[논문 리뷰] Quantum Attacks without Superposition Queries: the Offline Simon's Algorithm
이 논문은 단지 고전적 쿼리와 오프라인 양자 계산을 사용하여 양자 암호 분석을 가능하게 하는 시몬 알고리즘의 오프라인 변종을 소개한다. 저자들은 시몬의 서브루틴에서 사전에 계산된 초위상 상태를 그로버 검색 프레임워크 내에서 재사용하여, 유일한 양자 오라클 저장이 필요 없이도 $\tilde{O}(2^{n/3})$의 양자 시간 복잡도를 달성한다. 이는 그로버의 제곱근 속도 향상과 일치하며, $O(2^{n/3})$의 고전적 쿼리와 $O(n^2)$의 큐비트를 사용한다.
In symmetric cryptanalysis, the model of superposition queries has led to surprising results, with many constructions being broken in polynomial time thanks to Simon's period-finding algorithm. But the practical implications of these attacks remain blurry. In contrast, the results obtained so far for a quantum adversary making classical queries only are less impressive. In this paper, we introduce a new quantum algorithm which uses Simon's subroutines in a novel way. We manage to leverage the algebraic structure of cryptosystems in the context of a quantum attacker limited to classical queries and offline quantum computations. We obtain improved quantum-time/classical-data tradeoffs with respect to the current literature, while using only as much hardware requirements (quantum and classical) as a standard exhaustive search with Grover's algorithm. In particular, we are able to break the Even-Mansour construction in quantum time $ ilde{O}(2^{n/3})$, with $O(2^{n/3})$ classical queries and $O(n^2)$ qubits only. In addition, we improve some previous superposition attacks by reducing the data complexity from exponential to polynomial, with the same time complexity. Our approach can be seen in two complementary ways: \emph{reusing} superposition queries during the iteration of a search using Grover's algorithm, or alternatively, removing the memory requirement in some quantum attacks based on a collision search, thanks to their algebraic structure. We provide a list of cryptographic applications, including the Even-Mansour construction, the FX construction, some Sponge authenticated modes of encryption, and many more.
연구 동기 및 목표
- 대칭 키 암호 분석에서 초위상 쿼리 공격(Q2 모델)과 실용적인 고전적 쿼리 공격(Q1 모델) 사이의 격차를 좁히기 위해.
- 시몬 알고리즘의 사전 계산된 양자 계산을 재사용하여, 고전적 쿼리만 허용되는 Q1 모델에서 양자 속도 향상을 가능하게 하기 위해.
- 하드웨어 및 데이터 저장 요구 사항을 줄이면서도 시간 복잡도를 유지하거나 향상시키기 위해.
- 대칭 구조의 대수적 성질이 초위상 쿼리 없이도 강력한 Q1 공격을 가능하게 함을 보여주기 위해.
- 오프라인 양자 계산과 고전적 데이터 액세스를 활용하는 새로운 양자 암호 분석 프레임워크를 제공하기 위해.
제안 방법
- 입력값의 균일한 초위상 상태를 사전에 계산하고, 이를 오프라인으로 시몬의 서브루틴에 적용하여 $O(n^2)$ 큐비트에 결과로 생긴 얽힌 상태를 저장한다.
- 반복적인 그로버 검색 단계 동안 저장된 초위상 상태를 오라클로 재사용하여 반복적인 양자 쿼리를 방지한다.
- 고전적 입력을 양자 레지스터에서의 가역 연산을 통해 주기 함수로 매핑하는 함수 변환을 구성한다.
- 변환된 함수의 주기성을 이용하여 사전에 계산된 데이터에서 숨겨진 이동을 시몬 알고리즘으로 추출한다.
- 내부 함수에서 숨겨진 주기적 구조를 식별함으로써 다양한 대칭 구조에 대해 이 방법을 적용한다.
- 특정 키나 파라미터 선택에 따라 함수가 주기적으로 나타나는 문제에 대해 공격을 일반화한다.
실험 결과
연구 질문
- RQ1고전적 쿼리만 허용되는 Q1 모델에서 시몬 알고리즘이 효과적으로 사용될 수 있는가?
- RQ2오프라인 양자 사전 계산을 통해 쿼리 단계 동안 양자 저장소가 필요 없이도 시간 복잡도에서 양자 속도 향상을 달성할 수 있는가?
- RQ3대칭 암호의 대수적 구조가 이전에 생각보다 더 효율적인 양자 공격을 Q1 모델에서 가능하게 하는가?
- RQ4초위상 기반 공격의 데이터 복잡도를 지수적에서 다항식으로 줄일 수 있는가, 동시에 시간 복잡도를 유지할 수 있는가?
- RQ5큰 양자 메모리나 반복적인 양자 오라클 호출 없이도 Q1 모델에서 제곱근 속도 향상을 달성할 수 있는가?
주요 결과
- 유일한 고전적 쿼리 $O(2^{n/3})$와 $O(n^2)$ 큐비트를 사용하여, Even-Mansour 구조는 양자 시간 복잡도 $ frac{O}(2^{n/3})$로 분해 가능하며, 이는 양자 오라클 액세스가 필요 없이도 그로버의 속도 향상과 일치한다.
- 이 공격은 고전적 완전 검색보다 제곱근 속도 향상을 달성하면서도, $O(2^{n/3})$의 고전적 메모리가 쿼리 저장을 위해 필요 없어진다.
- 이 방법은 FX 및 iFX 구조를 포함한 여러 대칭 구조에 대해, 초위상 공격와 동일한 시간 복잡도를 유지하면서도 데이터 요구 사항을 감소시켜, 더 나은 양자 시간/고전적 데이터 트레이드오프를 가능하게 한다.
- 이 접근법은 특정 키에서 함수가 주기적으로 나타나는 문제의 클래스로 일반화되며, 주기성 탐지에 의해 키 복구가 가능하다.
- 초위상 쿼리 없이도 오프라인 환경에서 시몬 알고리즘을 적용한 것은 처음으로, 이는 Q2 모델을 넘어서서도 그 유용성을 입증한다.
- FX 구조에 대한 공격은 $|k_1| = \Omega(|k_2|)$를 가정할 때, $ frac{O}(|k_1|^{3}2^{|k_2|/2})$의 시간에 키를 복구한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.