关于非坍缩测量的密码学无用性
该团队研究了抗碰撞性的量子类比,并获得了量子“单向性”与“抗碰撞性”原语之间的分离结果。 • 第一个结果研究了输出经典字符串的量子电路所定义的单向性与抗碰撞性。该研究表明,存在一个经典预言机𝒪,相对于该预言机,(亚指数安全的)不可区分混淆和单向置换即使对于向非坍缩测量预言机𝒬𝒪进行量子查询的对手也成立。粗略地说,𝒬𝒪输出任何量子𝒪辅助电路输出的多个非坍缩测量结果。 这排除了从X到Y的任何完全黑盒量子构造,其中X∈{不可区分混淆和单向置换、公钥加密、可否认加密、不经意传输、非交互式零知识、陷门置换、量子货币},Y∈{抗碰撞哈希函数、SZK中的难题、同态加密、分布抗碰撞难题}。 • 第二个结果研究了量子态所定义的单向性与抗碰撞性。这里,该研究表明,相对于相同的经典预言机𝒪,(亚指数安全的)不可区分混淆和单向置换即使对于向克隆幺正𝖰𝖢𝗈𝗅𝒪进行量子查询的对手也成立。粗略地说,后一个预言机实现了一个明确定义的线性操作,用于克隆任何量子𝒪辅助电路输出的量子比特子集。 这排除了从公钥量子货币到量子闪电的完全黑盒构造。 1 引言 单向性与抗碰撞性之间的关系是密码学的基础:虽然单向函数对于广泛的密码学任务来说是最小的[IL89],但抗碰撞哈希函数被认为是严格更强的,并且支撑了诸如“哈希并签名”数字签名[Mer79]、默克尔树[Mer79]和两轮统计隐藏承诺[HM96]等高级原语。有强有力的证据支持这一信念,形式为(不可区分混淆(iO)和)单向函数或单向置换(OWP)与抗碰撞哈希函数之间的经典黑盒分离[Sim98, AS15, BD19]。这些定性分离几十年来一直指导着密码系统的设计和分析。然而,随着量子计算的出现,许多经典假设和分离需要重新评估。 量子可计算的抗碰撞哈希函数。量子对手可能利用独特的量子资源,如叠加查询,可能使经典分离失效或创建新的分离。特别是,定义和分离抗碰撞性和单向性的量子类比对于理解量子密码学的基础至关重要。
