[论文解读] Quantum Attacks without Superposition Queries: the Offline Simon's Algorithm
本文提出了一种西蒙算法的离线变体,使得仅通过经典查询和离线量子计算即可实现量子密码分析。通过在肖尔搜索框架中重用西蒙子程序预计算的叠加态,作者实现了对偶-曼索尔构造的量子时间复杂度为$\tilde{O}(2^{n/3})$,仅需$O(2^{n/3})$次经典查询和$O(n^2)$量子比特——在不需量子预言存储的情况下,达到了肖尔算法的二次加速效果。
In symmetric cryptanalysis, the model of superposition queries has led to surprising results, with many constructions being broken in polynomial time thanks to Simon's period-finding algorithm. But the practical implications of these attacks remain blurry. In contrast, the results obtained so far for a quantum adversary making classical queries only are less impressive. In this paper, we introduce a new quantum algorithm which uses Simon's subroutines in a novel way. We manage to leverage the algebraic structure of cryptosystems in the context of a quantum attacker limited to classical queries and offline quantum computations. We obtain improved quantum-time/classical-data tradeoffs with respect to the current literature, while using only as much hardware requirements (quantum and classical) as a standard exhaustive search with Grover's algorithm. In particular, we are able to break the Even-Mansour construction in quantum time $ ilde{O}(2^{n/3})$, with $O(2^{n/3})$ classical queries and $O(n^2)$ qubits only. In addition, we improve some previous superposition attacks by reducing the data complexity from exponential to polynomial, with the same time complexity. Our approach can be seen in two complementary ways: \emph{reusing} superposition queries during the iteration of a search using Grover's algorithm, or alternatively, removing the memory requirement in some quantum attacks based on a collision search, thanks to their algebraic structure. We provide a list of cryptographic applications, including the Even-Mansour construction, the FX construction, some Sponge authenticated modes of encryption, and many more.
研究动机与目标
- 弥合对称密码学中叠加查询攻击(Q2模型)与实际经典查询攻击(Q1模型)之间的差距。
- 通过重用西蒙算法的量子预计算,实现在仅允许经典查询的Q1模型中实现量子加速。
- 在保持或提升时间复杂度的同时,降低量子攻击中的硬件和数据存储需求。
- 证明对称方案中的代数结构即使在无叠加查询的情况下,也能支持强大的Q1攻击。
- 提供一种新的量子密码分析框架,利用离线量子计算和经典数据访问。
提出的方法
- 离线预计算输入的均匀叠加态,并应用西蒙子程序,将结果纠缠态存储在$O(n^2)$量子比特上。
- 在肖尔搜索迭代过程中重用存储的叠加态作为预言机,避免重复的量子查询。
- 构建一个函数变换,通过在量子寄存器上执行可逆操作,将经典输入映射为周期函数。
- 利用变换后函数的周期性,通过在预计算数据上应用西蒙算法提取隐藏偏移量。
- 通过识别其内部函数中的隐藏周期结构,将该方法应用于多种对称构造。
- 将攻击推广到仅在特定密钥或参数选择下函数才呈现周期性的场景。
实验结果
研究问题
- RQ1西蒙算法能否在仅允许经典查询的Q1模型中有效应用?
- RQ2离线量子预计算能否在避免查询阶段量子存储需求的情况下,实现时间复杂度的量子加速?
- RQ3对称密码的代数结构是否允许在经典查询模型中实现比以往认为更高效的量子攻击?
- RQ4能否将叠加基攻击的数据复杂度从指数级降低到多项式级,同时保持时间复杂度不变?
- RQ5是否可能在Q1模型中实现二次量子加速,而无需大容量量子内存或重复的量子预言调用?
主要发现
- 通过仅使用$O(2^{n/3})$次经典查询和$O(n^2)$量子比特,可在量子时间$\tilde{O}(2^{n/3})$内破解偶-曼索尔构造,其时间复杂度与肖尔加速一致,且无需量子预言访问。
- 该攻击在消除存储$O(2^{n/3})$次经典内存以保存查询的同时,实现了对经典穷举搜索的二次加速。
- 该方法为多个对称方案(包括FX和iFX构造)实现了改进的量子时间/经典数据权衡,其时间复杂度与叠加攻击相同,但数据需求更低。
- 该方法可推广至一类函数仅在特定密钥下呈现周期性的场景,从而通过周期性检测恢复密钥。
- 首次在无任何叠加查询的离线环境中应用西蒙算法,证明其在Q2模型之外的实用性。
- 对FX构造的攻击可在$\mathcal{O}(|k_1|^{3}2^{|k_2|/2})$时间内恢复密钥,仅需$\mathcal{O}(|k_1|)$次经典查询,假设$|k_1| = \Omega(|k_2|)$。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。