Auto Byte

专注未来出行及智能汽车科技

微信扫一扫获取更多资讯

Science AI

关注人工智能与其他前沿技术、基础学科的交叉研究与融合发展

微信扫一扫获取更多资讯

机器之心
机器之心原创

若通过验证可颠覆美国后量子密码设计,清华陈一镭预印论文破解格密码

30 年来最重要的量子算法突破?

在计算机领域,解决格上的近似最短向量问题(Approximate Shortest Vector Problems in Lattices。Lattice Problems)以及与之等价的容错学习问题(Learning with Errors,LWE)是经典的算法难题,科学界普遍认为它们超出了传统计算机的能力范围。

量子计算机是否有望能破解 Lattice Problems 以及 LWE?虽然这一问题长期以来受到关注,但鲜有实质性进展。

近日,清华大学交叉信息研究院助理教授陈一镭在 eprint 上发布的一篇论文,给出了破解格密码的量子算法,引发了全球计算机领域的震撼。
图片
  • 论文地址:https://eprint.iacr.org/2024/555.pdf
  • 论文标题:Quantum Algorithms for Lattice Problems

清华大学在今天的官方公告中表示:「陈一镭的工作提出了一个全新的量子算法来解决 LWE 以及与之等价的格问题。这项工作仍在同行评议中。如果被验证为正确,将为这个悬而未决的问题给出肯定的答复。」

它在科学上的意义将是双层的:第一,这将是自 30 年前 Peter Shor 提出大数分解的量子算法以来,最重要的量子算法突破。

第二,这将对美国 NIST 过去 10 年来选择后量子密码设计的思路产生颠覆性的影响,因为多数选出的后量子密码方案都是基于 Lattice Problems 或 LWE。陈一镭的工作无疑将使他们安全性受到质疑。
这篇论文提出的算法及分析极为新颖而深奥。回想 Wiles 1994 年解决费马大定理(Fermat's Last Theorem),以及 Perelman 2002 年解决庞佳莱猜想(Poincaré Conjecture)后,都经过一年以上专家们方能彻底认证其正确性。陈一镭的工作,预料也需要数月时间才能完成验证认可。我们静候科学界对此工作的后续反应。
图片
对此,图灵奖得主、量子计算领域权威、清华交叉信息研究院院长姚期智给出高度评价:「作为一个青年教师,陈一镭能勇于挑战如格密码这样的世界级科学难题,令人赞佩!」

从论文致谢部分的内容来看,为理论计算机领域引入格密码和容错学习问题的纽约大学计算机科学家、2018 年哥德尔奖得主 Oded Regev 本人应该已经看过论文手稿。
图片
那么,这篇论文究竟取得了怎样的突破?

具体而言,这篇论文展示了一种多项式时间量子算法,用于求解具有特定多项式模数 - 噪声比的有误学习问题(LWE)。结合 Regev [J.ACM 2009] 所展示的从格问题到 LWE 的还原,论文得到了多项式时间量子算法,用于求解所有 n 维网格的决定性最短向量问题(GapSVP)和最短独立向量问题(SIVP),其近似因子为图片。在此之前,还没有任何多项式甚至亚指数时间的量子算法可以在任何多项式近似因子内求解所有格的 GapSVP 或 SIVP。

为了开发求解 LWE 的量子算法,这篇论文主要引入了两种新技术:

首先,陈一镭在量子算法的设计中引入了具有复杂方差的高斯函数,特别是利用了复高斯函数离散傅里叶变换中的卡斯特波特征。其次,陈一镭使用带有复高斯窗口的窗口量子傅里叶变换,这使得能够结合时域和频域的信息。利用这些技术,陈一镭将 LWE 实例转换为具有纯虚高斯振幅的量子态,然后将纯虚高斯态转换为 LWE 秘密和误差项的经典线性方程,最后利用高斯消元法求解线性方程组。

求解 LWE 的量子算法

论文第三章主要专注于定理的证明:
图片
  • 3.1 节展示了具有几个已知秘密坐标的 LWE 和标准 LWE 一样难;
  • 3.2 介绍了将 LWE 转换成具有唯一最短向量的特殊 q-ary 格;
  • 3.3 节列出了主要量子算法中使用的参数
  • 3.4 节概述了主要的量子算法;
  • 3.5 节详细提供了主要量子算法的九个步骤,但将所有长度超过三页的证明推迟到第 3.6 节;
  • 3.6 节提供了第 3.5 节中遗漏的所有详细证明。

具体而言:

论文展示了 LWE 的三种变体,最后一个变体在 Def. 3.4 中正式定义,本文提出的量子算法最终将解决这个问题。 

下面三种缩减都是对现有经典多项式时间缩减的微小修改,从标准 LWE 到它们的变体。

1. 有 k 个无误差坐标的 LWE。
图片
2. 有 k 个选择误差项的 LWE。

3.LWE,秘密遵循误差分布。
图片
将 LWE 转换成具有唯一最短向量的特殊 q-ary 格

现在定义一个 q-ary 格,使得找到这个特殊 q-ary 格的唯一最短向量意味着求解图片

设:
图片
参数选择

本小节将介绍更多量子算法中使用的参数。设 D ∈ N + 为缩放参数
图片
参数是在以下约束下设置的( 图片图片):

量子算法有九个步骤,下面的每个条件通常只在一个或几个步骤中使用:
图片
图片
图片
主要量子算法的详细概述

本节中,作者运行一个由 9 大步骤组成的量子子程序,时间复杂度为 O (n) 次。每次运行量子子程序时都会获得一个经典线性方程,其中随机系数在图片中的最短向量上(与 LWE 秘密和误差向量相关)。因此,运行 O (n) 次后将得到一个满秩线性方程组,并通过高斯消元法计算 LWE 秘密项和误差项。

如下为量子子程序中 9 大步骤的高级描述,包括了每个步骤中获得的状态以及经典信息。 
图片
图片
主要量子子程序:9 大步骤详解

步骤 1:在图片上准备一个叠加,并应用复高斯窗。
图片
图片
图片
步骤 2:在 |φ1⟩上应用图片
图片
步骤 3:在 |φ_2⟩上 应用复高斯窗,得到 |φ_3⟩ 和 z′。
图片图片
步骤 4:在 |φ_3⟩上应用图片
图片
步骤 5:将 |φ_4⟩ 划分为了高阶和低阶 |h′⟩ |h′′⟩,然后测量 |h′′⟩。为了推导出 |φ_5⟩的表达式,作者注意到 |φ_4⟩ 可以等效地写为:
图片
步骤 6:在 |φ_5⟩应用图片
图片
步骤 7:提取 |φ_6⟩ 的中心,得到纯虚高斯态 |φ_7⟩。
图片
步骤 8:提取 v′_1 mod D^2_p1 并保留 |φ_8⟩ = |φ_7⟩。

在第 8 步中,作者首先执行四次操作,然后进行部分测量,最后将这四次操作反转(将确保这四次操作是可逆的)。目标是提取 v′_1 mod D^2_p1,最终返回到 |φ_7⟩。也就是说,将学习 v′_1 mod D^2_p1 而不折叠或修改 |φ_7⟩。
图片
图片
图片
步骤 9:从 v′_1 mod D^2_p1 和 |φ_8⟩ 中提取秘密上的线性方程。

在第 9 步中,作者的目标是将 |φ_8⟩ 转换为秘密上的经典线性方程,最终给出如下主引理(引理 3.8)的证明。步骤 9 使用步骤 8 中获得的 v′_1 mod D^2_p1 信息,并插入 LWE 秘密中的已知项的 κ-1 坐标。
图片
图片
陈一镭简介

陈一镭是清华大学交叉信息学院助理教授,上海期智研究院 PI。曾任 VISA 研究院研究员。于 2018 年获得波士顿大学计算机博士学位,本科毕业于上海交通大学。主要研究兴趣是密码学,特别是在伪随机,格密码,数论,和量子计算等方向。

图片

在个人介绍中,陈一镭的研究成果主要包括设计了格问题的量子算法,建立了多线性映射和代码混淆在格问题上安全实现的基础,提出了证明 Fiat-Shamir 假设的方法,以及提出了一个不可逆群的构造。

也就是说,在 2022 年,陈一镭就发表了有关格问题的研究。该研究「Quantum Algorithms for Variants of Average-Case Lattice Problems via Filtering」发表于 2022 年欧洲密码大会(Eurocrypt 2022),并收到 Journal of Cryptology 邀稿。

图片

在 2022 年这篇研究中,陈一镭团队和普林斯顿大学的刘启鹏和 Mark Zhandry 提出了一个能解决特殊格问题的多项式时间量子算法。这些特殊格问题是 SIS 和 LWE 的变种。他们虽然并不等价于标准的格问题,但是已经非常接近于密码学常用的问题。他们的量子算法中使用了一种被称为 “过滤” 的方法,是在量子算法的设计中第一次使用,可能为未来量子算法的设计带来新的思路。

图片

参考:
https://sqz.ac.cn/password-50
工程量子算法清华大学
相关数据
清华大学机构

清华大学(Tsinghua University),简称“清华”,由中华人民共和国教育部直属,中央直管副部级建制,位列“211工程”、“985工程”、“世界一流大学和一流学科”,入选“基础学科拔尖学生培养试验计划”、“高等学校创新能力提升计划”、“高等学校学科创新引智计划”,为九校联盟、中国大学校长联谊会、东亚研究型大学协会、亚洲大学联盟、环太平洋大学联盟、清华—剑桥—MIT低碳大学联盟成员,被誉为“红色工程师的摇篮”。 清华大学的前身清华学堂始建于1911年,因水木清华而得名,是清政府设立的留美预备学校,其建校的资金源于1908年美国退还的部分庚子赔款。1912年更名为清华学校。1928年更名为国立清华大学。1937年抗日战争全面爆发后南迁长沙,与北京大学、南开大学组建国立长沙临时大学,1938年迁至昆明改名为国立西南联合大学。1946年迁回清华园。1949年中华人民共和国成立,清华大学进入了新的发展阶段。1952年全国高等学校院系调整后成为多科性工业大学。1978年以来逐步恢复和发展为综合性的研究型大学。

http://www.tsinghua.edu.cn/
相关技术
知识图谱
Peter Shor人物

麻省理工学院教授。研究兴趣:量子计算、量子信息论、算法、计算几何学、组合数学、概率论。

来源:Peter Shor个人主页
参数技术

在数学和统计学裡,参数(英语:parameter)是使用通用变量来建立函数和变量之间关系(当这种关系很难用方程来阐述时)的一个数量。

来源:维基百科
时间复杂度技术

在计算机科学中,算法的时间复杂度是一个函数,它定量描述了该算法的运行时间。这是一个代表算法输入值的字符串的长度的函数。时间复杂度常用大O符号表述,不包括这个函数的低阶项和首项系数。使用这种方式时,时间复杂度可被称为是渐近的,亦即考察输入值大小趋近无穷时的情况。例如,如果一个算法对于任何大小为 n (必须比 n0 大)的输入,它至多需要 5n3 + 3n 的时间运行完毕,那么它的渐近时间复杂度是 O(n3)。

来源:维基百科
傅里叶变换技术

傅里叶变换(法语:Transformation de Fourier、英语:Fourier transform)是一种线性积分变换,用于信号在时域(或空域)和频域之间的变换,在物理学和工程学中有许多应用。因其基本思想首先由法国学者约瑟夫·傅里叶系统地提出,所以以其名字来命名以示纪念。实际上傅里叶变换就像化学分析,确定物质的基本成分;信号来自自然界,也可对其进行分析,确定其基本成分。

来源:维基百科
映射技术

映射指的是具有某种特殊结构的函数,或泛指类函数思想的范畴论中的态射。 逻辑和图论中也有一些不太常规的用法。其数学定义为:两个非空集合A与B间存在着对应关系f,而且对于A中的每一个元素x,B中总有有唯一的一个元素y与它对应,就这种对应为从A到B的映射,记作f:A→B。其中,y称为元素x在映射f下的象,记作:y=f(x)。x称为y关于映射f的原象*。*集合A中所有元素的象的集合称为映射f的值域,记作f(A)。同样的,在机器学习中,映射就是输入与输出之间的对应关系。

来源:Wikipedia
量子计算技术

量子计算结合了过去半个世纪以来两个最大的技术变革:信息技术和量子力学。如果我们使用量子力学的规则替换二进制逻辑来计算,某些难以攻克的计算任务将得到解决。追求通用量子计算机的一个重要目标是确定当前经典计算机无法承载的最小复杂度的计算任务。该交叉点被称为「量子霸权」边界,是在通向更强大和有用的计算技术的关键一步。

来源:活在实验室还是实现霸权?揭开当前量子计算技术进展之谜|机器之心
推荐文章
登录后评论
暂无评论
暂无评论~
返回顶部