ビットの耐性を提供します。

Groverのアルゴリズムは、ハッシュ関数に対しても使用できます。解決策も簡単です：ハッシュ出力のサイズを2倍にします（スポンジ構造に基づくハッシュを使用している場合は容量）。

— エラ・ローズ
ソース

ワンタイムパッドに言及していますが、なぜ実際には役に立たないのですか？しかし、プライベートキーが安全に共有されることを保証するためにBB84量子アルゴリズムを使用することはできませんか？

— JanVdA

@JanVdA この質問と回答とこれを見たことがありますか？理論上、特定の仮定の下で「はい」。実際には、それほど単純ではありません。たとえば、IDQuantiquesのセットアップは、OTPではなくQESがAES用に共有するキーを使用するため、情報理論的保証の恩恵を受けません。そうする理由はやはり実用性です。1/2

— エラ・ローズ

2/2 QKDを使用せずにOTPキーを共有できる理論的な手法があります：定期的に通信したい相手と直接会って、物理的な媒体でキーマテリアルを交換します使用後に適切に破壊された）。理論的には機能します。実際には、そうではありません。実用性は採用に不可欠です。

— エラ・ローズ

21

量子コンピューターを使用して解読できない種類の暗号化があると思います：Vigenère 暗号のようなワンタイムパッド。これは、エンコードされた文字列の長さ以上のキーパッドを備えた暗号であり、一度だけ使用されます。この暗号は、量子コンピューターでも解読することは不可能です。

理由を説明します。

プレーンテキストがであると仮定しましょうABCD。対応するキーはである可能性があります1234。エンコードすると、が得られXYZWます。これで、有効な文1234を取得ABCDまたは4678取得するために使用できますEFGH。

問題は、誰もあなたが意味するかどうかを決めることはできないということですので、ABCDまたはEFGHあなたの鍵を知らずに。

この種の暗号化が解読される唯一の理由は、ユーザーが怠け者であり、キーを2回使用することです。そして、あなたはそれをクラックしようとすることができます。@peterhが述べたように、ワンタイムパッドでは共有するために秘密のチャネルが必要であると言う他の問題もあります。

— MEE-モニカの復職
ソース

ワンタイムパッドの量子アナログがあることも注目に値します。

— サンケスメンダ

17

はい、私たちが使用している暗号化プリミティブを提供するポスト量子暗号化アルゴリズムの多くの提案があります（秘密鍵と公開鍵による非対称暗号化を含む）。

— jknappen-モニカの復職
ソース

4

エラローズの答えをフォローアップするには：今日使用されている最も実用的な暗号化スキーム（Diffie-Hellman、RSA、楕円曲線、格子ベース）は、隠れサブグループ問題（HSP）の解決の難しさを中心にしています。ただし、最初の3つはアーベル群のHSPを中心にしています。アーベル群のHSPは、Shorのアルゴリズムなどによって実装される量子フーリエ変換によって効率的に解くことができます。したがって、量子コンピューターによる攻撃に対して脆弱です。一方、ほとんどの格子ベースの方法は、二面角のHSPを中心に展開します非アーベル派のグループ。量子コンピューターは、非アーベルHSPを効率的に解決できるとは考えられていないため、これらのアルゴリズムは、量子後暗号を実装できるはずです。

— パーカー
ソース