Domanda:
I computer quantistici potrebbero rompere qualsiasi cifra?
Ephasme
2015-07-16 13:44:37 UTC
view on stackexchange narkive permalink

Mi è stato detto che fisici e informatici stanno lavorando su computer che potrebbero utilizzare la fisica quantistica per aumentare in modo significativo le capacità di calcolo e rompere qualsiasi cifra in modo che la crittografia diventi priva di significato.

È vero?

Lettura correlata: [Come verrà modificata la crittografia dal Quantum Computing?] (Http://crypto.stackexchange.com/q/3699/1142) (e probabilmente un bel po 'in [crypto.se] del [post-quantum-cryptography] (http://crypto.stackexchange.com/questions/tagged/post-quantum-cryptography) e il tag [quantum-computing] di [security.se] (http://security.stackexchange.com/questions/etichettato / quantum-computing)).
Voto per chiudere questa domanda come fuori tema perché la domanda si pone sulla verifica della rivendicazione dell'uso di un computer quantistico e non sulla fisica.Forse [crypto.se] o [skeptics.se] potrebbero essere più adatti a questa domanda.
In realtà non penso che questo sia in tema per noi.È davvero una domanda sulla crittografia: l'unica connessione con la fisica è sapere che un computer quantistico può risolvere efficacemente determinati problemi in un tempo meno che esponenziale.
Non penso che sia nemmeno un grosso problema.Ho risposto a una domanda simile qualche tempo fa, [Come verrà modificata la crittografia dal Quantum Computing?] (Http://crypto.stackexchange.com/a/5755/4511), e il tdlr era che sappiamo come affrontarlocomputer che diventano più veloci: spazi chiave più grandi.
@NathanCooper Se riesco a costruire una macchina la cui capacità di fattorizzare cresce più velocemente della capacità della tua macchina di crittografare / decrittografare, allora spazi chiave più grandi non aiutano.Oppure mi sfugge qualcosa?
AilioaozrrCMT se ....
@emory ovviamente "se".Il punto è che quello che ha detto Nathan non ha senso per me.
Penso che i 24 voti positivi e le molteplici risposte di grande successo suggeriscano che questa domanda fosse appropriata.Suggerisco di riaprirlo.Questa è una domanda popolare che ha a che fare con l'informatica quantistica - è certamente una domanda interdisciplinare, ma il fatto che sia interdisciplinare non significa che non possa essere risolta o sia fuori tema per questo forum.
Sette risposte:
Norbert Schuch
2015-07-16 13:55:03 UTC
view on stackexchange narkive permalink

No, non lo è.

I computer quantistici possono fattorizzare grandi numeri in modo efficiente, il che consentirebbe di rompere molti dei crittosistemi a chiave pubblica comunemente usati come RSA, che sono basati sulla durezza del factoring.

Tuttavia, ci sono altri sistemi crittografici come la crittografia basata su reticolo che non si basano sulla durezza del factoring e che (per le nostre attuali conoscenze) non sarebbero vulnerabili agli attacchi da un computer quantistico.

user10851
2015-07-16 14:06:17 UTC
view on stackexchange narkive permalink

Il calcolo quantistico ha molte promesse, ma non è infinitamente potente.

Le affermazioni (esagerate) che hai sentito sono probabilmente basate sul più famoso algoritmo di calcolo quantistico, l'algoritmo di Shor. Questo è un metodo per utilizzare un computer quantistico per scomporre gli interi in numeri primi. A quanto pare, molti schemi di crittografia si basano sul fatto che la scomposizione in fattori di grandi numeri è molto difficile. I messaggi possono essere crittografati abbastanza facilmente in modo tale che solo qualcuno che conosce la scomposizione in fattori primi di un determinato numero possa decrittografarli con un ragionevole sforzo. Se potessi rapidamente fattorizzare grandi numeri, romperesti molti schemi di crittografia attuali.

Tuttavia, ci sono altre tecniche che non sono immediatamente minacciate dai computer quantistici. Se non altro, puoi sempre utilizzare un blocco unico fintanto che il messaggio stesso. Questo è matematicamente indistruttibile, poiché qualsiasi messaggio può essere "decifrato" da quello crittografato con l'ipotesi appropriata alla chiave, quindi non c'è modo per un intercettatore di conoscere il messaggio reale.

Il calcolo quantistico può anche aprire le porte a modi di nuova generazione per trasmettere in modo sicuro le informazioni. Ad esempio, la maggior parte della crittografia oggi è proprio questo: rimescolare il messaggio in modo che solo il destinatario previsto possa capirlo. Ma potrebbero esserci buoni modi quantistici per garantire fisicamente che gli intercettatori non possano accedere alla trasmissione in primo luogo.

quindi i computer quantistici aiuterebbero gli intercettatori a ottenere il vantaggio sui crittografi o viceversa?sembra che la decrittografia diventi più facile in alcuni casi, ma anche una buona crittografia diventa più facile.
Per i pad monouso, la crittografia diventa sia più costosa che meno sicura, poiché il pad deve essere inviato fisicamente al criptatore, che deve assicurarsi che non venga letto da The Bad Guys.Per flussi di traffico molto grandi, anche i pad diventano grandi, quindi c'è un costo.Finché la chiave rimane al sicuro, tuttavia, gli intercettatori sono impotenti ei computer quantistici sono inutili.
Ma in molti casi il problema non è l'intercettazione.Per esempio.diciamo che ho un file sul mio disco rigido che non voglio che nessuno legga, anche se rubano la macchina.
La meccanica quantistica di @innisfree aiuta i criptatori più che gli intercettatori, poiché Quantum Key Distribution rende i pad monouso praticabili su un canale non sicuro.I sistemi attuali sono progettati in modo tale che qualsiasi intercettatore provochi un collasso della funzione d'onda, distruggendo l'OTP nel processo.Si noti inoltre che l'algoritmo di Shor è in gran parte una vulnerabilità teorica (al momento della scrittura, il numero più grande che è stato preso in considerazione è 56153), mentre questi sistemi QKD sono in uso oggi.
Cort Ammon
2015-07-16 17:43:51 UTC
view on stackexchange narkive permalink

In realtà c'è un'intera classe di complessità dedicata alla risposta, che è "no, non può rompere alcun codice". La classe è nota come BQP, o "tempo polinomiale quantistico a errore limitato". È la classe dei problemi decisionali che possono essere risolti da un computer quantistico in tempo polinomiale, con un margine di errore non superiore a 1/3 (questo termine di errore è considerato in una fase di calcolo classica che si verifica dopo la maggior parte degli algoritmi quantistici per verificare che risultati sono corretti).

Si ritiene che BQP abbia le seguenti relazioni con altre complessità:

  • Contiene P (Tempo polinomiale)
  • Interseca, ma probabilmente non contiene completamente NP (tempo polinomiale non deterministico)
    • Probabilmente non contiene NP-completo (come corollario)
  • Sottoinsieme di PSPACE (problemi che sono risolvibili con requisiti di spazio polinomiale)

(La principale incognita in quella lista è che non è ancora noto se P = NP. La lista assume P! = NP, ma se P = NP , chiaramente anche NP e NP-complete farebbero parte di BQP. Inoltre non sappiamo se NP = BQP oppure no. così tanto da scoprire! )

RSA è crackable utilizzando computer quantistici perché il compito di factoring grande composito intorpidito ers è in BQP, come dimostrato dall'algoritmo di Shor. L'algoritmo di Shor è NP (ma non NP-completo). Esistono altri algoritmi NP che si ritiene siano al di fuori di BQP che possono essere utilizzati per la crittografia (la risposta accettata si collega alla crittografia basata su reticolo, che è una di queste classi di algoritmi).

"L'unico sconosciuto in quella lista è che non è ancora noto se P = NP."- Anche l'esatta relazione tra NP e BQP è sconosciuta.
cpast
2015-07-16 20:43:17 UTC
view on stackexchange narkive permalink

Le risposte finora si sono concentrate sulla crittografia a chiave pubblica, in cui qualcuno pubblica una chiave pubblica che può essere utilizzata per crittografare i messaggi e che non è segreta. I computer quantistici sono noti per essere efficienti nel risolvere molti dei problemi più comunemente usati come base della crittografia a chiave pubblica. Non influenza tutta la crittografia a chiave pubblica, solo gli schemi più popolari; influisce sugli schemi più diffusi.

Tuttavia, la crittografia è molto più importante della chiave pubblica. Si ritiene che gli schemi di crittografia simmetrica, in cui le due parti condividono una chiave segreta, siano soggetti a non più di un aumento di velocità quadratico con i computer quantistici (i computer quantistici possono raggiungere un aumento di velocità quadratico per problemi di ricerca generali, ma non di più). Ciò corrisponde a dimezzare effettivamente la lunghezza della chiave. A differenza dei comuni sistemi a chiave pubblica, è estremamente facile rispondere a metà della lunghezza della chiave: puoi semplicemente raddoppiare la lunghezza della chiave e andare avanti. La crittografia simmetrica è estremamente comune; anche dove viene utilizzata la crittografia a chiave pubblica, viene spesso utilizzata solo per scambiare una chiave con la crittografia simmetrica.

Il sistema simmetrico più comune, AES, ha una variante di chiave a 256 bit che fornisce 128 bit di sicurezza contro i computer quantistici. Altri schemi in fase di sviluppo supportano chiavi a 512 bit, che fornirebbero 256 bit di sicurezza effettiva. Si ritiene che sia i bit a 128 che quelli a 256 bit siano sicuri per il prossimo futuro.

Allo stesso modo, si ritiene che le funzioni hash crittografiche reggano molto bene contro i computer quantistici. C'è lo stesso attacco basato sull'algoritmo di Grover, ma come con le funzioni di crittografia è facile da contrastare.

Quindi, qualsiasi affermazione secondo cui la crittografia diventa priva di significato è totalmente fuori base, perché l'unica cosa che è gravemente colpiti sono i sistemi a chiave pubblica. I sistemi a chiave pubblica sono importanti, ma la crittografia è un campo molto più ampio.

E questa risposta è precisamente il motivo per cui sento che questa domanda è fuori tema qui: non c'è una goccia di fisica qui (qualcosa che * ci aspettiamo * è in ogni risposta).
@KyleKanos: C'è un calo di fisica qui, nell'algoritmo di Grover, che aveva abbastanza fisica nel 1997 per essere pubblicato in [Phys.Rev. Lett.($$)] (https://doi.org/10.1103/PhysRevLett.79.325) ([versione arXiv] (https://arxiv.org/abs/quant-ph/9706033)).Lo ammetto, è solo una goccia di fisica, ma sapere se si tratta di fisica o informatica è un problema comune (e frustrante) con l'informazione quantistica.
Joshua
2015-07-18 06:19:20 UTC
view on stackexchange narkive permalink

No. Non può esistere un computer X che possa rompere un codice perché l'unico time pad è un codice e un time pad non può essere rotto dall'algoritmo (prova banale nella teoria dell'informazione).

ravenfrost
2015-07-16 22:39:02 UTC
view on stackexchange narkive permalink

Vorrei aggiungere che i computer quantistici non possono rompere alcun codice esistente perché le loro porte logiche possono eseguire le stesse operazioni delle porte logiche classiche. aggiungono nuove possibilità mantenendo quelle precedentemente possibili nei computer classici.

Poiché i programmi, in sostanza, lavorano su porte logiche, è ragionevole presumere che qualsiasi codice esistente per i classici i computer possono funzionare su un computer quantistico.

Vedi anche cancello quantistico su wikipedia.

Questo non ha senso.In che modo dire che un computer quantistico può fare tutto ciò che un computer classico può, escludere la possibilità che i computer quantistici possano decifrare i codici?Soprattutto dato che i computer classici possono decifrare i codici, ma non necessariamente in un tempo possibile.La tua argomentazione è come dire: "I carrelli elevatori non possono sollevare 20 kg perché possono sollevare tutto ciò che può fare un essere umano".È sbagliato due volte: gli umani * possono * sollevare 20 kg e, anche se non potevano, il carrello elevatore può fare di più.
Falco
2015-07-16 17:02:22 UTC
view on stackexchange narkive permalink

Ok, in teoria un computer quantistico potrebbe funzionare in questo modo:

Puoi avviare un calcolo normale e calcolarlo in parallelo per tutto il possibile tasti di input. Ciò significa che la decrittografia di un testo crittografato con la chiave giusta richiede il tempo necessario per decrittografarlo con ogni chiave possibile (con una lunghezza fissa). Ciò significherebbe che tutti i metodi di crittografia tradizionali come AES ecc. Potrebbero essere violati con la stessa rapidità con cui potrebbero essere decrittografati dal detentore della chiave legale.

La parte difficile (dove l'unico time pad eccelle) è come per sapere se il messaggio risultante dalla decrittografia è effettivamente il testo corretto. Ad esempio ti mando il messaggio OK crittografato con AES 256 bit. Ora ci sono 2 ^ 256 chiavi possibili con cui decifrare questo messaggio e tutte daranno un risultato. Molti magari in qualcosa come # § o altri simboli di byte criptici, ma alcune chiavi potrebbero portare a due lettere "WB" e alcune combinazioni potrebbero persino portare a "NO".

Quindi la parte difficile è quindi scoprire qual è il messaggio corretto! Perché il computer quantistico (teorico) alla fine produrrà solo pochi risultati con un'elevata propensione, quindi devi codificare un controllo, che distinguerà se l'output è effettivamente un testo valido. Se il testo è molto più grande della chiave e qualcosa di simile a un semplice inglese, o meglio un formato standard che può essere controllato per integrità, questo potrebbe essere possibile. Ma se ci sono diversi risultati possibili che sembrano validi, un essere umano dovrà risolverli in modo che, nel caso di un blocco una tantum, il codice sia altrettanto buono che indovinare dal nulla. Altri schemi di crittografia potrebbero dover essere adattati per produrre messaggi dall'aspetto valido per chiavi false, ma questo sembra possibile ...

-

Funzionerebbe solo se un vero computer quantistico potesse funzionare in questo modo. Per quanto ne so, non abbiamo prove concrete che un controllo di qualità funzioni effettivamente in questo modo. Quindi forse semplicemente non può essere fatto e non abbiamo nemmeno un problema ;-)

Non è così che funzionano i computer quantistici.La convinzione di poterlo fare è così comune che il Dr. Aaronson ha un'intera sezione del suo blog dedicata a questo malinteso: [Speaking Truth to Parallelism] (http://www.scottaaronson.com/blog/?cat=17).Danno accelerazioni per alcuni problemi, ma non così tanti come suggerirebbero.(Fondamentalmente, non pensiamo che BQP = PSPACE.)
Ci sono molti articoli in quella categoria, mentre è vero che le memresistor o tecnologie simili soffrono di diversi problemi (come la codifica dell'output) un computer quantistico potrebbe fondamentalmente risolvere un problema complesso con un'alta probabilità.E se riesci a modificare la probabilità abbastanza in alto, in modo da essere accurato al 99,99% con poche corse che è praticamente abbastanza buono e potrebbe risolvere i problemi menzionati, se qualcuno potesse costruire un controllo di qualità
Il problema fondamentale è che i computer quantistici _non_ ti consentono di calcolare tutti i possibili input in parallelo: il calcolo quantistico non è non-germanesimo.
Anche se la cifra del 99,99% era corretta (che come spiegato, non lo è), lo 0,01% di 2 ^ 256 è ancora circa 1e73, che è un bel numero di chiavi rimanenti da testare.In effetti, vale circa 242 bit.(2 ^ 242 ~ 7.07e72) Quindi * la riduzione del 99,99% ti fa guadagnare 14-15 bit di ottimizzazione * da una chiave a 256 bit.Impressionante, sì (molti altri attacchi tendono a sgranocchiare pochi bit alla volta dallo spazio di ricerca, * al massimo *, spesso con varianti a colpi ridotti), ma * molto * lontano da una rottura totale.La mia ipotesi è che molti PRNG siano peggiori di così, soprattutto se sono scarsamente seminati al momento della generazione della chiave.
Ricorda che Snowden "presume che il tuo avversario sia capace di un trilione di ipotesi al secondo" (certamente sulle passphrase PGP, ma ancora; costituisce una base ragionevole per il confronto, e la differenza potrebbe ammontare forse a pochi ordini di grandezza o giù di lì).Un trilione è 1e12.Questo ci lascia con 1e61 secondi, o giù di lì.Si stima che l'universo abbia circa 1-17 secondi.* Molto * generosamente parlando, stai guardando 1e40 volte l'età dell'universo.
Quello che stai descrivendo è un computer * non deterministico * (la "N" in "NP").Anche se non sappiamo per certo che i computer quantistici * non * siano equivalenti a quelli non deterministici (non sappiamo nemmeno che $ P \ ne NP $), siamo praticamente certi che non lo siano.
-1 Questa risposta afferma che [BQP] (https://en.wikipedia.org/wiki/BQP) = [NP] (https://en.wikipedia.org/wiki/NP_%28complexity%29), cheè ampiamente ritenuto falso.Utilizzando [Grover's Algorthm] (https://en.wikipedia.org/wiki/Grover%27s_algorithm), i computer quantistici possono accelerare le ricerche di forza bruta con un fattore radice quadrata, il che significa che potrestiChiave AES solo in 2 ^ 128 operazioni.Ma questa è ancora una complessità esponenziale.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...