新智元报道
编辑:好困 Aeneas
前段时间,由清华叉院助理教授陈一镭提出的全新「破解格密码的量子算法」,一经发表便引发了业内轰动。然而就在最近,关键的第 9 步被发现有无法修复的 bug,导致算法无法成立。
一直以来,解决格上的近似最短向量问题(Lattice Problems)以及带错误学习问题(LWE),都是计算机领域的经典算法难题。
尤其是在科学界看来,它们远远超出了传统计算机的能力范围。
那么,量子计算机有望能破解 Lattice Problems 以及 LWE 吗?
前段时间,来自清华大学交叉信息研究院陈一镭助理教授,便针对这些问题提出了一种全新的「破解格密码的量子算法」。
预印本论文一经发表,便在整个计算机界引起了巨大的轰动。
如著名密码学家N. P. Smart,就在第一时间发了篇博客文章,详细讨论了论文所带来的影响。
文章地址:https://nigelsmart.github.io/LWE.html
具体来说,陈教授提出的这种多项式时间量子算法,主要用于求解具有特定多项式模数-噪声比的「带错误学习问题」(LWE)。
通过结合 Regev 所提出的从网格问题到 LWE 的还原,便可以获得多项式时间量子算法,并可以在的近似因子内求解所有n维网格的决策最短向量问题(GapSVP)和最短独立向量问题(SIVP)。
在此之前,还没有已知的多项式甚至亚指数时间量子算法可以在任何多项式近似因子内求解所有网格的 GapSVP 或 SIVP。
论文地址:https://eprint.iacr.org/2024/555.pdf
为了开发求解 LWE 的量子算法,作者提出了两种新的技术:
首先,在量子算法的设计中引入具有复杂方差的高斯函数。特别是,利用复高斯函数离散傅里叶变换中的卡斯特波特征。
其次,使用带有复高斯窗口的窗口量子傅里叶变换,从而能够结合时域和频域的信息。
基于此,便可以先将 LWE 实例转换为具有纯虚高斯振幅的量子态,然后将纯虚高斯态转换为 LWE 秘密和误差项的经典线性方程,最后利用高斯消元法求解线性方程组。
但遗憾的是,Hongxun Wu(UC 伯克利博二学生)和 Thomas Vidick(量子领域专家)发现,算法的第 9 步实际上存在一个尚不能修复的 bug。
也就是说,这个通过多项式模数-噪声比,来求解 LWE 的多项式时间量子算法,无法成立了。
对此作者表示,希望像复高斯(Complex Gaussian)和窗口 QFT(windowed QFT)这样的想法,会在量子计算中找到其他应用,而 LWE 问题或许会将有别的解决方法。
9 大关键步骤
首先进行参数的设置,之后需要运行一个由九个步骤组成的量子子程序,共运行O(n)次。
论文中最关键的,是一个需要调用O(n)次的,由九个步骤组成的量子子程序。
其中,每次调用都会得到一个经典线性方程,其随机系数是中最短的向量(与 LWE 秘密向量和错误向量相关)。
在调用完O(n)次之后,便可以得到一个全秩线性方程组,并通过高斯消元法计算出 LWE 秘密和错误项。
步骤 1:在上进行叠加,并应用复高斯窗口
步骤 2:在φ1⟩上应用
步骤 3:在φ2⟩上应用复高斯窗口,得到φ3⟩和z′
步骤 4:在φ3⟩上应用
步骤 5:将φ4⟩分割成高阶h′⟩和低阶h′′⟩,然后对h′′⟩进行测量
步骤 6:在φ5⟩上应用
步骤 7:提取φ6⟩的中心,得到纯虚高斯状态φ7⟩
步骤 8:提取并保留φ8⟩=φ7⟩
在步骤 8 中,作者首先进行四次运算(可逆),然后进行部分测量,最后将四次运算反转。也就是说,需要在不折叠或修改φ7⟩的情况下,学习。
步骤 9:从和φ8⟩中提取秘密的线性方程
第 9 步的目标是将φ8⟩转换为秘密的经典线性方程,并最终得到主 Lemma(3.8)的证明。
其中,步骤 9 使用步骤 8 中获得的信息,以及插入 LWE 秘密中的已知项的κ-1 坐标。
这里,bug 来了:φ8.f⟩的振幅不满足 M2 周期性。
或者,另一种解释是:φ8.f⟩包含 p1...pκ向量。经过域扩展后,本应得到 p1p2...pκ-p2...pκ向量,但按照φ8.g⟩的写法,它只包含 p1...pκ向量。因此φ8.g⟩的表达式是错误的。
作者介绍
陈一镭是清华大学交叉信息学院(IIIS)的一名助理教授。
此前,他在波士顿大学获得博士学位,指导老师是 Ran Canetti 教授和 Leonid Reyzin 教授。并在上海交通大学获得学士学位。在那里,一个有趣的问题引导他走上了科研之路。
他的研究兴趣是密码学,特别是在伪随机,格密码,数论,和量子计算等方向。
主要成果有:设计了格问题的量子算法,建立了多线性映射和代码混淆在格问题上安全实现的基础,提出了证明 Fiat-Shamir 假设的方法,以及提出了一个不可逆群的构造。
参考资料:
