Frage:
Könnten Quantencomputer eine Chiffre brechen?
Ephasme
2015-07-16 13:44:37 UTC
view on stackexchange narkive permalink

Mir wurde gesagt, dass Physiker und Informatiker an Computern arbeiten, die mithilfe der Quantenphysik die Rechenfähigkeiten erheblich verbessern und jede Verschlüsselung aufheben könnten, damit die Kryptographie bedeutungslos wird.

Stimmt das?

Verwandte Lektüre: [Wie wird die Kryptographie durch Quantum Computing verändert?] (Http://crypto.stackexchange.com/q/3699/1142) (und wahrscheinlich ein gutes Stück in [crypto.se] 's [Post-Quantum-]Kryptografie] (http://crypto.stackexchange.com/questions/tagged/post-quantum-cryptography) -Tag und [security.se] [Quantencomputer] (http://security.stackexchange.com/questions/)getaggt / Quantencomputer) tag).
Ich stimme dafür, diese Frage als nicht zum Thema gehörend zu schließen, da es um die Überprüfung der Behauptung der Verwendung eines Quantencomputers geht und überhaupt nicht um Physik.Vielleicht ist [crypto.se] oder [skeptics.se] für diese Frage besser geeignet.
Ich denke eigentlich nicht, dass dies für uns ein Thema ist.Es ist wirklich eine Frage der Kryptographie - die einzige Verbindung zur Physik besteht darin, zu wissen, dass ein Quantencomputer bestimmte Probleme in weniger als exponentieller Zeit effektiv lösen kann.
Ich denke nicht, dass es eine so große Sache ist.Ich habe vor einiger Zeit eine ähnliche Frage beantwortet: [Wie wird die Kryptographie durch Quantum Computing verändert?] (Http://crypto.stackexchange.com/a/5755/4511), und wir wissen, wie wir damit umgehen sollenComputer werden schneller: größere Schlüsselräume.
@NathanCooper Wenn ich eine Maschine bauen kann, deren Faktorisierungsfähigkeit schneller wächst als die Fähigkeit Ihres Computers zum Ver- / Entschlüsseln, helfen größere Schlüsselräume nicht.Oder fehlt mir etwas?
AiliptxuozCMT wenn ....
@emory natürlich "wenn".Der Punkt ist, dass das, was Nathan gesagt hat, für mich keinen Sinn ergibt.
Ich denke, die 24 positiven Stimmen und die zahlreichen sehr erfolgreichen Antworten legen nahe, dass diese Frage angemessen war.Ich schlage vor, es wieder zu öffnen.Dies ist eine häufig gestellte Frage im Zusammenhang mit Quantencomputern - es ist sicherlich eine interdisziplinäre Frage, aber die Tatsache, dass sie interdisziplinär ist, bedeutet nicht, dass sie nicht beantwortet werden kann oder für dieses Forum nicht zum Thema gehört.
Sieben antworten:
Norbert Schuch
2015-07-16 13:55:03 UTC
view on stackexchange narkive permalink

Nein, das ist es nicht.

Quantencomputer können große Zahlen effizient faktorisieren, wodurch viele der häufig verwendeten Kryptosysteme mit öffentlichem Schlüssel wie RSA, die auf der Härte des Factorings basieren, zerstört werden können.

Es gibt jedoch auch andere Kryptosysteme wie die gitterbasierte Kryptographie, die nicht auf der Härte des Factorings basieren und (nach unserem derzeitigen Kenntnisstand) nicht anfällig für Angriffe sind von einem Quantencomputer.

user10851
2015-07-16 14:06:17 UTC
view on stackexchange narkive permalink

Quantencomputer sind vielversprechend, aber nicht unendlich leistungsfähig.

Die (übertriebenen) Behauptungen, die Sie gehört haben, basieren wahrscheinlich auf dem bekanntesten Quantencomputer-Algorithmus, Shors Algorithmus. Dies ist eine Methode zur Verwendung eines Quantencomputers, um ganze Zahlen in Primzahlen zu zerlegen. Wie sich herausstellt, beruhen viele Verschlüsselungsschemata auf der Tatsache, dass das Faktorisieren großer Zahlen sehr schwierig ist. Nachrichten können ziemlich einfach so verschlüsselt werden, dass nur jemand, der die Primfaktorisierung einer bestimmten Zahl kennt, sie mit angemessenem Aufwand entschlüsseln kann. Wenn Sie große Zahlen schnell faktorisieren könnten, würden Sie viele heutige Verschlüsselungsschemata brechen.

Es gibt jedoch andere Techniken, die von Quantencomputern nicht sofort bedroht sind. Wenn nichts anderes, können Sie immer ein einmaliges Pad verwenden, solange die Nachricht selbst angezeigt wird. Dies ist mathematisch unzerbrechlich, da jede Nachricht mit der entsprechenden Schätzung des Schlüssels von der verschlüsselten "entschlüsselt" werden kann, sodass ein Lauscher die Möglichkeit nicht hat, die zu kennen echte Nachricht.

Die Quantenberechnung kann auch die Türen für Möglichkeiten der nächsten Generation öffnen, Informationen sicher zu übertragen. Zum Beispiel ist die meiste Verschlüsselung heutzutage genau das - das Verwürfeln der Nachricht, so dass nur der beabsichtigte Empfänger einen Sinn daraus ziehen kann. Es kann jedoch gute Quantenmöglichkeiten geben, um physisch sicherzustellen, dass Lauscher überhaupt nicht auf die Übertragung zugreifen können.

Würden Quantencomputer den Lauschern helfen, den Vorteil gegenüber Verschlüsselern zu erlangen oder umgekehrt?Klingt so, als würde die Entschlüsselung in einigen Fällen einfacher, aber eine gute Verschlüsselung wird auch einfacher.
Bei einmaligen Pads wird die Verschlüsselung sowohl teurer als auch weniger sicher, da das Pad physisch an den Verschlüsseler gesendet werden muss, der dann sicherstellen muss, dass es nicht von The Bad Guys gelesen wird.Bei sehr großen Verkehrsströmen werden die Pads ebenfalls groß, sodass dort Kosten anfallen.Solange der Schlüssel sicher bleibt, sind Lauscher hilflos und Quantencomputer nutzlos.
Aber in vielen Fällen ist das Abhören nicht das Problem.Z.B.Angenommen, ich habe eine Datei auf meiner Festplatte, die niemand lesen soll, selbst wenn er die Maschine stiehlt.
@innisfree Die Quantenmechanik hilft Verschlüsselern mehr als Lauschern, da die Quantenschlüsselverteilung einmalige Pads über einen unsicheren Kanal nutzbar macht.Aktuelle Systeme sind so konzipiert, dass jeder Lauscher einen Wellenfunktionskollaps verursachen und dabei das OTP zerstören würde.Beachten Sie auch, dass Shors Algorithmus größtenteils eine theoretische Sicherheitslücke darstellt (zum Zeitpunkt des Schreibens wurde 56153 am meisten berücksichtigt), während diese QKD-Systeme heute verwendet werden.
Cort Ammon
2015-07-16 17:43:51 UTC
view on stackexchange narkive permalink

Es gibt tatsächlich eine ganze Komplexitätsklasse, die der Antwort gewidmet ist: "Nein, sie kann keinen Code brechen." Die Klasse ist als BQP oder "begrenzte Fehlerquantenpolynomzeit" bekannt. Es ist die Klasse von Entscheidungsproblemen, die von einem Quantencomputer in Polynomzeit mit nicht mehr als 1/3 Fehlergrenze gelöst werden können (dieser Fehlerterm wird in einem klassischen Berechnungsschritt berücksichtigt, der nach den meisten Quantenalgorithmen auftritt, um dies zu überprüfen Ergebnisse sind korrekt).

Es wird angenommen, dass BQP die folgenden Beziehungen zu anderen Komplexitäten aufweist:

  • Enthält P (Polynomzeit)
  • schneidet, aber enthält wahrscheinlich nicht vollständig NP (nichtdeterministische Polynomzeit)
    • enthält wahrscheinlich nicht NP-vollständig (als Folge)
  • Teilmenge von PSPACE (Probleme, die sind mit Polynomraumbedarf lösbar)

    • (Das wichtigste Unbekannte in dieser Liste ist, dass es noch nicht bekannt ist, ob P = NP. Die Liste geht von P! = NP aus, aber wenn P = NP Natürlich wären NP und NP-vollständig auch Teil von BQP. Wir wissen auch nicht, ob NP = BQP ist oder nicht. Es bleibt noch so viel zu entdecken! )

    RSA ist Mit Quantencomputern knackbar, weil die Aufgabe darin besteht, große zusammengesetzte Zahlen zu berücksichtigen ers ist in BQP, wie der Shor-Algorithmus zeigt. Shors Algorithmus ist NP (aber nicht NP-vollständig). Es gibt andere NP-Algorithmen, von denen angenommen wird, dass sie außerhalb von BQP liegen und zur Verschlüsselung verwendet werden können (Die akzeptierte Antwort enthält Links zur gitterbasierten Kryptographie, die eine solche Klasse von Algorithmen darstellt).

    "Das einzige Unbekannte in dieser Liste ist, dass es noch nicht bekannt ist, ob P = NP ist."- Die genaue Beziehung von NP und BQP ist ebenfalls unbekannt.
    cpast
    2015-07-16 20:43:17 UTC
    view on stackexchange narkive permalink

    Die bisherigen Antworten konzentrierten sich auf die Verschlüsselung mit öffentlichen Schlüsseln, bei der jemand einen öffentlichen Schlüssel veröffentlicht, mit dem Nachrichten an ihn verschlüsselt werden können und der nicht geheim ist. Es ist bekannt, dass Quantencomputer einige der Probleme, die am häufigsten als Grundlage für die Kryptographie mit öffentlichen Schlüsseln verwendet werden, effizient lösen. Es betrifft nicht die Kryptografie mit allen öffentlichen Schlüsseln, sondern nur die beliebtesten Schemata. Dies betrifft jedoch die gängigsten Schemata.

    Die Verschlüsselung umfasst jedoch mehr als den öffentlichen Schlüssel. Es wird angenommen, dass symmetrische Verschlüsselungsschemata, bei denen die beiden Parteien einen geheimen Schlüssel gemeinsam nutzen, mit Quantencomputern nur einer quadratischen Beschleunigung unterliegen (Quantencomputer können bei allgemeinen Suchproblemen eine quadratische Beschleunigung erzielen, jedoch nicht mehr). Dies entspricht einer effektiven Halbierung der Schlüssellänge. Im Gegensatz zu den gängigen Public-Key-Systemen ist es äußerst einfach, die Schlüssellänge effektiv zu halbieren: Sie können Ihre Schlüssellängen einfach verdoppeln und weitermachen. Symmetrische Verschlüsselung ist äußerst verbreitet. Selbst wenn die Verschlüsselung mit öffentlichem Schlüssel verwendet wird, wird sie meistens nur zum Austausch eines Schlüssels gegen symmetrische Verschlüsselung verwendet.

    Das am häufigsten verwendete symmetrische System, AES, verfügt über eine 256-Bit-Schlüsselvariante, die 128 Bit Sicherheit bietet gegen Quantencomputer. Andere in der Entwicklung befindliche Schemata unterstützen 512-Bit-Schlüssel, die 256 Bit effektive Sicherheit bieten würden. Es wird angenommen, dass sowohl 128 als auch 256 Bit auf absehbare Zeit sicher sind.

    Ebenso wird angenommen, dass kryptografische Hash-Funktionen sehr gut gegen Quantencomputer bestehen. Es gibt den gleichen algorithmischen Angriff von Grover, aber wie bei Verschlüsselungsfunktionen ist es einfach zu kontern.

    Alle Behauptungen, dass Kryptographie bedeutungslos wird, sind völlig falsch, weil das einzige, was ist stark betroffen sind Public-Key-Systeme. Public-Key-Systeme sind wichtig, aber Kryptographie ist ein viel breiteres Feld.

    Und genau aus diesem Grund denke ich, dass diese Frage hier nicht zum Thema gehört: Hier gibt es keinen Tropfen Physik (etwas, das wir * erwarten *, ist in jeder Antwort enthalten).
    @KyleKanos: Hier gibt es einen Tropfen Physik in Grovers Algorithmus, der 1997 genug Physik hatte, um in [Phys.Rev. Lett.($$)] (https://doi.org/10.1103/PhysRevLett.79.325) ([arXiv-Version] (https://arxiv.org/abs/quant-ph/9706033)).Ich gebe zu, es ist nur ein Tropfen Physik, aber zu wissen, ob es sich um Physik oder Informatik handelt, ist ein häufiges (und frustrierendes) Problem mit Quanteninformationen.
    Joshua
    2015-07-18 06:19:20 UTC
    view on stackexchange narkive permalink

    Nein. Es kann keinen X-Computer geben, der eine Verschlüsselung brechen kann, da das eine Zeitfeld eine Verschlüsselung ist und ein Zeitfeld nicht durch einen Algorithmus gebrochen werden kann (trivialer Beweis in der Informationstheorie)

    ravenfrost
    2015-07-16 22:39:02 UTC
    view on stackexchange narkive permalink

    Ich möchte hinzufügen, dass Quantencomputer keinen vorhandenen Code beschädigen können, da ihre logischen Gatter dieselben Operationen ausführen können wie klassische logische Gatter. Sie fügen neue Möglichkeiten hinzu und behalten gleichzeitig die Möglichkeiten bei, die früher in klassischen Computern möglich waren.

    Da Programme im Kern an logischen Gattern arbeiten, ist es vernünftig anzunehmen, dass vorhandener Code für klassische Computer vorhanden ist Computer können auf einem Quantencomputer arbeiten.

    Siehe auch Quantentor auf Wikipedia.

    Das macht keinen Sinn.Wie schließt die Aussage, dass ein Quantencomputer alles kann, was ein klassischer Computer kann, die Möglichkeit aus, dass Quantencomputer Codes knacken könnten?Insbesondere angesichts der Tatsache, dass klassische Computer Codes knacken können, nur nicht unbedingt in einer realisierbaren Zeitspanne.Ihr Argument ist wie zu sagen: "Gabelstapler können nicht 20 kg heben, weil sie alles heben können, was ein Mensch kann."Es ist zweimal falsch: Menschen können 20 kg heben, und selbst wenn sie es nicht könnten, kann der Gabelstapler mehr.
    Falco
    2015-07-16 17:02:22 UTC
    view on stackexchange narkive permalink

    Ok - theoretisch könnte ein Quantencomputer folgendermaßen funktionieren:

    Sie können eine normale Berechnung starten und sie parallel für alle möglichen berechnen Eingabetasten. Das bedeutet, dass das Entschlüsseln eines verschlüsselten Textes mit dem richtigen Schlüssel genauso lange dauert wie das Entschlüsseln mit jedem möglichen Schlüssel (mit einer festen Länge). Dies würde bedeuten, dass alle herkömmlichen Verschlüsselungsmethoden wie AES usw. so schnell geknackt werden könnten, wie sie vom Inhaber des legalen Schlüssels entschlüsselt werden könnten.

    Der schwierige Teil (wo sich das One Time Pad auszeichnet) ist, wie zu wissen, ob die resultierende Nachricht, die Sie beim Entschlüsseln erhalten haben, tatsächlich der richtige Text ist. Zum Beispiel sende ich die Nachricht OK verschlüsselt mit AES 256bit an Sie. Jetzt gibt es 2 ^ 256 mögliche Schlüssel, mit denen diese Nachricht entschlüsselt werden kann, und alle führen zu einem Ergebnis. Viele möglicherweise in # § oder anderen kryptischen Bytesymbolen, aber einige Schlüssel können zu zwei Buchstaben "WB" führen, und eine Kombination kann sogar zu "NO" führen.

    Also Der schwierige Teil ist dann herauszufinden, welche die richtige Nachricht ist! Da der (theoretische) Quantencomputer am Ende nur wenige Ergebnisse mit hoher Wahrscheinlichkeit ausgibt, müssen Sie eine Prüfung codieren, die erkennt, ob die Ausgabe tatsächlich ein gültiger Text ist. Wenn der Text viel größer als der Schlüssel ist und so etwas wie einfaches Englisch oder besser ein Standardformat, das auf Integrität überprüft werden kann, könnte dies möglich sein. Wenn es jedoch mehrere mögliche Ergebnisse gibt, die gültig aussehen, muss ein Mensch sie sortieren, sodass im Fall eines einmaligen Pads das Knacken des Codes genauso gut ist wie das einfache Erraten aus heiterem Himmel. Andere Verschlüsselungsschemata müssen möglicherweise angepasst werden, um gültig aussehende Nachrichten für falsche Schlüssel zu erzeugen, aber dies scheint möglich zu sein ...

    -

    Dies würde nur funktionieren, wenn ein tatsächlicher Quantencomputer so funktionieren könnte. Soweit ich weiß, gibt es keine eindeutigen Beweise dafür, dass ein QC tatsächlich so funktioniert. Vielleicht geht es einfach nicht und wir haben nicht einmal ein Problem ;-)

    So funktionieren Quantencomputer nicht.Der Glaube, dass sie es können, ist so verbreitet, dass Dr. Aaronson einen ganzen Abschnitt seines Blogs diesem Missverständnis gewidmet hat: [Speaking Truth to Parallelism] (http://www.scottaaronson.com/blog/?cat=17).Sie geben Beschleunigungen für einige Probleme, aber nicht annähernd so viele, wie das vermuten lässt.(Grundsätzlich glauben wir nicht, dass BQP = PSPACE.)
    Es gibt viele Artikel in dieser Kategorie, obwohl Memresistoren oder ähnliche Technologien unter verschiedenen Problemen leiden (wie der Codierung der Ausgabe), die ein Quantencomputer mit hoher Wahrscheinlichkeit grundlegend für ein komplexes Problem lösen könnte.Und wenn Sie die Wahrscheinlichkeit hoch genug einstellen können, sind Sie mit ein paar Läufen zu 99,99% genau, was praktisch gut genug ist und die genannten Probleme lösen könnte, wenn jemand eine solche Qualitätskontrolle erstellen könnte
    Das grundlegende Problem ist, dass Sie mit Quantencomputern nicht alle möglichen Eingaben parallel berechnen können: Quantencomputer sind kein Nichtdetermanismus.
    Selbst wenn die 99,99% -Zahl korrekt war (was, wie erläutert, nicht der Fall ist), sind 0,01% von 2 ^ 256 immer noch ungefähr 1e73, was eine ganze Reihe von Schlüsseln darstellt, die noch getestet werden müssen.Tatsächlich ungefähr 242 Bit wert.(2 ^ 242 ~ 7.07e72) Mit einer Reduzierung von 99,99% erhalten Sie eine Optimierung von 14 bis 15 Bit * aus einem 256-Bit-Schlüssel.Beeindruckend, ja (viele andere Angriffe neigen dazu, ein paar Bits gleichzeitig aus dem Suchraum zu knabbern, * höchstens *, oft mit Varianten mit reduzierten Runden), aber * sehr * weit von einer totalen Pause entfernt.Ich vermute, dass viele PRNGs schlechter sind, insbesondere wenn sie zum Zeitpunkt der Schlüsselgenerierung schlecht ausgesät sind.
    Denken Sie daran, dass Snowden "davon ausgeht, dass Ihr Gegner zu einer Billion Vermutungen pro Sekunde fähig ist" (zugegebenermaßen über PGP-Passphrasen, aber dennoch; dies ist eine vernünftige Vergleichsbasis, und der Unterschied könnte sich möglicherweise auf einige Größenordnungen belaufen).Eine Billion ist 1e12.Damit haben wir ungefähr 1e61 Sekunden Zeit.Das Universum ist schätzungsweise 1e17 Sekunden alt.* Sehr * großzügig betrachtet, betrachten Sie das 1e40-fache des Alters des Universums.
    Was Sie beschreiben, ist ein * nicht deterministischer * Computer (das "N" in "NP").Obwohl wir nicht sicher wissen, dass Quantencomputer nicht deterministischen Computern * nicht * entsprechen (wir wissen nicht einmal, dass $ P \ ne NP $), sind wir uns ziemlich sicher, dass dies nicht der Fall ist.
    -1 Diese Antwort besagt, dass [BQP] (https://en.wikipedia.org/wiki/BQP) = [NP] (https://en.wikipedia.org/wiki/NP_%28complexity%29), welchewird allgemein als falsch angesehen.Mit [Grover's Algorthm] (https://en.wikipedia.org/wiki/Grover%27s_algorithm) können Quantencomputer die Brute-Force-Suche um einen Quadratwurzelfaktor beschleunigen, was bedeutet, dass Sie ein 256-Bit-System brutal erzwingen könnenAES gibt nur 2 ^ 128 Operationen ein.Das ist aber immer noch exponentielle Komplexität.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...