Skip to main content
QUICK REVIEW

[論文レビュー] Quantum Attacks without Superposition Queries: the Offline Simon's Algorithm

Xavier Bonnetain, Akinori Hosoyamada|HAL (Le Centre pour la Communication Scientifique Directe)|Feb 27, 2020
Cryptographic Implementations and Security参考文献 38被引用数 26
ひとこと要約

この論文は、古典的クエリとオフライン量子計算のみを用いて量子暗号解読を可能にする、シモンのアルゴリズムのオフライン版を導入する。著者らは、シモンのサブルーチンから事前に計算された重ね合わせ状態をグローバー探索フレームワーク内で再利用することで、偶-マンサー構成の破壊に $ frac{O}(2^{n/3})$ の量子時間計算量を達成した。これは、量子オラクルの保存を必要とせず、Groーバーの2乗の高速化を達成するものである。

ABSTRACT

In symmetric cryptanalysis, the model of superposition queries has led to surprising results, with many constructions being broken in polynomial time thanks to Simon's period-finding algorithm. But the practical implications of these attacks remain blurry. In contrast, the results obtained so far for a quantum adversary making classical queries only are less impressive. In this paper, we introduce a new quantum algorithm which uses Simon's subroutines in a novel way. We manage to leverage the algebraic structure of cryptosystems in the context of a quantum attacker limited to classical queries and offline quantum computations. We obtain improved quantum-time/classical-data tradeoffs with respect to the current literature, while using only as much hardware requirements (quantum and classical) as a standard exhaustive search with Grover's algorithm. In particular, we are able to break the Even-Mansour construction in quantum time $ ilde{O}(2^{n/3})$, with $O(2^{n/3})$ classical queries and $O(n^2)$ qubits only. In addition, we improve some previous superposition attacks by reducing the data complexity from exponential to polynomial, with the same time complexity. Our approach can be seen in two complementary ways: \emph{reusing} superposition queries during the iteration of a search using Grover's algorithm, or alternatively, removing the memory requirement in some quantum attacks based on a collision search, thanks to their algebraic structure. We provide a list of cryptographic applications, including the Even-Mansour construction, the FX construction, some Sponge authenticated modes of encryption, and many more.

研究の動機と目的

  • 対称暗号解読における重ね合わせクエリ攻撃(Q2モデル)と実用的古典的クエリ攻撃(Q1モデル)のギャップを埋めること。
  • シモンのアルゴリズムからの量子事前計算を再利用することで、Q1モデル(古典的クエリのみ許可)における量子高速化を可能にすること。
  • 量子攻撃におけるハードウェアおよびデータ保存要件を低減しながら、時間計算量を維持または向上させること。
  • 対称方式における代数的構造が、重ね合わせクエリがなくても強力なQ1攻撃を可能にすることを示すこと。
  • オフライン量子計算と古典的データアクセスを活用する新しい量子暗号解読フレームワークを提供すること。

提案手法

  • 入力の均一な重ね合わせを事前に計算し、シモンのサブルーチンをオフラインで実行し、その結果のもつれ状態を $O(n^2)$ 量子ビットに保存する。
  • グローバー探索の反復処理中に、保存済みの重ね合わせ状態をオラクルとして再利用することで、繰り返しの量子クエリを回避する。
  • 量子レジスタ上で可逆操作を用いて、古典的入力を周期的関数に変換する関数変換を構築する。
  • 変換された関数の周期性を用いて、事前に計算されたデータ上でシモンのアルゴリズムを用いて隠れたシフトを抽出する。
  • 内部関数に隠れた周期的構造が存在することを特定することで、さまざまな対称構成にこの手法を適用する。
  • 特定の鍵またはパラメータ選択下でのみ周期的関数が出現する問題へ一般化する。

実験結果

リサーチクエスチョン

  • RQ1Q1モデル(古典的クエリのみ許可)において、シモンのアルゴリズムが効果的に使用可能か。
  • RQ2オフライン量子事前計算により、量子ストレージをクエリ段階で必要とせず、時間計算量の量子高速化を達成可能か。
  • RQ3対称暗号の代数的構造が、従来の予想よりも効率的な量子攻撃をQ1モデルで可能にするか。
  • RQ4重ね合わせベースの攻撃におけるデータ計算量を指数的から多項式に低減可能か、時間計算量を維持できるか。
  • RQ5大規模な量子メモリや繰り返しの量子オラクル呼び出しを必要とせず、Q1モデルで2乗の量子高速化を達成可能か。

主な発見

  • 偶-マンサー構成は、$O(2^{n/3})$ の古典的クエリと $O(n^2)$ の量子ビットを用いて、量子時間 $ frac{O}(2^{n/3})$ で破壊可能であり、量子オラクルアクセスを必要とせず、グローバーの高速化と一致する。
  • 攻撃は古典的全探索に対する2乗の高速化を達成し、$O(2^{n/3})$ の古典的メモリをクエリの保存に必要としない。
  • FXおよびiFX構成を含む複数の対称方式において、時間計算量は重ね合わせ攻撃と同等だが、データ要件が低減された、改善された量子時間/古典的データトレードオフを実現する。
  • 特定の鍵下で関数が周期的になる問題のクラスに一般化可能であり、周期性検出により鍵の回復が可能となる。
  • 重ね合わせクエリが一切不要なオフライン設定で、初めてシモンのアルゴリズムがQ2モデルを超えて有効に適用された。
  • FX構成に対する攻撃は、$|k_1| = \Omega(|k_2|)$ を仮定すると、$ frac{O}(|k_1|^{3}2^{|k_2|/2})$ 時間で鍵を回復する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。