Чи є кандидат на постквантну односторонню групову дію?

Чи є відома сім'я групових дій із позначеним елементом
у наборі, на який діє, де відомо, як ефективно

$\:$ вибірка (по суті рівномірно) з груп, обчислення обернених операцій,
$\:$ обчислити групові операції та обчислити групові дії

і не існує відомого ефективного квантового алгоритму
для досягнення успіху з незначною ймовірністю в

$\:$ задано як вхідні дані індексу групової дії та результату
$\:$ вибірковий елемент групи, що діє на призначений елемент,
$\:$ знайти груповий елемент, дія якого на позначений елемент є другим входом

?

Наскільки мені відомо, вони надають єдині відомі конструкції неінтерактивних статистично прихованих зобов’язань, в яких знання про вікону дозволяє забезпечити ефективне і невизначне присвоєння, властивість, яка корисна для нульових протоколів знань та адаптивного захисту.

Будь-яке сімейство односторонніх групових гомоморфізмів з першими трьома властивостями (з третього та четвертого рядків цієї публікації) може бути перетворене в таке, якщо домени діють на кодомени через $\: \langle a,b\rangle \mapsto h(a)\cdot b \:$ , $\:$ з елементами ідентичності як відмінних елементів.

Обмежена версія схеми зобов'язань Педерсена може бути отримана як особливий випадок застосування перерахованого вище перетворення до групового експоненціального гомоморфізму, односторонність якого еквівалентна твердості задачі дискретного логарифму, хоча це не важко для квантових алгоритмів. (Див . Алгоритм Шор та розділ цієї сторінки про дискретний логарифм.)

cr.crypto-security quantum-computing gr.group-theory

Так , є стара пропозиція щодо цього завдяки Кувейні , який був самостійно перетворений Ростовцевим та Столбуновим .

В обох випадках набір еліптичних кривих з деяким загальним кільцем ендоморфізму $\mathcal O$ на яку діє ідеальна група класів $\mathcal O$ . Секретний ключ - це, по суті, опис ізогенії через ідеал ядра та дію групового елемента $[\mathfrak a]$ бере криву $E$ до кодомейна зазначеної ізогенії:

([а], Е) ⟼ Е / а = Е / ⋂_{α \in а} \ker α .

$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$ Існує приємна інтерпретація цієї дії, яка описана (наприклад) у розділі 14.1 лекцій Лука Де Фео . _{^{(Вони також містять більше відомостей, необхідних для розуміння цієї конструкції!)}}

Незважаючи на те, що можна інвертувати групову дію шляхом вирішення примірника проблеми прихованого зсуву, породжуючи субекспоненціальну квантову атаку , система залишається нерозривною для досить великих розмірів параметрів. Набагато більша проблема полягає в тому, що ці схеми болісно повільні на практиці: Навіть після значних зусиль з оптимізації одне обчислення групової дії все ще займає хвилини .

Питання щодо ефективності було вирішено нещодавньою пропозицією під назвою CSIDH шляхом переходу на надсингулярні еліптичні криві, що різко підвищує ефективність, зберігаючи, по суті, ту саму базову структуру. Він все ще повільний по відношенню до порівнянних квантових схем, а також до незрівнянних постквантових схем, але може мати місце у постквантовому світі завдяки його унікальним особливостям.

— yyyyyyy
джерело