密码世界一直在嗡嗡作响“量子”一词(甚至是国家安全局目前也为后量子密码世界做准备),并且与量子有关的硬件工程也在不断发展。例如:麻省理工学院使用离子阱技术创建的5量子位量子计算机成功地进行了因数分解15。这是否意味着由于它成功地进行了管理,因此它是可以用于以下用途的通用量子计算机:密码分析和/或密码攻击?

如果不是这种情况,“真正的”量子计算机到底需要什么(想想:对预期技术能力的粗略描述,又称规格),以使其用户能够将其用于密码分析和/或密码学。攻击目的?并且-忽略了关于可能存在但机密的政府项目的传言-今天是否已经存在这样的系统?

评论

IIRC攻击实际的RSA参数时,您需要大约1M逻辑qbit,这可能意味着您需要更多的物理qbit(由于纠错)。这是关于此的论文。顺便说一句,您可能想对h栏中的人执行ping操作,以使他们知道这一点。

#1 楼


例如:麻省理工学院使用离子阱技术创建的5量子位量子计算机成功地进行了因子分解15。这是否意味着由于它成功地进行了管理,因此它是一台万能的量子计算机,可以用于密码分析和/或密码攻击吗?


不,甚至没有关闭。
例如RSA需要五个以上的量子位。
从五个量子位变为一百万,并不是简单地使更多的相同的事情发生。将量子计算机扩展到大型系统所需的物理和工程是其自身的特殊挑战。

量子位遇到错误

最简单也是最大的问题是,量子位越多您的算法需要,在没有任何量子位经历错误的情况下算法完成的机会就更低。计算所需的逻辑运算数为$ n_ \ text {ops} = n_ \ text {qubits} ^ 3 = 10 ^ 6 $。
Qubit通常每次遇到错误的概率都很高,导致一个事实,即给定的量子位未发生错误的概率$ P $是时间的指数函数,
$$ P = e ^ {-t / T_ \ text {coh}} $$
其中$ T_ \ text {coh} $是量子位的“相干时间”。
将单个逻辑运算的时间表示为$ T_ \ text {op} $,我们有
$$ \ ln P = -n_ \ text {ops} \ frac {T_ \ text {op}} {T_ \ text {coh}} \,。$$
Su假设我们希望qubit有合理的概率没有错误,例如$ P = 1/2 $,我们得到
$$ \ frac {T_ \ text {coh}} {T_ \ text {op} } = \ frac {-\ ln(1/2)} {n_ \ text {ops}} \ approx 1.4 \ times 10 ^ 6 \,。$$
换句话说,量子位寿命$ T_ \ text {coh} $必须比逻辑运算时间长一百万倍。
据我所知,当前的最新状态是$ T_ \ text {coh} / T_ \ text {op} \大约300 $ $ [b] $,与$ 10 ^ 6 $相去甚远。

现在,到目前为止,我们只讨论了单个量子位,但是为了使算法成功,我们需要所有量子位都没有错误。
有100个量子位,这将目标$ T_ \ text {coh} / T_ \ text {op} $为$ 10 ^ {8} $,如果您问我的话,这是很高的希望。

纠错


如果并非如此,“真正的”量子计算机到底需要什么?[br]


请注意,上面给出的参数可以用来表示普通计算机不应
当然,我们知道普通计算机可以正常工作,所以怎么回事?
常规计算机位(即晶体管)的错误率极低,因为它们是自校正的:如果电流通过触发器会有一点波动,偏置电路和反馈使它保持稳定。
单个量子位根本不可能做到这一点,因为您不能在不影响量子状态的情况下监控其量子状态,因此无法进行反馈波动。

另一方面一组量子位,我们可以纠正错误。
在这里我不解释细节,但是事实证明,我们可以使用一组物理量子位来表示一个受错误保护的逻辑量子位。
换句话说,通过将单个量子比特的信息编码为一大组实际物理量子比特,我们可以在单个物理量子比特存在错误的情况下保持信息的稳定性。
这称为“量子”容错”或“量子误差校正”。
容错需要大量的量子比特,可能排列在2D网格中,具有快速,准确的测量和逻辑门,并且能够使用各种测量结果来$ ^ {[c]} $


...想想:对预期能力/规格的粗略描述),以使其用户能够使用它进行密码分析和/或密码攻击吗?


奥斯汀·福勒(Austin Fowler)在审查表面代码时进行了技术性但有些全面的讨论。

摘要

五个量子位因数为15的实验太小了,无法解决一个密码学上有用的问题。
但即使如此,底层系统也不容错,因此即使将该系统扩展到很多qubit,也无法解决密码学上有用的问题。
要做那就是说,我们需要一个大型系统,该系统具有足够快且准确的逻辑门和测量值,可以进行纠错。


并且-忽略有关潜在存在但机密的政府项目的传言-会采取任何此类措施系统今天已经存在吗?


不,截至2017年3月7日,还没有公开的能够破解RSA的量子计算机。

您提到过,量子计算中的许多工作已经秘密化了(例如,除了获得我的实验量子博士学位后面试过的所有工作以外, um计算将需要安全检查),所以我们真的不了解完整情况。
基于我和其他人在该领域的经验,对于任何秘密项目是否已建立,我都表示怀疑量子计算机能够破解RSA。

$ [a] $:我不是在这里谈论RSA,而是在谈论您可能在量子计算机上可以执行的最基本但最有用的算法。

$ [b] $:那是在超导量子比特中,但是那是几年前的事,现在我不知道的其他系统可能会有更好的结果。

$ [c] $:我在这里有点儿松散;并非所有容错协议都具有相同的要求。
我评论的是我认为最有可能实现的协议,因为它们具有最宽容的要求。