P P A D
ในระดับสูง CHKPRR สร้างการแจกจ่ายผ่านอินสแตนซ์ end-of-line ซึ่งการค้นหาโซลูชันต้องการ:
- ทำลายความสมบูรณ์ของระบบการพิสูจน์ที่ได้รับโดยการใช้ฮิวริสติก Fiat-Shamir กับโปรโตคอล sumcheck ที่มีชื่อเสียงหรือ
- ♯ P
♯ S TP P A D
ΣZ⃗ ∈ { 0 , 1 }nฉ( z⃗ ) = xฉnFซึ่งจะทำงานสมบูรณ์ดีในการตั้งค่านี้คือโปรโตคอล sumcheck การแปลงหลักฐานเชิงโต้ตอบให้เป็นแบบไม่โต้ตอบ (การบำรุงรักษาการตรวจสอบสาธารณะและความกะทัดรัด) เป็นสิ่งที่ฮิวริสติก Fiat-Shamir ทำ
คำสั่ง Fiat-Shamir
การแก้ปัญหาของ Fiat-Shamir นั้นง่ายมาก: แก้ไขฟังก์ชั่นแฮชเริ่มต้นด้วยการพิสูจน์แบบโต้ตอบเหรียญสาธารณะและแทนที่แต่ละข้อความแบบสุ่มของตัวตรวจสอบด้วยแฮชของการถอดเสียงทั้งหมด คำถามนั้นอยู่ภายใต้คุณสมบัติของฟังก์ชันแฮชที่เราสามารถพิสูจน์ได้ว่าโปรโตคอลที่ได้นั้นยังคงฟังดู (โปรดทราบว่ามันจะไม่สามารถฟังได้ในเชิงสถิติอีกต่อไปความหวังคือมันยังคงเป็นเสียงที่คำนวณได้)
ก่อนที่ฉันจะอธิบายรายละเอียดเกี่ยวกับเรื่องนี้ให้ฉันพูดถึงความคิดเห็นของคุณ:
ฉันยังไม่เข้าใจ 1. แน่นอนว่ามีสมมติฐานความแข็งแบบเข้ารหัสซึ่งไม่ได้ใช้ในกรณีควอนตัม อะไรคือสิ่งที่ทำให้ "การทำลาย Fiat-Shamir" ยากสำหรับ QC ไม่เหมือนพูดว่า "break RSA"
คำอธิบายระดับสูงที่ฉันให้ควรทำให้ชัดเจนฉันหวังว่า "การทำลาย Fiat-Shamir" และ "การทำลาย RSA" ไม่ใช่ปัญหาที่เทียบเคียงได้ RSA เป็นข้อสันนิษฐานความแข็งเฉพาะและถ้าคุณสามารถแยกจำนวนเต็มจำนวนมากออกมาได้
P P A Dของฟังก์ชันแฮชพื้นฐาน ในระดับสัญชาตญาณนี่ไม่ใช่สิ่งที่ดีสำหรับคอมพิวเตอร์ควอนตัมเพราะนี่เป็นปัญหาที่ดูเหมือนจะไม่จำเป็นต้องมีโครงสร้างที่แข็งแกร่งซึ่งมันสามารถใช้ประโยชน์ได้ "ไม่มีโครงสร้าง" มาก
ในแง่ที่เป็นรูปธรรมมากขึ้นมีสองทางเลือกตามธรรมชาติเมื่อเลือกฟังก์ชันแฮชเพื่อยกระดับ Fiat-Shamir:
วิธีแก้ปัญหาแบบแก้ปัญหาที่มีประสิทธิภาพ:
เลือกฟังก์ชันแฮชที่คุณชื่นชอบพูด SHA-3 เราไม่มีข้อพิสูจน์ว่าการยกระดับ Fiat-Shamir กับ SHA-3 เป็นการยกปัญหาให้เรา แต่เราไม่ทราบถึงการโจมตีที่ไม่น่ารำคาญใด ๆ เกี่ยวกับความสมบูรณ์ของระบบพิสูจน์ที่ได้รับจากการใช้ Fiat-Shamir กับ SHA-3 กับระบบพิสูจน์แบบไม่เสื่อม สิ่งนี้ขยายไปถึงการตั้งค่าควอนตัมเช่นกัน: เราไม่รู้การโจมตีควอนตัมใด ๆ ที่ทำได้ดีกว่าการเร่งความเร็วกำลังสองตามปกติโดยอัลกอริทึมของ Grover หลังจากหลายทศวรรษของความพยายามเข้ารหัสลับฉันทามติในชุมชนการเข้ารหัสคืออัลกอริธึมเชิงควอนตัมดูเหมือนจะไม่เท่าที่เราเห็นเพื่อให้การเพิ่มความเร็วโพลิโนโมเนียลเร็วสำหรับพริตตี้แบบ "Minicrypt" (ฟังก์ชันแฮช PRGs บล็อกเลข ฯลฯ ) โครงสร้างพีชคณิตที่แข็งแกร่งบางอย่างเช่น SHA-2, SHA-3, AES เป็นต้น
แนวทางความปลอดภัยที่พิสูจน์ได้:
เป้าหมายคือเพื่อแยกคุณสมบัติที่สะอาดของฟังก์ชันแฮชที่ทำให้เสียงฮิวริสติกของ Fiat-Shamir และสร้างฟังก์ชันแฮชซึ่งเป็นไปตามคุณสมบัตินี้ภายใต้สมมติฐานการเข้ารหัสที่เป็นไปได้
RKx( x , HK( x ) ) ∈ RRR
คำถามคือตอนนี้จะสร้างฟังก์ชันแฮชที่สัมพันธ์กันได้อย่างไรสำหรับความสัมพันธ์ที่เราใส่ใจ - และในบริบทเฉพาะนี้สำหรับความสัมพันธ์ที่เกี่ยวข้องกับโปรโตคอล sumcheck ที่นี่งานล่าสุดเมื่อเร็ว ๆ นี้ (โดยหลัก ๆ คือ1 , 2 , 3 , 4 , 5 , 6 ) ได้แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่น่าสนใจหลายอย่างเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานของโครงตาข่าย
P P A D
เราไม่ได้อยู่ที่นั่นจริงๆ ผลการฝ่าฟันล่าสุดของ Peikert และ Shiehian (รายงานฉบับสุดท้ายในรายการที่ฉันให้ไว้ก่อนหน้านี้) แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่สำคัญเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้ปัญหาขัดแตะเช่นการเรียนรู้ที่ผิดพลาดหรือปัญหา SIS ; แม้กระนั้นงานนี้ไม่ได้เกี่ยวข้องกับ sumcheck
ถึงกระนั้น CHKPRR การสร้างงานนี้แสดงให้เห็นว่าเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานที่ว่าการสร้างรูปแบบการเข้ารหัสแบบโฮโมมอร์ฟิคแบบเต็มรูปแบบหลายรูปแบบที่เป็นรูปธรรมใด ๆ
ลองแยกสมมติฐานนี้ออก:
- การเข้ารหัสแบบโฮโมมอร์ฟิคอย่างสมบูรณ์ (FHE) เป็นระบบดั้งเดิมซึ่งเรารู้วิธีสร้างภายใต้สมมติฐานของโครงตาข่ายที่หลากหลาย หากโครงการต้องประเมินวงจรขนาดที่ถูก จำกัด เรารู้ในความเป็นจริงว่าจะสร้างมันอย่างไรภายใต้มาตรฐานการเรียนรู้ที่มีข้อผิดพลาด
- การรักษาความปลอดภัยแบบวงกลมระบุว่า FHE ควรยากที่จะทำลายแม้ว่าจะใช้ในการเข้ารหัสคีย์ลับของตนเอง สิ่งนี้แข็งแกร่งกว่าแนวคิดด้านความปลอดภัยทั่วไปซึ่งไม่อนุญาตให้มีข้อความที่ขึ้นอยู่กับคีย์ มันเป็นปัญหาที่เปิดกว้างที่สำคัญและยาวนานในการสร้าง FHE ที่ปลอดภัยแบบเป็นวงกลมภายใต้สมมติฐานของโครงตาข่ายมาตรฐานเช่น LWE ถึงกระนั้นหนึ่งทศวรรษหลังจากการก่อสร้าง FHE ครั้งแรกของ Gentry และความพยายามในการเข้ารหัสลับจำนวนมากความปลอดภัยแบบวงกลมของผู้สมัคร FHE ที่จัดตั้งขึ้นเองกลายเป็นข้อสันนิษฐานที่ค่อนข้างปลอดภัย (แม้กับคอมพิวเตอร์ควอนตัม) และเราไม่ทราบว่า - การเข้ารหัสแบบอิสระในลักษณะที่ไม่สำคัญ
- 2ω (บันทึกλ ) - λλ2c λc < 12- c λc < 1
- ในที่สุดเราต้องการให้ทุกอย่างที่กล่าวมาข้างต้นยังคงอยู่หากเรายอมให้ผู้โจมตีมีเวลามากขึ้น สิ่งนี้ยังสอดคล้องกับอัลกอริธึมที่รู้จักซึ่งสามารถบรรลุผลได้
P P A D
แน่นอนหนึ่งในคำถามเปิดหลักที่เหลืออยู่โดย CHKPRR คือการสร้างฟังก์ชั่นแฮชที่สัมพันธ์กันซึ่งจับต้องไม่ได้สำหรับความสัมพันธ์ sumcheck ภายใต้สมมติฐานโครงตาข่ายที่ดีกว่า - ในอุดมคติแล้วสมมติฐาน LWE สิ่งนี้ดูไม่สำคัญ แต่ก็ไม่น่าเชื่อเพราะนี่เป็นงานล่าสุดที่ผลลัพธ์ที่น่าประหลาดใจหลายอย่างได้เกิดขึ้นแล้วสำหรับความสัมพันธ์ที่น่าสนใจอื่น ๆ