Чи криптографія має властиву термодинамічну вартість?


19

Оборотні обчислення - це обчислювальна модель, яка дозволяє лише термодинамічно оборотні операції. Відповідно до принципу Ландауера, який стверджує, що стираючи трохи інформації, що вивільняє джоулів тепла, це виключає функції переходу, які не є однозначними (наприклад, булеві оператори AND і OR). Добре відомо, що квантове обчислення за своєю суттю є оборотним, оскільки дозволені операції в квантовому обчисленні представлені унітарними матрицями.kTln(2)

Це питання стосується криптографії. Неофіційно поняття "оборотність" видається анафемою до основних цілей криптографії, таким чином, підказуючи питання: "Чи криптографія має властиву термодинамічну вартість?"

Я вважаю, що це питання інше, ніж "Чи можна все зробити в кванті?"

У своїх лекційних записках доктор Прескілл зазначає: "Існує загальна стратегія моделювання незворотних обчислень на оборотному комп'ютері. Кожен незворотний хід може бути змодельований воротами Toffoli шляхом фіксації входів та ігнорування виходів. Ми накопичуємо та зберігаємо все сміття 'вихідні біти, необхідні для обернення кроків обчислення. "

Це говорить про те, що ці зворотні квантові симуляції незворотних операцій займають вхід, а також деякий "подряпин" простір. Потім операція генерує вихід разом з деякими "брудними" бітами подряпин. Усі операції є оборотними щодо виходу плюс сміття, але в якийсь момент шматочки сміття "викидаються" і не розглядаються далі.

Оскільки криптографія залежить від існування односторонніх функцій trapdoor, альтернативним висловленням питання може бути: "Чи є якісь односторонні функції trapdoor, які можна реалізувати, використовуючи лише оборотні логічні операції, без додаткового місця подряпин?" Якщо так, то чи можна також обчислити довільну односторонню функцію треп-дору, використовуючи лише оборотні операції (і немає місця подряпин)?


2
цікаве запитання.
Суреш Венкат

4
Імовірно, це питання стосується лише криптографії з відкритим ключем. Чи не можна симетричні криптосистеми (такі як DES) зробити повністю оборотними?
Пітер Шор

1
Чорт, я написав цей останній коментар занадто пізно вночі, і збентежив його. Що я мав би сказати, це те, що термодинамічна вартість не залежить від розміру місця подряпин як для систем відкритого, так і для приватного ключів, оскільки ви можете просто виконати обернені обчислення, копіюючи вихідні біти (але не місце для подряпин) на ancilla зареєструйте, а потім оберніть оригінальний обчислення (не обчислюючи все в області нуля).
Joe Fitzsimons

Відповіді:


14

Як я вже згадував у своєму коментарі вище, і як ви натякаєте на питання, кожне обчислення можна зробити зворотним, і просто утримуючи зайві біти, немає властивих термодинамічних витрат.

Кожна схема, що генерується за допомогою воріт і підрозділів Toffoli для заміни незворотних воріт, стає настільки ж ефективною для зворотного, як і для обчислення за умови, що у вас є доступ до всіх вихідних бітів. Очевидно, це не стосується функцій, що розглядаються в криптографії, оскільки багато допоміжних елементів використовуються та відкидаються. Саме, зберігаючи в таємниці ці зайві біти, це робить обчислення важким для зворотного.

Однак, обчислюючи функцію зворотно, роблячи копію підмножини бітів, що відповідає виводу, а потім інвертувати функцію, загальна вартість енергії для обчислень та інвертування функції буде дорівнює нулю, тоді як єдині понесені витрати полягатимуть у створенні копія вихідних бітів, що залежить тільки від кількості вихідних бітів, а не від обчислюваної функції. Це, очевидно, найкраще, що ви можете зробити, оскільки це коштує такої ж енергії, як і просто записувати вихідний рядок у порожній регістр.

Звернення до перетвореного питання:

"Чи є якісь односторонні функції trapdoor, які можна реалізувати, використовуючи лише оборотні логічні операції, без додаткового місця подряпин?"

Відповідь тривіально ні. Якщо ви застосуєте інверсію кожного затвора в зворотному порядку, ви обчислите інверсію функції. Якщо припустити модель, коли ворота діють на фіксовану кількість кубітів одночасно, то обернення кожного елементарного оборотного затвора можна застосовувати за постійний час. Отже, таку функцію настільки легко інвертувати, як і обчислити (аж до мультиплікативної константи), а значить, і не є функцією відриву.


1
ff

4
f

@mikero: вам потрібно трохи енергії, щоб ініціалізувати всі біти ацилли до відомого початкового стану, але оскільки наприкінці обчислення всі біти ацилли повернулися до того ж відомого початкового стану, ви можете відновити цю енергію.
Антоніо Валеріо Міцелі-Бароне
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.