Чи криптографія має властиву термодинамічну вартість?

Оборотні обчислення - це обчислювальна модель, яка дозволяє лише термодинамічно оборотні операції. Відповідно до принципу Ландауера, який стверджує, що стираючи трохи інформації, що вивільняє джоулів тепла, це виключає функції переходу, які не є однозначними (наприклад, булеві оператори AND і OR). Добре відомо, що квантове обчислення за своєю суттю є оборотним, оскільки дозволені операції в квантовому обчисленні представлені унітарними матрицями.$kT \ln(2)$

Це питання стосується криптографії. Неофіційно поняття "оборотність" видається анафемою до основних цілей криптографії, таким чином, підказуючи питання: "Чи криптографія має властиву термодинамічну вартість?"

Я вважаю, що це питання інше, ніж "Чи можна все зробити в кванті?"

У своїх лекційних записках доктор Прескілл зазначає: "Існує загальна стратегія моделювання незворотних обчислень на оборотному комп'ютері. Кожен незворотний хід може бути змодельований воротами Toffoli шляхом фіксації входів та ігнорування виходів. Ми накопичуємо та зберігаємо все сміття 'вихідні біти, необхідні для обернення кроків обчислення. "

Це говорить про те, що ці зворотні квантові симуляції незворотних операцій займають вхід, а також деякий "подряпин" простір. Потім операція генерує вихід разом з деякими "брудними" бітами подряпин. Усі операції є оборотними щодо виходу плюс сміття, але в якийсь момент шматочки сміття "викидаються" і не розглядаються далі.

Оскільки криптографія залежить від існування односторонніх функцій trapdoor, альтернативним висловленням питання може бути: "Чи є якісь односторонні функції trapdoor, які можна реалізувати, використовуючи лише оборотні логічні операції, без додаткового місця подряпин?" Якщо так, то чи можна також обчислити довільну односторонню функцію треп-дору, використовуючи лише оборотні операції (і немає місця подряпин)?

Як я вже згадував у своєму коментарі вище, і як ви натякаєте на питання, кожне обчислення можна зробити зворотним, і просто утримуючи зайві біти, немає властивих термодинамічних витрат.

Кожна схема, що генерується за допомогою воріт і підрозділів Toffoli для заміни незворотних воріт, стає настільки ж ефективною для зворотного, як і для обчислення за умови, що у вас є доступ до всіх вихідних бітів. Очевидно, це не стосується функцій, що розглядаються в криптографії, оскільки багато допоміжних елементів використовуються та відкидаються. Саме, зберігаючи в таємниці ці зайві біти, це робить обчислення важким для зворотного.

Однак, обчислюючи функцію зворотно, роблячи копію підмножини бітів, що відповідає виводу, а потім інвертувати функцію, загальна вартість енергії для обчислень та інвертування функції буде дорівнює нулю, тоді як єдині понесені витрати полягатимуть у створенні копія вихідних бітів, що залежить тільки від кількості вихідних бітів, а не від обчислюваної функції. Це, очевидно, найкраще, що ви можете зробити, оскільки це коштує такої ж енергії, як і просто записувати вихідний рядок у порожній регістр.

Звернення до перетвореного питання:

"Чи є якісь односторонні функції trapdoor, які можна реалізувати, використовуючи лише оборотні логічні операції, без додаткового місця подряпин?"

Відповідь тривіально ні. Якщо ви застосуєте інверсію кожного затвора в зворотному порядку, ви обчислите інверсію функції. Якщо припустити модель, коли ворота діють на фіксовану кількість кубітів одночасно, то обернення кожного елементарного оборотного затвора можна застосовувати за постійний час. Отже, таку функцію настільки легко інвертувати, як і обчислити (аж до мультиплікативної константи), а значить, і не є функцією відриву.