ハッシュ関数に対する量子攻撃

質問の行は、PDF版のペーパー「古典的証明システムに対する量子攻撃-量子巻き戻しの難易度（Ambainis et al。、2014）」のセクション4のピックワントリックに触発されています。スライドはこちらから入手できます。私はそこでの議論を完全には守っていないので、何か重要なことを逃したかもしれませんが、ここにそれらのトリックの私の解釈があります。

古典ハッシュ関数を検討 $x \rightarrow H(x)$ それを見つけることは計算が困難である衝突耐性ある。すなわち $H(x) = H(x') \land x\neq x'$ 。このハッシュ関数を使用してメッセージのコミットメントをエンコードしたいと思います。つまり、私はいくつかのメッセージ取る $m$ 、いくつかランダムに連結私はコミットメント生成するように、端部に。私のコミットメントを証明するように求められたとき、ような別のペア見つけることができません $u$ $c = H(m\Vert u)$ $(m',u')$ $c = H(m'\Vert u')$ ハッシュの衝突のない性質のため。私の唯一の選択肢は、 $(m,u)$ へのコミットメントを開くことです。

さて、ハッシュ関数の量子回路でこのプロトコルを攻撃します。

すべての可能な入力 $x_i$ を重ね合わせ、この状態でハッシュ関数をクエリして、状態 $\vert\psi\rangle = \sum_{i}\vert x_i\rangle\vert H(x_i)\rangle$ を取得します。
2番目のレジスターを測定して、ランダムなコミットメントを取得します。測定では、一部のについてランダムに $c = H(x_i)$ を選択します。最初のレジスタは、持ち、ます。 $i$ $\vert\phi\rangle = \sum_j \vert x_j\rangle$ $\forall j, c = H(x_j)$
相手から与えられたへのコミットメントを開きたいと思います。最初のレジスタでGroverの検索を使用して、の状態から、特別なプロパティを満たすを見つけます。特に、特別なプロパティは、最初のビットはです。つまり、を検索します。 $m'$ $x_{\text{sol}}$ $\vert\phi\rangle = \sum_j\vert x_j\rangle$ $|m'|$ $x_{\text{sol}}$ $m'$ $x_{\text{sol}} = m'\Vert u'$

以前に投稿されたスライド（スライド8）とその用語を使用すると、2つのセットと交点から値を見つけることが効率的です。ここで、はすべてののセットで、あり、はすべてののセットで、最初のビットは正確にです。 $x$ $S$ $P$ $S$ $x$ $H(x) = c$ $P$ $x$ $|m'|$ $x$ $m'$

この攻撃に関する私の質問は次のとおりです。

攻撃の基本的な考え方は正しいですか？間違っている場合は、残りの投稿を無視してください！
特定のコミットした後、重ね合わせにいくつの要素がありますか？任意のメッセージへのコミットメントを開くことができるように、（ハッシュ関数の範囲のサイズ）要素が必要なようです。しかし、これは大きすぎます。 $\vert\phi\rangle$ $c$ $O(N)$
グローバー検索の速度-これは前のポイントに関連しています-は別のものです。このような大きな重ね合わせを検索する計算の複雑さは、すべてのを検索する必要があるため、ハッシュ関数の特定の出力のプレイメージを推測するのと同じではないでしょうか。この場合、利点はどこですか？ $\vert\phi\rangle$ $u$

私は数学的証明よりも直感を探しているので、どんな助けも大歓迎です！

algorithm cryptography grovers-algorithm

— ユーザー1936752
ソース

攻撃の基本的な考え方は正しいですか？間違っている場合は、残りの投稿を無視してください！

主に。あなたがそれを説明する方法、あなたは確かに状態を得るでしょう $\lvert\phi\rangle$ が、あなたはなりませんユニタリ変換を実行できるように $I-\lvert\phi\rangle\langle\phi\rvert$ 。しかし、ステップ3で、あなたがオン状態グローバーを実行したとき $\lvert\phi\rangle$ 、あなたが実際に適用する必要が $I-\lvert\phi\rangle\langle\phi\rvert$ Groverのアルゴリズムの一部として。その理由は以下の通りである：通常、グローバーアルゴリズムとして提示された検索値 $x\in\{0,1\}^n$ 述語 $P$ を満たす。この場合、Groverのアルゴリズムはまず状態を $\lvert\phi\rangle:=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$ 初期化します。そして、そのメインループの間に、それはフリップオペレータの適用 $I-\lvert\phi\rangle\langle\phi\rvert$ 。この演算子は、次の場合に簡単に作成できます $\lvert\phi\rangle=\sum_{x\in\{0,1\}^n}2^{-n/2}\lvert x\rangle$ 、それは通常、アルゴリズムの要件として言及されていません。しかしながら、代わりの検索 $x\in\{0,1\}^n$ 、あなたが検索でき $x\in X$ いくつかのセットのための $X$ 。（結局のところ、長さ $n$ のビット文字について特別なことは何もありません。）次に、グローバーの説明を変更する必要があります。初期状態はなります $\lvert\phi\rangle=\sum_{x \in X}2^{-\lvert X\rvert/2}\lvert x\rangle$ 、私たちは適用する必要があり $I-\lvert\phi\rangle\langle\phi\rvert$ メインループ中。多くのセット $X$ （たとえば、 $N$ 法とする数値）の場合、構築はかなり簡単です $\lvert\phi\rangle$ と $I-\lvert\phi\rangle\langle\phi\rvert$ 。ただし、一般的なケースでは、どちらかを構築することが難しい場合があります。アルゴリズムの説明では、同様の状況があります。つまり、 $X=\{x:H(x)=c\}$ 固定 $c$ 。しかし、そのセット $X$ 場合、構築する方法はありません $\lvert\phi\rangle$ または $I-\lvert\phi\rangle\langle\phi\rvert$ 。これが、アルゴリズムが機能しない理由です（ただし、それでも正しい考えが得られます）。代わりに、あなたが引用する論文では、両方 $\lvert\phi\rangle$ と $I-\lvert\phi\rangle\langle\phi\rvert$ この目的のためだけに構築された特別な神託によって提供されます。これらのオラクルを使用して、状態でGroversアルゴリズムを実行できます $\lvert\phi\rangle$ 。

重ねてどのように多くの要素があります $\lvert\phi\rangle$ 我々は一定にコミットした後に $c$ ？

これは、選択したパラメーターによって異なります。がドメインのサイズであり、がの範囲のサイズである場合、おおよそ $M/N$ を期待します。物事が興味深いものにするために、あなたは選ぶべき（少なくとも重ね合わせで指数関数的に多くの要素が存在することになるように、すべてのメッセージが可能であるように）。ただし、これについて不思議に思っているのは、Groverを機能させるには要素の数を少なくする必要があると考えているためだと思います。そうではありません。以下を参照してください。 $M$ $N$ $H$ $M\gg N$ $2^{\lvert m\rvert}$

グローバー検索の速度-これが主な問題であり、彼らのトリックが実際にどのように機能するのかわかりません。すべてのuを検索する必要があるため、計算の複雑さは、ハッシュ関数の特定の出力の事前イメージを推測するのと同じではないでしょうか。この場合、利点はどこですか？

ここに誤解があるようです。この回答の冒頭で、グローバーのアルゴリズムについての私の説明を思い出してください。グローバー検索いくつか $x\in X$ いくつかの述語満たし、 $P$ 。私たちの場合、 $X$ はのすべての事前画像のセットであるため、巨大（ $M/N$ 要素）になる可能性があり $c$ 。しかし、それは問題ではありません。リコール元のグローバーは、上で動作することを $\{0,1\}^n$ 、我々はいくつか探しているとしても巨大であるが、限り迅速に動作している $x\in\{0,1\}^n$ 、いくつかの一般的な性質を有しています $P$ 。例えば、我々はグローバーを使用して検索する場合 $x\in\{0,1\}^n$ 満足することがこと $33\mid x$ （述語 $P$ ）、我々は多く存在することを有し $x$ さんが満たすこと $P$ 、すべての33 $x$ 満たすこと！そして、ランタイムはようなものになります $\sqrt{33}$ 。だから、一般的なルールとして、述語場合 $P$ すべてのために満足している $i$ の番目の要素 $X$ その後、グローバーのアルゴリズム、そのための検索 $x\in X$ を満たすこと $P$ ほどかかり $\sqrt i$ 歩みます。ここでは、 $X$ セットやサイズは関係ありません。（長い我々が構築物と方法を持っている限り $\lvert\phi\rangle$ と $I-\lvert\phi\rangle\langle\phi\rvert$ このセットのための $X$ 今、あなたが記述の設定で、。） $X=\{x:H(x)=c\}$ 。そして $P$ と言っ述語である $x$ で始まる $m'$ 。この場合、Groverのアルゴリズムの実行時間を分析するために、については気にしません $X$ 、しかし、要素が $P$ 満たす頻度を知る必要があります。それは簡単です：すべて $2^{\lvert m'\rvert}$ -番目の要素はします。したがって、Groverのランタイムは $O(\sqrt{2^{\lvert m'\rvert}})$ 。これは $m'$ が長い場合に問題になりますが、 $m'$ がたとえば少しだけの場合は問題なく機能します。たとえば、ハッシュ関数を使用して1ビットメッセージにコミットする場合、 $m'$ 任意の値へのコミットメントを開くことができます。

$m'$ が長い例が必要な場合は、構造を変更する必要があります。基本的には、個々にすべてをコミットし、コミットメントを連結します。次に、前述の方法を使用して各コミットメントを解除でき、アルゴリズムを実行する必要があります $\lvert m'\rvert$ 回。

— ドミニク・ウンルー
ソース