Проблема поиска когтей

Проблема поиска когтя — классическая проблема в теории сложности , имеющая несколько приложений в криптографии . Короче говоря, если заданы две функции f , g , рассматриваемые как оракулы , задача состоит в том, чтобы найти x и y, такие как f ( x ) = g ( y ). Пара ( x , y ) тогда называется когтем . Некоторые проблемы, особенно в криптографии, лучше всего решаются, если рассматривать их как проблему поиска когтя, поэтому любое алгоритмическое улучшение решения проблемы поиска когтя обеспечивает лучшую атаку на криптографические примитивы, такие как хэш-функции .

Определение

Пусть будут конечными множествами, и , две функции. Пара называется клешней , если . Задача нахождения клешни определяется как нахождение такой клешни, если она существует. $А,Б,В$ $f:A\to C$ $g:B\to C$ $(x,y)\in A\times B$ $f(x)=g(y)$

Если рассматривать как случайные функции, то мы ожидаем, что коготь будет существовать, если и только если . Точнее, существует ровно пар вида с ; вероятность того, что такая пара является когтем, равна . Так что если , ожидаемое количество когтей будет не менее 1. $f,g$ $|A|\cdot |B|\geq |C|$ $|А|\cdot |Б|$ $(x,y)$ $x\in A,y\in B$ $1/|С|$ $|A|\cdot |B|\geq |C|$

Алгоритмы

Если используются классические компьютеры, то лучший алгоритм похож на атаку Meet-in-the-middle , впервые описанную Диффи и Хеллманом . ^[1] Алгоритм работает следующим образом: предположим . Для каждого сохраним пару в хэш-таблице, индексированной по . Затем для каждого найдем таблицу по адресу . Если такой индекс существует, мы нашли коготь. Этот подход требует времени и памяти . $|A|\leq |B|$ $x\in A$ $(f(x),x)$ $f(x)$ $y\in B$ $g(y)$ $O(|A|+|B|)$ $O(|A|)$

Сейитиро Тани показал, что при использовании квантовых компьютеров коготь можно найти в сложности

${\sqrt[{3}]{|A|\cdot |B|}}$ если и $|A|\leq |B|<|A|^{2}$

${\sqrt {|B|}}$ если . ^[2] $|B|\geq |A|^{2}$

Шэнъюй Чжан показал, что асимптотически эти алгоритмы являются наиболее эффективными из возможных. ^[3]

Приложения

Как уже отмечалось, большинство приложений задачи поиска когтей встречаются в криптографии . Примеры включают:

Обнаружение коллизий в криптографических хэш-функциях .
Атаки Meet-in-the-middle : используя эту технику, k битов раундовых ключей могут быть найдены примерно за время 2k ^/2+1 . Здесь f шифрует на полпути, а g расшифровывает на полпути. Вот почему Triple DES применяет DES три раза, а не два.

Ссылки

^ Диффи, Уитфилд; Хеллман, Мартин Э. (июнь 1977 г.). «Исчерпывающий криптоанализ стандарта шифрования данных NBS» (PDF) . Компьютер . 10 (6): 74–84. doi :10.1109/CM.1977.217750.
^ Тани, Сейитиро (ноябрь 2009 г.). «Алгоритмы поиска когтей с использованием квантового блуждания». Теоретическая информатика . 410 (50): 5285–5297. arXiv : 0708.2584 . doi : 10.1016/j.tcs.2009.08.030.
^ Чжан, Шэнъюй (2005). «Promised and Distributed Quantum Search». Computing and Combinatorics . Lecture Notes in Computer Science. Vol. 3595. Springer Berlin Heidelberg. pp. 430–439. doi :10.1007/11533719_44. ISBN 978-3-540-28061-3.

[1] Диффи, Уитфилд; Хеллман, Мартин Э. (июнь 1977 г.). «Исчерпывающий криптоанализ стандарта шифрования данных NBS» (PDF) . Компьютер . 10 (6): 74–84. doi :10.1109/CM.1977.217750.

[2] Тани, Сейитиро (ноябрь 2009 г.). «Алгоритмы поиска когтей с использованием квантового блуждания». Теоретическая информатика . 410 (50): 5285–5297. arXiv : 0708.2584 . doi : 10.1016/j.tcs.2009.08.030.

[3] Чжан, Шэнъюй (2005). «Promised and Distributed Quantum Search». Computing and Combinatorics . Lecture Notes in Computer Science. Vol. 3595. Springer Berlin Heidelberg. pp. 430–439. doi :10.1007/11533719_44. ISBN 978-3-540-28061-3.