Existe um candidato para uma ação de grupo unidirecional pós-quantum?

Existe uma família conhecida de ações de grupo com um elemento designado
no conjunto em que está sendo atuado, onde é sabido como

$\:$ amostra (essencialmente uniformemente) dos grupos, calcula as operações inversas, calcula as operações do grupo e calcula as ações do grupo
$\:$

e não existe um algoritmo quântico eficiente conhecido
para obter sucesso com probabilidade não desprezível em

$\:$ dado como entrada o índice de uma ação de grupo e o resultado de um elemento de grupo amostrado que atua no elemento designado, encontra um elemento de grupo cuja ação no elemento designado é a segunda entrada
$\:$
$\:$

?

Tanto quanto sei, elas fornecem as únicas construções conhecidas de compromissos estatisticamente não-interativos, nos quais o conhecimento de um alçapão permite equívocos eficientes e indetectáveis, uma propriedade que é útil para protocolos de conhecimento zero e segurança adaptativa.

Qualquer família de homomorfismos de grupo unidirecional com as três primeiras propriedades (da terceira e quarta linhas deste post) pode ser convertida em algo assim, fazendo com que os domínios atuem nos codomains via , com os elementos de identidade como os elementos que se distinguem. $\: \langle a,b\rangle \mapsto h(a)\cdot b \:$ $\:$

Uma versão restrita do esquema de compromisso de Pedersen pode ser obtida como um caso especial de aplicação da conversão acima ao homomorfismo exponencial do grupo, cuja via de mão única é equivalente à dureza do problema de logaritmo discreto, embora isso não seja difícil para algoritmos quânticos. (Consulte o algoritmo de Shor e a seção dessa página em logaritmo discreto.)

Respostas:

Sim , existe uma proposta antiga para isso devido a Couveignes , que foi redescoberta de forma independente por Rostovtsev e Stolbunov .

Em ambos os casos, o conjunto de curvas elípticas com algum anel comum endomorphism seja cumprida pelo grupo classe ideal de . A chave secreta é essencialmente uma descrição de uma isogenia por meio de seu ideal de núcleo, e a ação de um elemento do grupo leva uma curva ao codomain da referida isogenia: Há uma bela interpretação gráfica dessa ação, que é descrita (por exemplo) na Seção 14.1 das notas da aula de Luca De Feo . _{^{(Eles também contêm mais informações necessárias para entender essa construção!)}} $\mathcal O$ $\mathcal O$ $[\mathfrak a]$ $E$

([a], E) ⟼ E / a = E / ⋂_{α \in a} \ker α .

$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$

Embora seja possível inverter a ação do grupo resolvendo uma instância do problema do turno oculto, dando origem a um ataque quântico subexponencial , o sistema permanece ininterrupto para tamanhos de parâmetros razoavelmente grandes. Um problema muito maior é que esses esquemas são dolorosamente lentos na prática: mesmo após um esforço considerável de otimização , um cálculo da ação do grupo ainda leva minutos .

O problema de desempenho foi resolvido por uma proposta recente chamada CSIDH , mudando para curvas elípticas supersingulares, que melhoram drasticamente a eficiência, mantendo essencialmente a mesma estrutura subjacente. Ainda é lento em relação a esquemas pré-quantum comparáveis, bem como esquemas pós-quantum incomparáveis, mas pode ter um lugar no mundo pós-quantum devido a suas características únicas.

aaaaaaa
fonte