Gibt es einen Kandidaten für eine Post-Quanten-Einweg-Gruppenaktion?

Gibt es eine bekannte Familie von Gruppenaktionen mit einem bestimmten Element
in der Gruppe, auf die reagiert wird, wo bekannt ist, wie effizient gearbeitet werden kann?

$\:$ Stichprobe (im Wesentlichen einheitlich) aus den Gruppen, Berechnung der inversen Operationen, Berechnung der Gruppenoperationen und Berechnung der Gruppenaktionen
$\:$

und es ist kein effizienter Quantenalgorithmus bekannt,
um mit nicht zu vernachlässigender Wahrscheinlichkeit erfolgreich zu sein

$\:$ Geben Sie als Eingabe den Index einer Gruppenaktion und das Ergebnis von einem abgetasteten Gruppenelement ein, das auf das angegebene Element einwirkt. Suchen Sie ein Gruppenelement, dessen Aktion auf das angegebene Element die zweite Eingabe ist
$\:$
$\:$

?


Soweit mir bekannt ist, stellen diese die einzigen bekannten Konstruktionen nicht interaktiver statistisch versteckter Verpflichtungen dar, bei denen das Wissen über eine Falltür eine effiziente und nicht nachweisbare Zweideutigkeit ermöglicht, eine Eigenschaft, die für Protokolle ohne Wissen und adaptive Sicherheit nützlich ist.

Jede Familie von Einweg-Gruppenhomomorphismen mit den ersten drei Eigenschaften (aus der dritten und vierten Zeile dieses Beitrags) kann in so etwas umgewandelt werden, indem die Domänen über auf die Codomänen einwirken , mit den Identitätselementen als den unterscheidbaren Elementen.$\: \langle a,b\rangle \mapsto h(a)\cdot b \:$$\:$

Eine eingeschränkte Version des Pedersen-Commitment-Schemas kann als Sonderfall für die Anwendung der obigen Umwandlung auf den exponentiellen Homomorphismus der Gruppe erhalten werden, dessen Einwegigkeit der Härte des diskreten Logarithmusproblems entspricht, obwohl dies für Quantenalgorithmen nicht schwierig ist. (Siehe Shors Algorithmus und den Abschnitt dieser Seite über diskreten Logarithmus.)

Ja , dafür gibt es einen alten Vorschlag von Couveignes , der von Rostovtsev und Stolbunov unabhängig wiederentdeckt wurde .

In beiden Fällen wird die Menge der elliptischen Kurven mit einem gemeinsamen Endomorphismusring von der idealen Klassengruppe von . Der geheime Schlüssel ist im Wesentlichen eine Beschreibung einer Isogenie über ihr Kernelideal, und die Wirkung eines Gruppenelements führt eine Kurve zur Codomäne dieser Isogenie: Es gibt eine schöne grafische Interpretation dieser Aktion, die (zum Beispiel) in Abschnitt 14.1 der Vorlesungsunterlagen von Luca De Feo beschrieben ist . _{^{(Sie enthalten auch mehr Hintergrundinformationen, die zum Verständnis dieser Konstruktion erforderlich sind!)}}$\mathcal O$$\mathcal O$$[\mathfrak a]$$E$

$$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$$

Während es möglich ist, die Gruppenaktion umzukehren, indem eine Instanz des Hidden-Shift-Problems gelöst wird, was zu einem subexponentiellen Quantenangriff führt , bleibt das System für relativ große Parametergrößen ungebrochen. Ein viel größeres Problem ist, dass diese Schemata in der Praxis schmerzhaft langsam sind: Selbst nach erheblichem Optimierungsaufwand dauert eine Berechnung der Gruppenaktion noch Minuten .

Das Leistungsproblem wurde kürzlich durch einen Vorschlag namens CSIDH gelöst, indem auf supersinguläre elliptische Kurven umgestellt wurde, wodurch die Effizienz drastisch verbessert wird, während im Wesentlichen dieselbe zugrunde liegende Struktur beibehalten wird. Es ist im Vergleich zu vergleichbaren Präquantenschemata sowie zu unvergleichlichen Postquantenschemata immer noch langsam, kann aber aufgrund seiner einzigartigen Merkmale einen Platz in einer Postquantenwelt haben.