On Quantum Chosen-Ciphertext Attacks and Learning with Errors

Alagic, Gorjan; Jeffery, Stacey; Ozols, Maris; Poremba, Alexander

doi:10.3390/cryptography4010010

开放式访问第条

量子选择密码攻击与错误学习^†

¹

美国马里兰州大学量子信息与计算机科学联合中心，马里兰州大学帕克分校，邮编：20742

²

美国马里兰州盖瑟斯堡国家标准与技术研究所，邮编：20899

^三

荷兰阿姆斯特丹XG 1098 Wiskunde&Informatica中心

⁴

荷兰阿姆斯特丹1098 XG QuSoft

⁵

荷兰阿姆斯特丹大学逻辑、语言与计算研究所（ILLC）

⁶

加利福尼亚理工学院计算与数学科学系，美国加利福尼亚州帕萨迪纳91125

^*

应向其发送信件的作者。

^†

本文是我们发表在2019年6月3日至5日于美国马里兰州大学公园举行的2019年第14届量子计算、通信和密码理论会议论文集上的论文的扩展版本。

密码学 2020,4(1), 10;https://doi.org/10.3390/cryptography4010010

收到的提交文件：2019年12月16日/修订日期：2020年3月17日/接受日期：2020年3月18日/发布日期：2020年3月21日

（本文属于特刊量子密码与网络安全)

下载

浏览地物

版本注释

摘要

:

大规模量子计算对经典公钥密码体制构成了重大威胁。最近，强大的“量子访问”安全模型表明，许多对称密钥密码系统也容易受到攻击。在本文中，我们在一个模型中考虑经典加密，该模型允许对手量子预言机访问加密和解密，但我们将后者仅限于非自适应（即质询前）查询。我们使用密文不可区分性和语义安全性的适当概念（通过标准参数等效）来形式化该模型，并将其称为

QCCA公司 1

与古典音乐相似

CCA公司 1

安全模型。我们证明了标准伪随机函数(

项目风险融资

)-基于的加密方案是

QCCA公司 1

-使用quantum-secure原语实例化时是安全的。我们的安全证明使用了具有共享随机性的量子随机访问码的强边界。重游平原

印度 - 注册会计师

-有错误的安全学习(

LWE公司

)加密，我们表明，仅泄漏一个量子解密查询（没有其他泄漏或任何类型的查询）就可以让对手以恒定的成功概率恢复完整密钥。从理论上讲，在经典设置中完全恢复密钥至少需要线性数量的解密查询。因此，我们的结果对以下概念提出了挑战：

LWE公司

无条件地“与经典一样安全”。我们攻击的核心算法是著名的Bernstein–Vazirani算法的新变体。最后，我们强调，我们的结果不应被解释为这些密码系统在其所述安全设置中的弱点（即量子后选择-内在保密性）。相反，我们的结果意味着，如果这些密码系统受到选择密码攻击（例如，由于部署在不适当的现实世界环境中），那么量子攻击甚至比经典攻击更具破坏性。

关键词：

量子选择密码安全;量子攻击;密钥恢复;错误学习

1.简介

1.1. 背景

拥有数百万逻辑量子位的全功能量子计算机极大地威胁着经典密码学。这些设备运行Shor高效量子因子算法（及其变体）的能力将导致当前部署的公钥密码基础设施遭到破坏[1,2]. 这种威胁导致了对所谓“后量子”替代方案的大量研究，其中一个突出的类别是基于错误学习的密码系统(

LWE公司

)求解含噪线性方程组的问题

{Z轴}_{q个}

[三]及其变体[1,4]. The

LWE公司

这个问题和晶格问题密切相关，人们普遍认为即使对于量子计算机也很难解决。因此，它构成了许多候选后量子密码系统的基础。除了激励人们对后量子密码系统进行大量研究外，量子计算机的威胁也促使人们在量子对手面前对安全经典密码进行一般性研究。其中一个领域特别探索了强大的安全模型，在该模型中，量子对手可以获得对经典密码系统部分的精确量子控制。在这样的模型中，基于Simon算法的简单量子攻击可以破坏许多基本的对称密钥基元[5,6,7,8,9]. 目前尚不清楚这些模型背后的假设对于对称密钥加密的典型物理实现是否合理。然而，在对手可以访问相关功能的电路的情况下，涉及定量查询经典功能的攻击总是可用的。哈希、公钥加密和电路模糊处理当然就是这样。此外，理解这个模型对于衡量密码学中涉及的任何物理设备必须抵抗逆向工程或强制量子行为的程度至关重要（例如，考虑所谓的“冻结智能卡”示例[10]). 例如，人们可以合理地问：当设备只向对手泄漏一个量子查询时，经典密码系统的安全性会发生什么变化？

在决定对手可以（量子）访问哪些功能时，值得回忆一下经典设置。对于经典对称密钥加密，标准方法考虑了密码系统在遭受所谓的chosen-plantext攻击时的安全性(

注册会计师

). 这一概念涵盖了所有攻击，在这些攻击中，对手试图使用oracle访问用密钥加密明文的功能来击败安全性（例如，通过区分密文或提取密钥信息）。这种方法在开发安全的密码系统以抵御各种现实世界的攻击方面非常成功。一种毁灭性的攻击可以让对手精确控制加密系统，其特点是选择密码攻击(

CCA公司

). 在这种情况下，攻击者会收到适应的访问加密系统的加密和解密过程，即攻击者能够根据以前的攻击结果选择明文和密文。尽管有很强的安全需求，但选择密码攻击通常是非常现实的。令人惊讶的是，即使是广泛采用的密码系统，如RSA，也被证明是易受攻击的。例如，布莱肯巴赫的一次著名袭击[11]只需要访问决定输入密文是否根据特定RSA标准加密的oracle。

在这项工作中，我们考虑了两者的类似物

注册会计师

和

CCA公司

攻击，其中对手可以定量访问相关功能。先前的工作已经在多种环境下，包括不可伪造的消息身份验证码和数字签名，将经典密码的量子可访问模型形式化[12,13]，加密安全，可抵御量子chosen-plantext攻击(

QCPA公司

) [10,14]和加密安全适应的量子选择密码攻击(

QCCA公司 2

) [12]. Gagliardoni、Hülsing和Schaffner还考虑了在

QCPA公司

框架[10].

1.2. 我们的贡献

1.2.1. 模型

在这项工作中，我们考虑一种称为

QCCA公司 1

。此模型授予非自适应访问解密oracle，因此介于

合格注册会计师

和

QCCA公司 2

研究弱模型和中间模型是理论密码学中的一个标准和有用的实践。事实上，

注册会计师

和CCA2本身是中间模型，因为它们都严格弱于认证加密。我们特殊的中间模型是自然产生的：它足以对

LWE公司

加密。典型的挑战是

质量控制卡 1

可以是语义测试，也可以采取不可区分测试的形式，对手提供两个质询明文

(米_{0}, 米_{1})

，收到挑战密文

{Enc公司}_{k个} (米_{b条})

对于随机b条，并且必须正确猜测b条或者，挑战可以是语义的，其中对手接收关于明文的部分信息米，并负责输出一些额外的有关的信息米通过使用其加密

{Enc公司}_{k个} (米)

这导致了对称密钥加密的自然安全概念，我们称之为

印度 - QCCA公司 1

和

扫描电镜 - QCCA公司 1

分别为。根据前面的工作，很容易定义这两个

印度 - QCCA公司 1

和

扫描电镜 - QCCA公司 1

形式上，并证明它们是等价的[10,12,14].

然后我们证明

印度 - QCCA公司 1

基于标准假设的两种对称密钥加密方案的安全性。具体来说，我们证明了基于量子安全伪随机函数的标准加密方案(

QPRF公司

)和量子安全伪随机排列(

QPRP公司

)都是

印度独立电力公司 - QCCA公司 1

我们注意到

QPRF公司

s和

QPRP公司

s可以由量子安全单向函数构造[15,16]. 我们的安全证明使用了一种新颖的技术，在这种技术中，我们通过量子随机访问码的某种约束，控制对手可以从预言中提取并存储在其内部量子状态（挑战之前）中的信息量。

1.2.2. 针对的Quantum查询攻击 $LWE公司$

然后，我们重新审视上述问题：如果后量子密码系统泄露了一个量子查询，它会发生什么？我们的主要结果是该标准

印度 - 注册会计师

-安全

LWE公司

-只能使用单个量子解密查询没有其他任何查询或泄漏。在我们的攻击中，对手以恒定的成功概率恢复完整的密钥。在标准比特中

LWE公司

加密，单个经典解密查询最多可以产生一位密钥；因此，我们攻击的经典模拟需要

n个 日志 q个

查询。该攻击本质上是模的应用-q个Bernstein–Vazirani算法的变体[17]. 我们的新分析表明，尽管解密函数只返回四舍五入为两个值之一的内积，但该算法以恒定的成功概率正确地恢复密钥。我们表明，该攻击适用于标准的四种变体

印度 - 注册会计师

-安全

LWE公司

-基于加密：最初由Regev描述的对称密钥和公钥系统[三]，的

FrodoPKE公司

方案(

FrodoPKE公司

是一个

印度 - 注册会计师

-在中保护构建基块

印度独立电力公司 - CCA公司 2

-安全后量子密码系统“FrodoKEM”[18]. 我们的结果不影响佛罗多的量子后安全性，也不与

CCA公司 2

FrodoKEM的安全。） [18,19]、和标准

戒指 - LWE公司

[20,21].

最后，我们考虑一种设置，对手接收一个量子加密查询，包括对随机寄存器的访问。我们表明，在该模型中，类似的算法再次导致完全密钥恢复。在这种情况下，分析相当于Grilo等人的观察结果，即

LWE公司

量子样品的获取使问题变得容易[22].

我们关于

LWE公司

如下所示。首先，我们证明了即使参数对应于广泛的密码安全模型，Bernstein–Vazirani算法的一个变体也会成功；其次，我们表明，这会在实际攻击中导致显著的量子加速：在每种情况下，都使用单个量子查询进行完全密钥恢复。

1.2.3. 重要注意事项

我们的结果挑战了以下观点：

LWE公司

加密在经典上与在任何实际应用中的量子加密一样“安全”；值得注意的是，这种直觉来源于量子计算机似乎无法解决标准的猜想

LWE公司

这个问题比经典计算机要快得多。尽管如此，读者仍需谨慎解读我们的作品。我们的结果确实如此不表明以下方面的弱点

LWE公司

（或任何

LWE公司

-基于密码系统）。由于人们普遍认为量子算法攻击需要在纯经典信道上发起，因此后量子安全不允许对加密或解密预言进行量子查询。此外，虽然我们的攻击确实提供了显著的量子加速（即一个查询与线性查询），但经典攻击已经很有效了。

平原

LWE公司

-我们在这项工作中考虑的基于加密方案在纯经典攻击模型中已经容易受到解密查询的攻击。特别是，我们注意到一个经典的解密查询最多可以产生一位

(n个 日志 q个)

-位键。类似地，可以访问加密中使用的随机性的经典加密查询最多可以生成

日志 q个

密钥的位。因此，我们的结果不应被解释为这些密码系统在其声明的安全设置中的弱点（即。，

印度 - 注册会计师

). 正确的解释是，如果这些密码系统受到选择-密码文本攻击，那么量子攻击可能比经典攻击更具破坏性。最后，我们注意到，我们攻击的方案可以修改以实现chosen-ciphertext安全性[23].

1.2.4. 相关工作

我们注意到Grilo、Kerenidis和Zijlstra最近观察到

LWE公司

使用Bernstein–Vazirani可以有效地解决所谓的“量子样本”（作为一个学习问题）[22]. 相比之下，我们的结果证明了对基于

LWE公司

在合理的安全环境中。此外，在解决学习问题方面，我们的分析表明，只需一个查询就可以实现恒定的成功概率，而[22]需要一些查询，这些查询在模数上至少是线性的q个特别是，我们的加密攻击通过单个查询成功，即使是对超多项式模。

1.3. 结果技术总结

1.3.1. 安全模型和基本定义

首先，我们制定了基本的

QCCA公司 1

安全模型，采用[10,13]. 回想一下，加密方案是三重的

Π = (KeyGen（钥匙发电机）, Enc公司, 12月)

满足以下条件的算法（分别是密钥生成、加密和解密）

{12月}_{k个} ({Enc公司}_{k个} (米)) = 米

对于任何键

k个 \leftarrow KeyGen（钥匙发电机）

和消息米.给，

KeyGen（钥匙发电机）

表示生成密钥的过程，

Enc公司

表示加密过程，以及

12月

解密过程。在下文中，所有神谕都是量子的，这意味着一个函数（f）通过酉运算符访问

| x个 〉 | 年 〉 \mapsto | x个 〉 | 年 \oplus （f） (x个) 〉

我们将密文不可区分性和语义安全定义如下。

定义 1

（非正式）.Π是

印度 - QCCA公司 1

如果没有量子多项式时间算法(

QPT公司

)

A类

在以下实验中成功的概率比

1 / 2 + 否定 (n个)

.

1: 一把钥匙 $k个 \leftarrow KeyGen键 (1^{n个})$ 和均匀随机位 $b条 \overset{$}{\leftarrow} {0, 1}$ 生成； $A类$ 访问预言 ${Enc公司}_{k个}$ 和 ${12月}_{k个}$ 、和输出 $(米_{0}, 米_{1})$ ;
2: $A类$ 接收 ${Enc公司}_{k个} (米_{b条})$ 并访问oracle ${Enc公司}_{k个}$ 仅，并输出位 ${b条}^{'}$ ; $A类$ 如果 $b条 = {b条}^{'}$ .

定义 2

（非正式）. 考虑下面的游戏

QPT公司

A类

.

1: 一把钥匙 $k个 \leftarrow KeyGen（钥匙发电机） (1^{n个})$ 生成； $A类$ 访问预言 ${Enc公司}_{k个}$ , ${12月}_{k个}$ 和输出电路 $(桑普, 小时, （f）)$ ;
2: 样品 $米 \leftarrow 桑普$ ; $A类$ 接收 $小时 (米)$ , ${Enc公司}_{k个} (米)$ 和访问的oracle ${Enc公司}_{k个}$ 仅，并输出字符串s； $A类$ 如果 $秒 = （f） (米)$ .

然后Π是

扫描电镜 - QCCA公司 1

如果每

QPT公司

A类

存在一个

QPT公司

S公司

具有相同的获胜概率，但不

{Enc公司}_{k个} (米)

在步骤2中。

下面的事实很简单。

定理 1

一个经典的对称密钥加密方案是

印度独立电力公司 - QCCA公司 1

当且仅当它是

扫描电镜 - QCCA公司 1

.

1.3.2. 安全施工

接下来，我们展示了标准的基于伪随机函数的加密

质量控制卡 1

-安全，前提是基础

项目风险融资

是量子安全的（即是

QPRF公司

.）一个

QPRF公司

可以从任何量子安全单向函数构造，也可以直接从

LWE公司

假设[15]. 给定一个

项目风险融资

（f） = {{（f）}_{k个}}_{k个}

，定义

PRF方案 [（f）]

成为加密明文的方案米使用随机性第页通过

{Enc公司}_{k个} (米; 第页) = (第页, {（f）}_{k个} (第页) \oplus 米)

并以明显的方式解密。

定理 2

如果f是a

QPRF公司

，然后

PRF方案 [（f）]

是

印度 - 质量控制卡 1

-安全。

我们还分析了一个基于置换的标准方案。Quantum安全

项目需求计划

s（即。，

QPRP公司

s）可以从量子安全单向函数中获得[16]. 给定一个

公共生产计划

P（P） = {{P（P）}_{k个}}_{k个}

，定义

PRP方案 [P（P）]

成为加密明文的方案米使用随机性第页通过

{Enc公司}_{k个} (米; 第页) = {P（P）}_{k个} (米 | | 第页)

，其中

| |

表示串联；要解密，需要应用一个

{P（P）}_{k个}^{- 1}

并丢弃随机位。我们展示了以下内容。

定理三。

如果P是

QPRP公司

，然后

PRP方案 [P（P）]

是

印度 - QCCA公司 1

-安全。

我们简要描述了定理2和定理3的证明技术。在不可区分游戏中，对手可以在挑战（定量）编码有关相关伪随机函数实例的信息之前使用解密预言机（即。，

{（f）}_{k个}

或

{P（P）}_{k个}

)在他们的私人、多尺寸量子存储器中。从这个角度来看，建立安全性意味着表明这种编码信息不能帮助对手在挑战中使用的特定随机性下计算相关函数的值。为了证明这一点，我们使用了量子随机存取码的一个界(

QRAC公司

). 非正式地

QRAC公司

是来自的映射N个-位字符串x个到d日-维量子态

ϱ_{x个}

，因此给定

ϱ_{x个}

，以及任何索引

j个 \in [N个]

，钻头

{x个}_{j个}

可以以一定概率恢复

{第页}_{x个, j个} = \frac{1}{2} + ϵ_{x个, j个}

.此类代码的平均偏差是

ϵ_{x个, j个}

，超制服x个和j个.A型

QRAC公司

共享随机性进一步允许编码和解码过程都依赖于某些随机变量。

引理 1

将N位编码为d维量子态的共享随机性量子随机存取码的平均偏差为

O（运行） (\sqrt{{N个}^{- 1} 日志 d日})

特别是，如果

N个 = 2^{n个}

和

d日 = 2^{聚 (n个)}

偏差是

O（运行） (2^{- n个 / 2} 聚 (n个))

.

定理3的证明与定理2的证明类似。

1.3.3. 针对LWE的关键恢复

我们对

LWE公司

加密将利用对Bernstein–Vazirani算法的大模块变体性能的新分析[17]，在存在某种类型的“舍入”噪声的情况下。

1.3.4. 线性舍入函数的量子算法

在我们分析的最简单的情况下，如果内积很小，oracle输出0，否则输出1。具体来说，给定整数

n个 \geq 1

和

q个 \geq 2

，我们考虑（二进制）线性舍入函数的键族，

{LRF公司}_{k个, q个} : {Z轴}_{q个}^{n个} ⟶ {0, 1}

，带钥匙

k个 \in {Z轴}_{q个}^{n个}

，如下所示：

{LRF公司}_{k个, q个} (x个) : = \{\begin{matrix} 0 & 如果 〈 | x个, k个 | 〉 \leq ⌊ \frac{q个}{4} ⌋, \\ 1 & 否则 . \end{matrix}

在这里，

〈 \cdot, \cdot 〉

表示内积模q个我们的主要技术贡献如下。

定理 4

（非正式）。存在一种实时运行的量子算法

O（运行） (n个)

，进行一次量子查询

{LRF公司}_{k个, q个}

（带有

q个 \geq 2

未知

k个 \in {Z轴}_{q个}^{n个}

)、和输出

k个

至少有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

我们还表明，相同的算法对更通用的函数类是成功的，其中oracle指示了

{Z轴}_{q个}

确切的内积属于。

1.3.5. 针对的一个Quantum查询 $LWE公司$

最后，我们重新审视我们感兴趣的核心问题：如果后量子密码系统泄露了一个量子查询，它会发生什么？我们在标准中展示了这一点

LWE公司

-基于方案，解密函数可以（经过一些简单的修改）被视为线性舍入函数的特例，如上所述。在标准对称密钥或公钥中

LWE公司

例如，我们解密一个密文

(一, c（c）) \in {Z轴}_{q个}^{n个 + 1}

带钥匙

k个

通过输出0 if

| c（c） - 〈 一, k个 〉 | \leq ⌊\frac{q个}{4}⌋

否则为1。符合标准

戒指 - LWE公司

，我们解密密文

(u个, v（v）)

带钥匙k个（此处

u个, v（v）, k个

多项式在

{Z轴}_{q个} [x个] / {x个}^{n个} + 1

)通过输出0，如果

v（v） - k个 \cdot u个

很小，否则为1。

根据

LWE公司

假设。如果对手也获得了经典的解密访问权限，那么不难看出，线性数量的查询对于恢复私钥是必要的，也是足够的。我们的主要结果是，相比之下，只有单一的需要量子解密查询才能实现此总破解。实际上，在上述所有三种构造中，可以使用解密预言机为隐藏密钥的线性舍入函数构建关联预言机。然后可以使用定理4显示以下内容。

定理 5

（非正式）. 让∏为标准

LWE公司

或标准

戒指 - LWE公司

encryption（symmetric-key或public-key）。设n为安全参数。然后有一个高效的量子算法可以及时运行

O（运行） (n个)

，对解密函数使用一个量子查询

{12月}_{k个}

属于Π,并以恒定概率输出密钥。

1.4. 组织

本文的其余部分组织如下。在第2节，我们概述了我们将要使用的初步想法，包括密码概念和量子算法的概念。在第3节，我们定义

质量控制卡 1

模型，包括两个等效版本

印度 - QCCA公司 1

和

扫描电镜 - QCCA公司 1

.英寸第4节，我们定义

项目风险融资

和

项目需求计划

方案，并表明它们是

印度 - QCCA公司 1

-安全。在第5节，我们展示了Bernstein–Vazirani算法的泛化是如何在概率由常量限定的情况下工作的，即使预言机输出了

〈 k个, x个 〉

（即，oracle是一个线性舍入函数）。在第6节，我们使用第5节证明单个量子解密查询足以恢复各种版本的密钥

LWE公司

-加密；我们还观察到一个模型的类似结果，在该模型中，对手可以通过部分访问随机寄存器进行一次量子加密查询。

2.前期工作

2.1. 基本符号和惯例

选择元素x个从有限集一致随机X（X）将写为

x个 \overset{$}{\leftarrow} X（X）

。如果我们正在生成一个向量或矩阵，其中包含

{Z轴}_{q个}

根据分布独立对每个条目进行采样

χ

在

{Z轴}_{q个}

，我们将写，例如。，

v（v） \overset{χ}{\leftarrow} {Z轴}_{q个}^{n个}

.给定一个矩阵

A类

,

{A类}^{T型}

将表示A类。我们将查看元素

v（v）

属于

{Z轴}_{q个}^{n个}

作为列向量；符号

{v（v）}^{T型}

然后表示相应的行向量。我们使用粗体字体来区分向量（或矩阵）和标量。克罗内克三角洲

δ_{我 j个}

两个非负整数的我和j个等于1，如果

我 = j个

，否则为0。符号

否定 (n个)

表示的某些功能n个它比每个逆多项式都小。我们表示字符串的串联x个和年通过

x个 | | 年

。我们将经典概率多项式时间算法缩写为

幻灯片演示文件

算法。由量子算法（或

QPT公司

)我们指的是一个多项式时间的统一量子电路族，其中每个电路都由一系列幺正门和测量值来描述。一般来说，这种算法可以接收（混合）量子态作为输入，并产生（混合）的量子态作为输出。有时我们会限制

QPT公司

s隐式；例如，如果我们写

公共关系 [A类 (1^{n个}) = 1]

对于

QPT公司

A类

，这意味着我们只考虑那些

QPT公司

s输出单个经典位。符号

公共关系 [1 \leftarrow G公司 名称 0]

表示

QPT公司 A类

某些安全游戏的输出1

G公司 名称 0

.

每个功能

（f） : {0, 1}^{米} \to {0, 1}^{ℓ}

确定酉运算符

{U型}_{（f）} : | x个 〉 | 年 〉 \to | x个 〉 | 年 \oplus （f） (x个) 〉

在

米 + ℓ

量子比特，其中

x个 \in {0, 1}^{米}

和

年 \in {0, 1}^{ℓ}

在这项工作中，当我们说量子算法

A类

获取（自适应）oracle访问权限（f）（书面

{A类}^{（f）}

)，我们的意思是

A类

可以应用oracle酉

{U型}_{（f）}

。此量子预言有时也将表示为

{O（运行）}_{（f）}

.

回想一下，对称密钥加密方案是经典概率算法的三倍

(KeyGen（钥匙发电机）, Enc公司, 12月)

其运行时间在某些安全参数中是多项式的n个。这样的方案必须满足以下属性：当密钥k个通过运行采样

KeyGen（钥匙发电机） (1^{n个})

，然后它保持

{12月}_{k个} ({Enc公司}_{k个} (米)) = 米

对所有人来说米除非概率可以忽略n个在这项工作中，所有加密方案都是固定长度的，即消息的长度米将是一个固定的（最多为多项式）函数n个.

由于我们研究的安全概念在信息理论环境中是不可能实现的，所有对手都将被建模为

QPT公司

s.当安全实验需要与对手进行多轮交互时，这意味着

A类

被拆分为多个

QPT公司

s（每轮一个），并且这些算法将其内部（量子）状态转发给序列中的下一个算法。

2.2. 基本数论符号

我们简要回顾了以下数学约定。我们表示两个整数之间的最大公约数（gcd）

一, b条 \in N个

作为

全球气候变化大会 (一, b条)

.模素数的整数的乘法群q个表示为

{Z轴}_{q个}^{\times}

回忆一下

米 \in N个

，Euler totient函数

φ (米)

计算最大为的正整数数米相对优质的米.Möbius函数

μ (n个)

定义为基元的总和n个-统一的根源。最后，我们还记得

ω (米)

表示素数ω函数，用于计算整数的不同素数因子的数量

米 \in N个

.

2.3. 量子安全伪随机性

伪随机函数是一系列确定性且可有效计算的函数，对任何

幻灯片演示文件

自适应（经典）oracle访问的对手。类似地，量子安全伪随机函数实现了对

质量控制技术

使用自适应量子预言机访问的对手。更具体地说，让

（f） : {0, 1}^{n个} \times {0, 1}^{米} \to {0, 1}^{ℓ}

是一个有效的可计算函数，其中

n个, 米, ℓ

是整数，其中（f）定义一系列函数

{{（f）}_{k个}}_{k个 \in {0, 1}^{n个}}

具有

{（f）}_{k个} (x个) = （f） (k个, x个)

.我们说（f）是一个量子安全伪随机函数（或

QPRF公司

)如果，对于每个

QPT公司

A类

,

|\underset{k个 \overset{$}{\leftarrow} {0, 1}^{n个}}{公共关系} [{A类}^{{（f）}_{k个}} (1^{n个}) = 1] - \underset{克 \overset{$}{\leftarrow} {F类}_{米}^{ℓ}}{公共关系} [{A类}^{克} (1^{n个}) = 1]| \leq 否定 (n个) .

(1)

在这里，

{F类}_{米}^{ℓ}

表示所有函数的集合

{0, 1}^{米}

到

{0, 1}^{ℓ}

。从单向函数构造伪随机函数的标准方法产生

QPRF公司

，前提是单向函数是量子安全的[15,24,25].

量子安全伪随机置换是量子安全伪随机化函数的双射函数族。更具体地说，考虑一个函数

P（P） : {0, 1}^{n个} \times {0, 1}^{米} \to {0, 1}^{米}

，其中n个和米是整数，因此每个函数

{P（P）}_{k个} (x个) = P（P） (k个, x个)

在相应的家族中

{{P（P）}_{k个}}_{k个 \in {0, 1}^{n个}}

令人惊讶。我们说P（P）是一个量子安全伪随机置换（或

QPRP公司

)如果，对于每个

QPT公司

A类

可以访问函数及其逆函数，

|\underset{k个 \overset{$}{\leftarrow} {0, 1}^{n个}}{公共关系} [{A类}^{{P（P）}_{k个}, {P（P）}_{k个}^{- 1}} (1^{n个}) = 1] - \underset{π \overset{$}{\leftarrow} {P（P）}_{米}}{公共关系} [{A类}^{π, π^{- 1}} (1^{n个}) = 1]| \leq 否定 (n个),

(2)

哪里

{P（P）}_{米}

表示上的排列集米-位字符串。在整个工作过程中，我们将假定

QPRP公司

在上述定义下，即，使得尽管对反向的额外访问，安全性仍得以维持。一个人可以建造

QPRP公司

s来自量子安全单向函数[16].

2.4. 量子随机存取码

A类量子随机存取码(

QRAC公司

)是针对以下涉及双方Alice和Bob的场景的两方方案[26]:

爱丽丝得到 $x个 \in {0, 1}^{N个}$ 并将其编码为d日-维量子态 $ϱ_{x个}$ .
Bob收到 $ϱ_{x个}$ 来自爱丽丝和一些索引 $我 \in {1, \dots, N个}$ ，并被要求恢复我-的第位x个，通过对 $ϱ_{x个}$ .
如果Bob的输出与 ${x个}_{我}$ 否则就会输掉。

我们可以查看

QRAC公司

作为一对（不一定有效）量子算法的方案：一个用于编码，另一个用于解码。我们注意到

QRAC公司

不需要限定量子比特的数量；有趣的问题是使用什么参数a

QRAC公司

可以实际存在。

上述场景的变体允许Alice和Bob使用共享随机性在编码和解码操作中[27]（请注意，共享的随机性就其本身而言不允许他们交流）。因此，Alice和Bob可以使用相同的随机变量来执行概率策略。最后，该定义还考虑到允许编码器和解码器共享纠缠态作为

ϱ_{x个}

.

定义平均偏差

QRAC公司

共享随机性为

ϵ = {第页}_{赢} - 1 / 2

，其中

{第页}_{赢}

获胜概率的平均值是

x个 \overset{$}{\leftarrow} {0, 1}^{N个}

和

我 \overset{$}{\leftarrow} {1, \dots, N个}

.

2.5. 量子傅立叶变换

对于任何正整数q个，量子傅里叶变换

{Z轴}_{q个}

由操作定义

{质量功能测试}_{{Z轴}_{q个}} | x个 〉 = \frac{1}{\sqrt{q个}} \sum_{年 \in {Z轴}_{q个}} ω_{q个}^{x个 \cdot 年} | 年 〉,

哪里

ω_{q个} = {e（电子）}^{\frac{2 π 我}{q个}}

.由于Kitaev的早期工作[28]，这种傅里叶变换的变体可以使用复杂多项式中的量子相位估计来实现

日志 q个

Hales和Hallgren改进了此操作的近似实现[29].

3.QCCA1安全模型

3.1. 量子预言家

在我们的环境中，对手（在不同的时间）可以使用量子预言机访问经典函数

{Enc公司}_{k个}

和

{12月}_{k个}

.确定性解密函数的情况

{12月}_{k个}

很简单：对手可以访问单一运营商

{U型}_{{12月}_{k个}} : | c（c） 〉 | 米 〉 \mapsto | c（c） 〉 | 米 \oplus {12月}_{k个} (c（c）) 〉 .

对于加密，为了满足

印度 - 注册会计师

安全，

{Enc公司}_{k个}

必须是概率的，因此不对应于任何单一酉算子。相反，对手的每次加密预言调用都将通过应用统一采样的系列来回答

{{U型}_{{Enc公司}_{k个}, 第页}}_{第页}

哪里

{U型}_{{Enc公司}_{k个}, 第页} : | 米 〉 | c（c） 〉 \mapsto | 米 〉 | c（c） \oplus {Enc公司}_{k个} (米; 第页) 〉

和第页随随机寄存器的所有可能值而变化

{Enc公司}_{k个}

注意，自

{电子控制}_{k个}

和

{12月}_{k个}

要求是基本经典对称密钥加密方案提供的概率多项式时间算法

{U型}_{{Enc公司}_{k个}, 第页}

和

{U型}_{{12月}_{k个}}

对应于有效和可逆的量子操作。为了简洁起见，我们采用了方便的符号

{Enc公司}_{k个}

和

{12月}_{k个}

分别参考上述量子预言机进行加密和解密。

3.2. 密文不可分辨性

我们现在定义了针对非自适应量子选择密码攻击的加密（对于经典的对称密钥方案）的不可区分性。

定义三

(

印度 - QCCA公司 1

).让

Π = (KeyGen（钥匙发电机）, Enc公司, 12月)

是加密方案，

A类

一个

QPT公司

和n安全参数。定义

IndGame公司 (Π, A类, n个)

如下所示。

1: 设置：一把钥匙 $k个 \leftarrow KeyGen（钥匙发电机） (1^{n个})$ 还有一点 $b条 \overset{$}{\leftarrow} {0, 1}$ 生成；
2: 预交换： $A类$ 访问预言 ${Enc公司}_{k个}$ 和 ${12月}_{k个}$ 、和输出 $(米_{0}, 米_{1})$ ;
三。: 挑战： $A类$ 得到 ${Enc公司}_{k个} (米_{b条})$ 以及访问 ${Enc公司}_{k个}$ 仅，并输出位 ${b条}^{'}$ ;
4: 分辨率： $A类$ 如果 $b条 = {b条}^{'}$ .

然后Π在非自适应量子选择密文攻击下具有无法区分的加密

印度 - QCCA公司 1

)如果，对于每个

QPT公司

A类

,

公共关系 [⊣ w个 我 n个 秒 IndGame公司 (Π, A类, n个)] \leq 1 / 2 + 否定 (n个) .

通过检查，人们立即发现我们的定义介于

印度 - QCPA公司

和

印度 - 质量控制卡 2

[10,12,14]. 稍后使用游戏的变体将很方便

IndGame公司

，我们现在定义。

定义 4

(

{IndGame公司}^{'}

).我们定义实验

{IndGame公司}^{'} (Π, A类, n个)

正如

IndGame公司 (Π, A类, n个)

，除了挑战前阶段

A类

仅输出单个消息m，并且在质询阶段

A类

接收

{Enc公司}_{k个} (米)

如果

b条 = 0

、和

{Enc公司}_{k个} (x个)

对于均匀随机消息x，如果

b条 = 1

.

使用

{IndGame公司}^{'}

而不是

IndGame公司

不会更改安全性。具体来说（正如我们在附录A.2),

Π

是

印度 - QCCA公司 1

如果且仅当，对于

QPT公司

A类

,

公共关系 [⊣ w个 我 n个 秒 {IndGame公司}^{'} (Π, A类, n个)] \leq 1 / 2 + 否定 (n个) .

3.3. 语义安全性

在语义安全中，对手不是选择一对质询明文，而是选择一个质询模板：三重电路

(桑普, 小时, （f）)

，其中

采样

从某些发行版输出明文

{D类}_{桑普}

、和小时和（f）域支持的函数

{D类}_{桑普}

直觉是

采样

是明文的分布米如果提供信息，对手

小时 (米)

关于米以及的加密米，可以生成一些新信息

（f） (米)

.

定义 5

(

扫描电镜 - QCCA公司 1

).让

Π = (KeyGen（钥匙发电机）, Enc公司, 12月)

是一个加密方案，并考虑实验

SemGame游戏 (b条)

（带参数

b条 \in {真实的, 模拟}

)带有

QPT公司

A类

定义如下。

1: 设置：一把钥匙 $k个 \leftarrow KeyGen（钥匙发电机） (1^{n个})$ 生成；
2: 预交换： $A类$ 访问预言 ${Enc公司}_{k个}$ 和 ${12月}_{k个}$ ，并输出质询模板 $(桑普, 小时, （f）)$ ;
三。: 挑战：明文 $米 \overset{$}{\leftarrow} 桑普$ 生成； $A类$ 接收 $小时 (米)$ 并访问oracle ${Enc公司}_{k个}$ 仅限；如果 $b条 = 真实的$ , $A类$ 也接收 ${Enc公司}_{k个} (米)$ ; $A类$ 输出字符串s；
4: 分辨率： $A类$ 如果 $秒 = （f） (米)$ .

Π在非自适应量子选择密文攻击下具有语义安全性

扫描电镜 - QCCA公司 1

)如果，每

QPT公司

A类

，存在一个

QPT公司

S公司

这样，质询模板的输出

A类

和

S公司

分布相同，并且

|公共关系 [⊣ w个 我 n个 秒 SemGame游戏 (真实的)] - 公共关系 [S公司 w个 我 n个 秒 SemGame游戏 (模拟)]| \leq 否定 (n个) .

我们的定义是对

扫描电镜 - QCPA公司

[10,12]; 修改是为了

A类

和

S公司

oracle访问

{12月}_{k个}

在挑战前阶段。

定理 6

让

Π = (KeyGen（钥匙发电机）, Enc公司, 12月)

是一种对称密钥加密方案。然后, Π是

印度 - QCCA公司 1

-安全当且仅当Π是

扫描电镜 - QCCA公司 1

-安全。

上述的经典证明（例如[30])直接转入量子案例。对于以下情况，已经观察到了这一点

QCPA公司

由[10]，并直接扩展到对手和模拟器都获得oracle访问权限的情况

{12月}_{k个}

在挑战前阶段。事实上，即使

{12月}_{k个}

在质询期间保持访问，因此结果确实是

印度独立电力公司 - QCCA公司 2

等于

扫描电镜 - QCCA公司 2

.

4.安全施工

4.1. $项目风险融资$ 方案

让我们首先回顾一下基于伪随机函数的标准对称密钥加密。

施工 1

(

PRF公司

方案）。设n为安全参数，并设

（f） : {0, 1}^{n个} \times {0, 1}^{n个} ⟶ {0, 1}^{n个}

成为一个有效的函数族

{{（f）}_{k个}}_{k个}

.对称密钥加密方案

PRF方案 [（f）] = (KeyGen（钥匙发电机）, Enc公司, 12月)

由以下有效算法定义：

1: $KeyGen（钥匙发电机）$ ：输出密钥 $k个 \overset{$}{\leftarrow} {0, 1}^{n个}$ ;
2: $Enc公司$ ：加密消息 $米$ ，选择随机字符串 $第页 \overset{$}{\leftarrow} {0, 1}^{n个}$ 和输出 $(第页, {（f）}_{k个} (第页) \oplus 米)$ ;
三。: $12月$ ：解密密文 $(第页, c（c）)$ ，输出 $c（c） \oplus {（f）}_{k个} (第页)$ ;

为了简单起见，我们为

项目风险融资

，以便密钥长度、输入大小和输出大小都等于安全参数。很容易检查定义（和下面的结果）是否适用于任意多项式尺寸的参数选择。

我们证明上述方案满足

QCCA公司 1

，前提是基础

项目风险融资

对量子查询是安全的。

定理 7

如果f是a

QPRF公司

，然后

PRF方案 [（f）]

是

印度 - 质量控制卡 1

-安全。

证明。

修复

QPT公司

对手

A类

反对

Π : = PRF方案 [（f）] = (KeyGen键, Enc公司, 12月)

然后让n个表示安全参数。分开比较方便

A类

进入质询前算法

{A类}_{1}

和挑战算法

{A类}_{2}

.

我们将使用单消息变体

IndGame公司

,

{IndGame公司}^{'}

，描述如下G名称0.英寸附录A.2，我们证明了这一点

Π

是

印度 - QCCA公司 1

当且仅当否

QPT公司

对手可以获胜

{IndGame公司}^{'}

偏差不容忽视。我们首先展示了

{IndGame公司}^{'}

我们在哪里更换（f）用随机函数G名称以下为1，无法与

{IndGame公司}^{'}

，因此获胜概率相差不可忽略。然后我们证明没有对手能赢得G名称通过显示G的任何对手名称1可用于制作具有相同偏置的量子随机接入码。

游戏 0:: 这就是游戏 ${IndGame公司}^{'} (Π, A类, n个)$ ，为了方便起见，我们对其进行了简要介绍（另请参见图1). 在挑战前阶段， ${A类}_{1}$ 访问预言 ${Enc公司}_{k个}$ 和 ${12月}_{k个}$ ，并输出消息 $米^{*}$ 同时保持私有状态 $| ψ 〉$ 挑战阶段。在质询阶段，随机位 $b条 \overset{$}{\leftarrow} {0, 1}$ 取样，并且 ${A类}_{2}$ 在输入时运行 $| ψ 〉$ 和挑战密文

${c（c）}^{*} : = Φ_{b条} (米^{*}) : = \{\begin{matrix} {Enc公司}_{k个} (米^{*}) & 如果 b条 = 0, \\ {Enc公司}_{k个} (x个) & 如果 b条 = 1 . \end{matrix}$

在这里， ${Enc公司}_{k个} (x个) : = ({第页}^{*}, {（f）}_{k个} ({第页}^{*}) \oplus x个)$ 哪里 ${第页}^{*}$ 和x个随机均匀采样。在挑战阶段， ${A类}_{2}$ 只有访问权限 ${Enc公司}_{k个}$ 并且必须输出一位 ${b条}^{'}$ . $A类$ 如果 $δ_{b条 {b条}^{'}} = 1$ ，所以我们打电话给 $δ_{b条 {b条}^{'}}$ 比赛的结果。
游戏 1:: 这是和G一样的游戏名称0，除非我们替换 ${（f）}_{k个}$ 具有一致随机函数 $F类 : {0, 1}^{n个} \to {0, 1}^{n个}$ .

首先，我们向任何对手展示了这一点

A类

，结果是什么时候

A类

播放G名称0与以下情况的结果相差不大

A类

播放G名称1.我们通过构建一个量子预言机来实现这一点

D类

这就区分了

QPRF公司

{{（f）}_{k个}}_{k个}

和一个真正的随机函数，具有明显的优势

|公共关系 [1 \leftarrow G公司 名称 0] - 公共关系 [1 \leftarrow G公司 名称 1]|,

这一点必须忽略不计，因为（f）是一个

QPRF公司

.与众不同

D类

获取对函数的quantum oracle访问克，即

{（f）}_{k个}

，对于随机k个，或随机函数，并通过模拟继续

A类

玩

{IndGame公司}^{'}

如下：

运行 ${A类}_{1}$ ，使用对的经典调用回答加密查询克代替 ${（f）}_{k个}$ ，并使用quantum oracle调用回答解密查询克:

$| 第页 〉 | c（c） 〉 | 米 〉 \mapsto | 第页 〉 | c（c） 〉 | 米 \oplus c（c） 〉 \mapsto | 第页 〉 | c（c） 〉 | 米 \oplus c（c） \oplus 克 (第页) 〉;$
通过采样模拟挑战阶段 $b条 \overset{$}{\leftarrow} {0, 1}$ 并使用克代替 ${（f）}_{k个}$ ; 运行 ${A类}_{2}$ 并像以前一样模拟加密查询；
什么时候？ ${A类}_{2}$ 输出 ${b条}^{'}$ ，输出 $δ_{b条 {b条}^{'}}$ .

还有待证明没有

QPT公司

对手可以赢得G名称概率不可忽略。为此，我们设计了一个来自任何对手的量子随机接入码，并使用引理1中给出的偏差下限。

直觉。我们首先给出一些直觉。在加密查询中，对手

{A类}_{1}

或

{A类}_{2}

、查询消息或消息的叠加

\sum_{米} | 米 〉

，然后回来

\sum_{米} | 米 〉 | 第页, 米 \oplus F类 (第页) 〉

对于随机的第页他可以很容易地从中获得样本

(第页, F类 (第页))

因此，本质上，加密查询只是典型地对F类.

在解密查询中，该查询仅适用于

{A类}_{1}

敌方发送密文或密文叠加，

\sum_{第页, c（c）} | 第页, c（c） 〉

然后回来

\sum_{第页, c（c）} | 第页, c（c） 〉 | c（c） \oplus F类 (第页) 〉

他可以从中学习

\sum_{第页} | 第页, F类 (第页) 〉

因此，解密查询允许

{A类}_{1}

要查询F类，叠加。在挑战阶段的后期，

{A类}_{2}

获取加密

({第页}^{*}, 米 \oplus F类 ({第页}^{*}))

必须决定是否

米 = 米^{*}

.自

{A类}_{2}

不再具有访问解密oracle的权限，该oracle允许他查询F类因此，似乎只有两种可能的方法

{A类}_{2}

可以学习

F类 ({第页}^{*})

:

${A类}_{2}$ 最多能有一个幸运儿 $聚 (n个)$ 许多查询 ${Enc公司}_{k个}$ 并碰巧对挑战组进行了采样 $({第页}^{*}, F类 ({第页}^{*}))$ ;
或者，对手能够以某种方式使用他在接触时学到的知识 ${12月}_{k个}$ ，因此F类，学习 $F类 ({第页}^{*})$ ，意味着 $聚 (n个)$ -大小量子存储器 ${A类}_{1}$ 发送到 ${A类}_{2}$ ，这可能取决于对F类，但不能依赖于 ${第页}^{*}$ ，允许 ${A类}_{2}$ 学习 $F类 ({第页}^{*})$ .

第一种可能性不太可能成倍增长，因为

2^{n个}

可能性

{第页}^{*}

。我们很快就会看到，第二种可能性意味着一个非常强大的量子随机接入码。它基本上允许

{A类}_{1}

与…互动F类，包含

2^{n个}

值，并生成一个状态，该状态必须是多项式大小，以便

{A类}_{2}

可以使用该状态进行恢复

F类 ({第页}^{*})

对于任何

2^{n个}

的可能值

{第页}^{*}

，概率很高。我们现在将这种直觉形式化。为了阐明符号，我们将使用黑体表示共享的随机性位字符串。

量子随机存取码的构造。让

A类

成为

QPT公司

具有获胜概率的对手第页.让

ℓ = 聚 (n个)

是查询次数的上限

{A类}_{2}

回想一下，随机存取码由一个编码过程组成，该过程需要（在本例中）

2^{n个}

位

{b条}_{1}, \dots, {b条}_{2^{n个}}

，并输出状态

ϱ

尺寸（在本例中）

2^{聚 (n个)}

，以便给出解码过程

ϱ

和索引

j个 \in {1, \dots, 2^{n个}}

输出

{b条}_{j个}

具有一定的成功概率。我们将量子随机接入码定义如下（另请参见图2).

编码。: 让 ${b条}_{1}, \dots, {b条}_{2^{n个}} \in {0, 1}$ 是要编码的字符串。让 $秒, 年_{1}, \dots, 年_{2^{n个}} \in {0, 1}^{n个}$ 由第一个给出 $n个 (1 + 2^{n个})$ 共享随机性的位，并让 ${第页}_{1}, \dots, {第页}_{ℓ} \in {0, 1}^{n个}$ 成为下一个 $ℓ n个$ 位。定义一个函数 $\tilde{（f）} : {0, 1}^{n个} \to {0, 1}^{n个}$ 如下所示。对于 $第页 \in {0, 1}^{n个}$ ，我们会稍微滥用符号第页表示1到之间的对应整数值 $2^{n个}$ .定义 $\tilde{（f）} (第页) = 年_{第页} \oplus {b条}_{第页} 秒$ .运行 ${A类}_{1}$ ，使用回答加密和解密查询 $\tilde{（f）}$ 代替F类.让 $米^{*}$ 和 $| ψ 〉$ 是的输出 ${A类}_{1}$ （请参见图1). 输出 $ϱ = (| ψ 〉, 米^{*}, \tilde{（f）} ({第页}_{1}), \dots, \tilde{（f）} ({第页}_{ℓ}))$ .
解码。: 让 $j个 \in {1, \dots, 2^{n个}}$ 是要解码的位的索引（如此给定 $ϱ$ 如上所述，目标是恢复 ${b条}_{j个}$ ). 解码将利用这些值 $秒, 年_{1}, \dots, 年_{2^{n个}}, {第页}_{1}, \dots, {第页}_{ℓ}$ 由共享随机性给出。收到查询时 $j个 \in {1, \dots, 2^{n个}}$ ，运行 ${A类}_{2}$ 带输入 $| ψ 〉$ 和 $(j个, 米^{*} \oplus 年_{j个})$ .打开 ${A类}_{2}$ 的我-th加密oracle调用，使用随机性 ${第页}_{我}$ ，因此如果oracle的输入是 $| 米, c（c） 〉$ ，返回的状态为 $| 米, c（c） \oplus ({第页}_{我}, 米 \oplus \tilde{（f）} ({第页}_{我})) 〉$ （请注意 $\tilde{（f）} ({第页}_{我})$ 作为以下内容的一部分提供 $ϱ$ ). 返回钻头 ${b条}^{'}$ 输出依据 ${A类}_{2}$ .

代码的平均偏差。我们声称，正确解码的平均概率超过了所有选择

{b条}_{1}, \dots, {b条}_{2^{n个}} \in {0, 1}

和

j个 \in {1, \dots, 2^{n个}}

，正是第页，成功概率

A类

。要看到这一点，首先要注意

A类

从我的角度来看，这正是G名称1：功能

\tilde{（f）}

是一致随机函数，查询的响应方式与G中相同名称1.此外，请注意，如果

{b条}_{j个} = 0

，然后

米^{*} \oplus 年_{j个} = 米^{*} \oplus \tilde{（f）} (j个)

，所以正确的猜测

{A类}_{2}

将为0，如果

{b条}_{j个} = 1

，然后

米^{*} \oplus 年_{j个} = 米^{*} \oplus \tilde{（f）} (j个) \oplus 秒 = x个 \oplus \tilde{（f）} (j个)

对于均匀随机字符串

x个 = 米^{*} \oplus 秒

，所以正确的猜测

{A类}_{2}

将为1。

因此，代码的平均偏差为

第页 - 1 / 2

。我们还观察到

ϱ

最多有个维度

2^{聚 (n个)}

，自

| ψ 〉

必须是

聚 (n个)

-量子比特态(

{A类}_{1}

仅为运行

聚 (n个)

时间），以及ℓ，执行的查询数

{A类}_{2}

必须是

聚 (n个)

，自

{A类}_{2}

仅为运行

聚 (n个)

时间。由于此代码编码

2^{n个}

位进入维度状态

2^{聚 (n个)}

，由引理1（证明于附录A.1)，偏差为

O（运行） (2^{- n个 / 2} 聚 (n个)) = 否定 (n个)

，所以

第页 \leq \frac{1}{2} + 否定 (n个)

. □

4.2. $项目需求计划$ 方案

我们现在证明

印度 - 质量控制卡 1

基于伪随机置换的标准加密方案的安全性。

施工 2

(

项目需求计划

方案）。设n为安全参数，并设

P（P） : {0, 1}^{n个} \times {0, 1}^{2 n个} ⟶ {0, 1}^{2 n个}

是一个有效的排列族

{{P（P）}_{k个}}_{k个}

.对称密钥方案

PRP方案 [（f）] = (KeyGen（钥匙发电机）, 电子控制, 12月)

由以下有效算法定义：

1: $KeyGen（钥匙发电机）$ :输出 $k个 \overset{$}{\leftarrow} {0, 1}^{n个}$ ;
2: $Enc公司$ :加密 $米 \in {0, 1}^{n个}$ ，选择 $第页 \overset{$}{\leftarrow} {0, 1}^{n个}$ 和输出 ${P（P）}_{k个} (米 | | 第页)$ ;
三。: $12月$ :解密 $c（c） \in {0, 1}^{2 n个}$ ，输出的前n位 ${P（P）}_{k个}^{- 1} (c（c）)$ .

如前所述，我们选择了一组简单的参数；一般来说，随机长度、明文长度和安全参数可以由任意多项式关联。

定理 8

如果P是

QPRP公司

，然后

PRP方案 [P（P）]

是

印度 - QCCA公司 1

-安全。

证明。

我们遵循与

项目风险融资

方案。修复

QPT公司

对手

A类

反对

Π : = PRP方案 [P（P）] = (KeyGen（钥匙发电机）, Enc公司, 12月)

.我们有

Π

是

印度 - QCCA公司 1

当且仅当否

质量控制技术

对手可以获胜

{IndGame公司}^{'}

偏差不容忽视。首先，我们展示了

{IndGame公司}^{'}

我们在那里更换P（P）随机排列，如下所述名称1，无法与

{IndGame公司}^{'}

，因此获胜概率相差不可忽略。然后我们证明没有对手能赢得G名称通过显示G的任何对手名称1可用于制作具有相同偏置的量子随机接入码。

游戏 0:: 在挑战前阶段， ${A类}_{1}$ 访问预言 ${Enc公司}_{k个}$ 和 ${12月}_{k个}$ .在挑战阶段， ${A类}_{1}$ 输出米及其私人数据 $| ψ 〉$ ; 随机比特 $b条 \overset{$}{\leftarrow} {0, 1}$ 取样，并且 ${A类}_{2}$ 在输入时运行 $| ψ 〉$ 和挑战密文

${c（c）}^{*} : = \{\begin{matrix} {Enc公司}_{k个} (米^{*}) = {P（P）}_{k个} (米^{*} | | {第页}^{*}) & 如果 b条 = 0, \\ {Enc公司}_{k个} (x个) = {P（P）}_{k个} (x个 | | {第页}^{*}) & 如果 b条 = 1, \end{matrix}$

哪里 ${第页}^{*} \overset{$}{\leftarrow} {0, 1}^{n个}$ 和x个随机均匀采样。在挑战阶段， ${A类}_{2}$ 具有oracle访问权限 ${Enc公司}_{k个}$ 只输出一位 ${b条}^{'}$ 游戏的结果只是一点点 $δ_{b条 {b条}^{'}}$ .
游戏 1:: 这是和G一样的游戏名称0，除了我们现在替换 ${P（P）}_{k个}$ 具有完全随机排列 $π : {0, 1}^{2 n个} \to {0, 1}^{2 n个}$ .

我们向任何对手证明了这一点

A类

，结果是什么时候

A类

播放G名称0与以下情况的结果相差不大

A类

播放G名称1.我们构造了一个量子预言区分器

D类

这就区分了

{P（P）}_{k个}

和一个完美的随机排列，具有明显的优势

|公共关系 [1 \leftarrow G公司 名称 0] - 公共关系 [1 \leftarrow G公司 名称 1]|,

这必须是可以忽略的，因为

{P（P）}_{k个}

是一个

QPRP公司

这里，区别

D类

接收对函数的quantum oracle访问

φ

，即

{P（P）}_{k个}

对于随机的k个，或随机排列

π

，并通过模拟进行

A类

玩

{IndGame公司}^{'}

如下：

运行 ${A类}_{1}$ ，使用oracle调用回答加密查询 $φ$ 代替 ${P（P）}_{k个}$ ，其中对于给定的输入和通过随机性第页,

$Enc公司 : | 米 〉 | c（c） 〉 \mapsto | 米 〉 | c（c） \oplus φ (米 | | 第页) 〉 .$

使用quantum oracle调用应答解密查询 ${\tilde{φ}}^{- 1}$ ，该函数首先计算 $φ^{- 1}$ 然后（类似于 $项目需求计划$ 构造）丢弃最后一个n个与随机性相对应的预图像位，即。

$12月 : | c（c） 〉 | 米 〉 \mapsto | c（c） 〉 | 米 \oplus {\tilde{φ}}^{- 1} (c（c）) 〉 .$
通过采样模拟挑战阶段 $b条 \overset{$}{\leftarrow} {0, 1}$ 并使用随机性进行加密 ${第页}^{*}$ 以及对的经典调用 $φ$ 代替 ${P（P）}_{k个}$ ; 运行 ${A类}_{2}$ 并像以前一样模拟加密查询。
什么时候？ ${A类}_{2}$ 输出 ${b条}^{'}$ ，输出 $δ_{b条 {b条}^{'}}$ .

还有待证明

QPT公司

对手可以赢得G名称概率不可忽略。为此，我们将再次从任何对手的策略中设计一个具有成功概率的随机访问代码第页，并使用引理1中给出的偏差的下限。然后我们将建造一个

QRAC公司

有偏见

否定 (n个)

因此得出结论

第页 \leq \frac{1}{2} + 否定 (n个)

.

量子随机存取码的构造。让

A类

成为

QPT公司

具有获胜概率的对手第页然后让

ℓ = 聚 (n个)

是查询次数的上限

{A类}_{2}

。在构造

QRAC公司

对于

项目需求计划

方案中，为了简单起见，我们还假设编码器和解码器共享一个随机排列（作为共享随机性的一部分）。根据众所周知的优惠券收集者问题 [31]，编码器和解码器可以共享

N个 自然对数 (N个)

平均随机字符串，其中N个表示组成所需排列所需的不同随机串的数量。我们将量子随机接入码定义如下（另请参见图3).

编码。: 让 ${b条}_{1}, \dots, {b条}_{2^{n个}} \in {0, 1}$ 是要编码的字符串，让共享的随机性由随机字符串给定 $秒$ 与随机排列一起 $年 = 年_{1}, \dots, 年_{2^{2 n个}} \in {0, 1}^{2 n个}$ 和一组随机字符串 ${第页}_{1}, \dots, {第页}_{ℓ} \in {0, 1}^{n个}$ .使用 ${b条}_{1}, \dots, {b条}_{2^{n个}}$ ，我们定义了一个新的随机排列 $\tilde{P（P）} (x个 | | 第页) : = 年_{x个 \oplus {b条}_{第页} 秒 | | 第页}$ ( $\tilde{P（P）}$ 自年以来一直是一个排列 $\tilde{P（P）} (x个 | | 第页) = \tilde{P（P）} ({x个}^{'} | | {第页}^{'}) \Leftrightarrow 年_{x个 \oplus {b条}_{第页} 秒 | | 第页} = 年_{{x个}^{'} \oplus {b条}_{{第页}^{'}} 秒 | | {第页}^{'}} \Leftrightarrow (第页 = {第页}^{'}) \land (x个 = {x个}^{'})$ ). 现在运行 ${A类}_{1}$ 通过使用回答加密和解密查询 $\tilde{P（P）}$ 代替 $π$ （对于解密，请使用 ${\tilde{P（P）}}^{- 1}$ 并丢弃最后一个n个位）。让 $米^{*}$ 和 $| ψ 〉$ 是的输出 ${A类}_{1}$ 然后，输出 $ϱ = (| ψ 〉, 米^{*}, {b条}_{{第页}_{1}}, \dots, {b条}_{{第页}_{我}})$ .
解码。: 让 $j个 \in {1, \dots, 2^{n个}}$ 是要解码的位的索引；如此给定 $ϱ$ 如上所述，我们将恢复 ${b条}_{j个}$ 通过利用上面定义的共享随机性。收到查询时 $j个 \in {1, \dots, 2^{n个}}$ ，运行 ${A类}_{2}$ 带输入 $| ψ 〉$ 和 ${c（c）}^{*} = 年_{米^{*} | | j个}$ .返回钻头 ${b条}^{'}$ 输出依据 ${A类}_{2}$ .

代码的平均偏差。我们声称，正确解码的平均概率超过了所有选择

{b条}_{1}, \dots, {b条}_{2^{n个}} \in {0, 1}

和

j个 \in {1, \dots, 2^{n个}}

，正是第页，成功概率

A类

。要看到这一点，首先要注意

A类

从我的角度来看，这正是G名称1：功能

\tilde{P（P）}

是一致随机排列，查询的响应方式与G中相同名称1.此外，请注意，如果

{b条}_{j个} = 0

，挑战相当于

\tilde{P（P）} (米^{*} | | j个) = 年_{米^{*} | | j个}

，所以正确的猜测

{A类}_{2}

将为0，并且如果

{b条}_{j个} = 1

，然后

年_{x个 | | j个}

是均匀随机字符串的加密

x个 = 米^{*} \oplus 秒

，所以正确的猜测

{A类}_{2}

将为1。

因此，代码的平均偏差为

第页 - 1 / 2

。我们现在进行与

项目风险融资

方案。请注意

ϱ

最多有个维度

2^{聚 (n个)}

，自

| ψ 〉

必须是

聚 (n个)

-量子比特态(

{A类}_{1}

仅为运行

聚 (n个)

时间），以及ℓ，执行的查询数

{A类}_{2}

必须是

聚 (n个)

，自

{A类}_{2}

仅为运行

聚 (n个)

时间。由于此代码编码

2^{n个}

位进入维度状态

2^{聚 (n个)}

，根据引理1，偏差为

O（运行） (2^{- n个 / 2} 聚 (n个)) = 否定 (n个)

，所以

第页 \leq \frac{1}{2} + 否定 (n个)

. □

5.线性舍入函数的量子算法

在本节中，我们分析了Bernstein–Vazirani算法的性能[17]使用oracle的修改版本。而原始oracle计算内积模q个，我们的版本仅通过将其值舍入为以下值之一来提供有关它的部分信息

⌈ q个 / b条 ⌉

大小的块b条，对于一些

b条 \in {1, \dots, q个 - 1}

（如果b条不可分割q个，其中一个块将具有大小

< b条

).

定义 6

让

n个 \geq 1

是一个整数，并且

q个 \geq 2

为整数模。让

一 \in {Z轴}_{q个}

,

b条 \in {Z轴}_{q个} ∖ {0}

和

c（c） : = q个 / b条

.我们划分

{Z轴}_{q个}

从a开始分为c个不相交的块（大多数为b大小），如下所示（参见图4):

我_{v（v）} (一, b条) : = \{\begin{matrix} {一 + v（v） b条, \dots, 一 + v（v） b条 + b条 - 1} & 如果 v（v） \in {0, \dots, c（c） - 2}, \\ {一 + v（v） b条, \dots, 一 + q个 - 1} & 如果 v（v） = c（c） - 1 . \end{matrix}

基于此划分，我们定义了一个族

{LRF公司}_{k个, 一, b条} : {Z轴}_{q个}^{n个} ⟶ {Z轴}_{c（c）}

键控线性舍入函数，带键

k个 \in {Z轴}_{q个}^{n个}

，如下所示：

{LRF公司}_{k个, 一, b条} (x个) : = v（v） 如果 x个, k个 \in 我_{v（v）} (一, b条) .

换句话说，我们划分循环群

{Z轴}_{q个}

分为c个块，从a开始：第一个

c（c） - 1

尺寸为b，最后一个尺寸为

b条 - (c（c） b条 - q个) \leq b条

（请参见图4). 然后，舍入函数，

LRF公司

，分类

x个

这些块的值

x个, k个

落入。

以下定理表明模-q个Bernstein–Vazirani算法（算法1）的变体可以恢复

k个

通过仅使用单个量子查询来实现恒定的成功概率

{LRF公司}_{k个, 一, b条}

.

算法1：线性舍入函数的Bernstein–Vazirani

参数: n个,q个,

b条 \in {1, \dots, q个 - 1}

,

c（c） = ⌈ q个 / b条 ⌉

.

输入: ：量子预言 ${U型}_{LRF公司} : | x个 〉 | z（z） 〉 \mapsto | x个 〉 | z（z） + {LRF公司}_{k个, 一, b条} (x个) (国防部 c（c）) 〉$ 哪里 $x个 \in {Z轴}_{q个}^{n个}$ , $z（z） \in {Z轴}_{c（c）}$ 和 ${LRF公司}_{k个, 一, b条}$ 是某些未知的舍入内积函数 $k个 \in {Z轴}_{q个}^{n个}$ 和 $一 \in {Z轴}_{q个}$ .
输出: ：字符串 $\tilde{k个} \in {Z轴}_{q个}^{n个}$ 这样的话 $\tilde{k个} = k个$ 概率很高。

准备均匀叠加并附加 $\frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉$ 哪里 $ω_{c（c）} = {e（电子）}^{2 π 我 / c（c）}$ : $\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | x个 〉 \otimes \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉 .$
查询oracle ${U型}_{LRF公司}$ 对于 ${LRF公司}_{k个, 一, b条}$ 以获得 $\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} ω_{c（c）}^{- {LRF公司}_{k个, 一, b条} (x个)} | x个 〉 \otimes \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉 .$
放弃最后一个寄存器并应用量子傅里叶变换 ${质量功能测试}_{{Z轴}_{q个}}^{\otimes n个}$ .
在计算基础上测量并输出结果 $\tilde{k个}$ .

定理 9.

让

{U型}_{LRF公司}

线性舍入函数的量子预言

{LRF公司}_{k个, 一, b条}

具有模量

q个 \geq 2

，块大小

b条 \in {1, \dots, q个 - 1}

，还有一个未知

一 \in {0, \dots, q个 - 1}

、和未知密钥

k个 \in {Z轴}_{q个}^{n个}

这样的话

k个

至少有一个条目是单位模q。通过对oracle进行一次查询

{U型}_{LRF公司}

，算法1恢复密钥

k个

至少有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

证明。

对于整数米，让

ω_{米} = {e（电子）}^{2 π 我 / 米}

.在这个证明中，我们将多次使用这个身份

\sum_{z（z） = 0}^{ℓ - 1} ω_{米}^{第页 z（z）} = ω_{米}^{第页 (ℓ - 1) / 2} (\frac{罪 (ℓ 第页 π / 米)}{罪 (第页 π / 米)})

.

让

c（c） = ⌈ q个 / b条 ⌉

和

d日 = c（c） b条 - q个

在整个证明中，让

LRF公司 (x个) = {LRF公司}_{k个, 一, b条} (x个)

。通过使用查询

\frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉

在第二个寄存器中，我们使用标准的相位反冲技术，该技术将oracle的输出直接放入相位：

\begin{matrix} | x个 〉 \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉 & \overset{{U型}_{LRF公司}}{⟼} & | x个 〉 \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） + LRF公司 (x个) (国防部 c（c）) 〉 \\ = & | x个 〉 \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z） - LRF公司 (x个)} | z（z） 〉 = ω_{c（c）}^{- LRF公司 (x个)} | x个 〉 \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉 . \end{matrix}

因此，在使用

\frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉

在第二个登记册中，我们到达了该州

\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} ω_{c（c）}^{- LRF公司 (x个)} | x个 〉 \frac{1}{\sqrt{c（c）}} \sum_{z（z） = 0}^{c（c） - 1} ω_{c（c）}^{z（z）} | z（z） 〉 .

请注意

ω_{c（c）} = ω_{q个}^{q个 / c（c）}

。如果我们放弃最后一个注册并申请

{质量功能测试}_{{Z轴}_{q个}}^{\otimes n个}

，我们得到

| ψ 〉 = \frac{1}{{q个}^{n个}} \sum_{年 \in {Z轴}_{q个}^{n个}} \sum_{x个 \in {Z轴}_{q个}^{n个}} ω_{q个}^{- (q个 / c（c）) LRF公司 (x个) + x个, 年} | 年 〉 .

然后，我们在计算基础上进行完整的测量。获得密钥的概率

k个

由提供

{| 〈 k个 | ψ 〉 |}^{2} = | * | {\frac{1}{{q个}^{n个}} \sum_{x个 \in {Z轴}_{q个}^{n个}} ω_{q个}^{- \frac{q个}{c（c）} LRF公司 (x个) + x个, k个}}^{2} = | * | {\frac{1}{{q个}^{n个}} \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{- \frac{q个}{c（c）} v（v）} \sum_{x个 \in {Z轴}_{q个}^{n个} : LRF公司 (x个) = v（v）} ω_{q个}^{x个, k个}}^{2} .

(3)

我们假设

k个

至少有一个条目是单位模q个。为简单起见，假设条目为

{k个}_{n个}

.让

{k个}_{1 : n个 - 1}

表示第一个

n个 - 1

条目

k个

那么，对于任何

v（v） \in {0, \dots, c（c） - 2}

:

\begin{matrix} \sum_{x个 \in {Z轴}_{q个}^{n个} : LRF公司 (x个) = v（v）} ω_{q个}^{x个, k个} & = & \sum_{x个 \in {Z轴}_{q个}^{n个} : x个, k个 \in 我_{v（v）} (一, b条)} ω_{q个}^{x个, k个} \\ = & \sum_{年 \in {Z轴}_{q个}^{n个 - 1}} ω_{q个}^{年, {k个}_{1 : n个 - 1}} \sum_{\begin{matrix} {x个}_{n个} \in {Z轴}_{q个} : \\ {x个}_{n个} {k个}_{n个} \in 我_{v（v）} (一 - 年, {k个}_{1 : n个 - 1}, b条) \end{matrix}} ω_{q个}^{{x个}_{n个} {k个}_{n个}} . \end{matrix}

(4)

（回顾

我_{v（v）} (一, b条)

定义6）。自

{k个}_{n个}

是一个单位，对于每个

z（z） \in 我_{v（v）} (一 - 年, {k个}_{1 : n个 - 1})

，有一个独特的

{x个}_{n个} \in {Z轴}_{q个}

这样的话

{x个}_{n个} {k个}_{n个} = z（z）

因此，对于固定

年 \in {Z轴}_{q个}^{n个 - 1}

，让

一^{'} = 一 - 年, {k个}_{1 : n个 - 1}

，我们有：

\sum_{\begin{matrix} {x个}_{n个} \in {Z轴}_{q个} : {x个}_{n个} {k个}_{n个} \in 我_{v（v）} (一^{'}, b条) \end{matrix}} ω_{q个}^{{x个}_{n个} {k个}_{n个}} = \sum_{z（z） = 一^{'} + v（v） b条}^{一^{'} + (v（v） + 1) b条 - 1} ω_{q个}^{z（z）} = ω_{q个}^{一^{'} + v（v） b条} \sum_{z（z） = 0}^{b条 - 1} ω_{q个}^{z（z）},

我们可以插入(4)以获得：

\sum_{\begin{matrix} x个 \in {Z轴}_{q个}^{n个} : \\ LRF公司 (x个) = v（v） \end{matrix}} ω_{q个}^{x个, k个} = \sum_{年 \in {Z轴}_{q个}^{n个 - 1}} ω_{q个}^{年, {k个}_{1 : n个 - 1}} ω_{q个}^{一 - 年, {k个}_{1 : n个 - 1} + v（v） b条} \sum_{z（z） = 0}^{b条 - 1} ω_{q个}^{z（z）} = {q个}^{n个 - 1} ω_{q个}^{一 + v（v） b条} \sum_{z（z） = 0}^{b条 - 1} ω_{q个}^{z（z）} .

(5)

当

v（v） = c（c） - 1

回忆一下

d日 = c（c） b条 - q个 \geq 0

所以

v（v） b条 = c（c） b条 - b条 = d日 + q个 - b条 = - (b条 - d日) (国防部 q个)

然后我们得到

\sum_{x个 \in {Z轴}_{q个}^{n个} : LRF公司 (x个) = c（c） - 1} ω_{q个}^{x个, k个} = {q个}^{n个 - 1} ω_{q个}^{一 - (b条 - d日)} \sum_{z（z） = 0}^{b条 - d日 - 1} ω_{q个}^{z（z）} .

(6)

这与

v（v） < c（c） - 1

案例，如所示(5)，但非常相似。如果我们替换

v（v） = c（c） - 1

英寸(5)并将其与(6)，我们得到

\begin{matrix} | {q个}^{n个 - 1} ω_{q个}^{一 - (b条 - d日)} \sum_{z（z） = 0}^{b条 - d日 - 1} ω_{q个}^{z（z）} - {q个}^{n个 - 1} ω_{q个}^{一 - (b条 - d日)} \sum_{z（z） = 0}^{b条 - 1} ω_{q个}^{z（z）} | \\ = & {q个}^{n个 - 1} | \sum_{z（z） = b条 - d日}^{b条 - 1} ω_{q个}^{z（z）} | = {q个}^{n个 - 1} | \sum_{z（z） = 0}^{d日 - 1} ω_{q个}^{z（z）} | = {q个}^{n个 - 1} | \frac{罪 (π d日 / q个)}{罪 (π / q个)} | \\ \leq & {q个}^{n个 - 1} \frac{π d日 / q个}{2 / q个} = {q个}^{n个 - 1} \frac{π}{2} d日 . \end{matrix}

(7)

以上，我们使用了事实

罪 x个 \leq x个

、和

| 罪 x个 | \geq 2 x个 / π

什么时候

| x个 | \leq π / 2

。现在，插入(5)到(三)对于所有的

v（v） < c（c） - 1

术语，和使用(7)和三角形不等式

v（v） = c（c） - 1

术语，我们得到：

\begin{matrix} | 〈 k个 | ψ 〉 | & \geq & | \frac{1}{{q个}^{n个}} \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{- q个 v（v） / c（c）} \cdot {q个}^{n个 - 1} ω_{q个}^{一 + v（v） b条} \sum_{z（z） = 0}^{b条 - 1} ω_{q个}^{z（z）} | - | \frac{1}{{q个}^{n个}} ω_{q个}^{- q个 (c（c） - 1) / c（c）} \cdot {q个}^{n个 - 1} \frac{π}{2} d日 | \\ = & \frac{1}{q个} | \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{v（v） (b条 - q个 / c（c）)} \frac{罪 (b条 π / q个)}{罪 (π / q个)} | - \frac{π}{2} \frac{d日}{q个} \\ = & \frac{1}{q个} \frac{罪 (b条 π / q个)}{罪 (π / q个)} | \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{v（v） (b条 - q个 / c（c）)} | - \frac{π}{2} \frac{d日}{q个} . \end{matrix}

(8)

自

b条 - q个 / c（c） = d日 / c（c）

，我们可以将总和绑定如下：

\begin{matrix} | \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{v（v） (b条 - q个 / c（c）)} | = | \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{v（v） d日 / c（c）} | & \geq & | \sum_{v（v） = 0}^{c（c） - 1} 余弦 (\frac{2 π}{q个} \frac{v（v） d日}{c（c）}) \end{matrix}

\begin{matrix} \geq & | \sum_{v（v） = 0}^{c（c） - 1} 余弦 (\frac{2 π}{q个} d日) | = | c（c） 余弦 (\frac{2 π d日}{q个}) | \end{matrix}

(9)

\begin{matrix} \geq & c（c） | * | \sqrt{1 - {(2 π d日 / q个)}^{2}} \geq c（c） \sqrt{\frac{π^{2}}{4} - 1} . \end{matrix}

(10)

为了得到不平等(9)（10）和，我们使用

0 \leq v（v） \leq c（c）

假设

d日 / q个 \leq 1 / 4

（如果

d日 / q个 > 1 / 4

，该定理的主张微不足道），这意味着

\frac{2 π v（v）}{c（c）} \frac{d日}{q个} \leq \frac{π}{2}

最后一个不等式来自

| 余弦 x个 | \geq \sqrt{1 - {x个}^{2}}

.

接下来，我们出发

\frac{罪 (b条 π / q个)}{罪 (π / q个)}

.何时

b条 / q个 \leq 1 / 2

,

b条 π / q个 \leq π / 2

，所以我们有

罪 (b条 π / q个) \geq 2 b条 / q个

。我们也有

罪 (π / q个) \leq π / q个

因此，

\frac{罪 (b条 π / q个)}{罪 (π / q个)} \geq \frac{2 b条}{π} .

另一方面，当

b条 / q个 > 1 / 2

，我们一定有

c（c） = 2

和

b条 = \frac{q个 + d日}{2}

.在这种情况下

罪 (b条 π / q个) = 罪 \frac{π (q个 + d日)}{2 q个} = 罪 (\frac{π}{2} + \frac{π}{2} \frac{d日}{q个}) = 余弦 \frac{π d日}{2 q个} \geq \sqrt{1 - {(\frac{π d日}{2 q个})}^{2}} .

自

罪 (π / q个) \leq π / q个

和

q个 \geq 2 b条

假设

d日 / q个 \leq 1 / 4

，我们得到

\frac{罪 (b条 π / q个)}{罪 (π / q个)} \geq \frac{\sqrt{1 - {(\frac{π d日}{2 q个})}^{2}}}{π / q个} \geq \frac{2 b条}{π} \sqrt{1 - \frac{π^{2}}{64}} .

因此，在这两种情况下，

\frac{罪 (b条 π / q个)}{罪 (π / q个)} \geq \frac{2 b条}{π} \sqrt{1 - \frac{π^{2}}{64}} .

将此和（10）插入(8)，再次使用假设

d日 / q个 \leq 1 / 4

，我们得到：

\begin{matrix} | 〈 k个, ψ 〉 | & \geq & \frac{1}{q个} \frac{罪 (b条 π / q个)}{罪 (π / q个)} | \sum_{v（v） = 0}^{c（c） - 1} ω_{q个}^{v（v） (b条 - q个 / c（c）)} | - \frac{π}{2} \frac{d日}{q个} \\ \geq & \frac{2}{π} \frac{b条 c（c）}{q个} \sqrt{(1 - \frac{π^{2}}{64}) \cdot (\frac{π^{2}}{4} - 1)} - \frac{π}{8} \end{matrix}

(11)

\begin{matrix} \geq & \frac{2}{π} \frac{b条 c（c）}{q个} - \frac{π}{8} = \frac{2}{π} \frac{q个 + d日}{q个} - \frac{π}{8} \\ \geq & \frac{2}{π} - \frac{π}{8}, \end{matrix}

(12)

完成证明。□

6.针对LWE的关键恢复

在本节中，我们考虑各种

LWE公司

-基于加密方案，并使用定理9证明使用单个量子解密查询可以有效地恢复解密密钥(第6.1节,第6.2节和第6.3节). 然后，在第6.4节，我们显示单个量子加密query可用于恢复对称密钥版本中的密钥

LWE公司

，只要查询算法还可以控制加密过程中使用的部分随机性。

6.1. 对称密钥LWE中一次解密查询的密钥恢复

回忆一下

印度 - 注册会计师

基于的对称密钥加密方案

LWE公司

假设[三].

施工三

(

LWE公司 - SKE公司

[三]). 让

n个 \geq 1

是一个整数，让

q个 \geq 2

为整数模，且χ为离散对称误差分布。然后，对称密钥加密方案

LWE公司 - SKE公司 (n个, q个, χ) = (KeyGen（钥匙发电机）, Enc公司, 12月)

定义如下：

1: $KeyGen（钥匙发电机）$ :输出 $k个 - 1 第页 t吨 \overset{$}{\leftarrow} {Z轴}_{q个}^{n个}$ ;
2: ${Enc公司}_{k个}$ :加密 $b条 \in {0, 1}$ ，示例 $一 \overset{$}{\leftarrow} {Z轴}_{q个}^{n个}$ , $e（电子） \overset{χ}{\leftarrow} {Z轴}_{q个}$ 和输出 $(一, 〈 一, k个 〉 + b条 ⌊ \frac{q个}{2} ⌋ + e（电子）)$ ;
三。: ${12月}_{k个}$ :解密 $(一, c（c）)$ ，输出0，如果 $| c（c） - 〈 一, k个 〉 | \leq ⌊ \frac{q个}{4} ⌋$ ，否则输出1。

我们将加密方案称为对的如果

公共关系 [{12月}_{k个} ({Enc公司}_{k个} (b条)) = b条] = 1 - 否定 (n个)

.保证上述

LWE公司 - SKE公司

方案是正确的，我们需要限制离散误差分布的支持

χ

通过固定噪音大小

η

以便

| e（电子） | \leq ⌊ \frac{q个}{4} ⌋

对所有人来说

e（电子） \leftarrow χ

.

作为定理9的推论，被授予单个量子解密查询的对手可以至少以概率恢复密钥

{(\frac{2}{π} - \frac{π}{8})}^{2}

:

推论 1

有一个量子算法可以对

LWE公司 - SKE公司 . {12月}_{k个}

并恢复整个密钥

k个

至少有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

证明。

请注意

LWE公司 - SKE公司 . {12月}_{k个}

与线性舍入函数一致

{LRF公司}_{{k个}^{'}, 一, b条}

对于密钥

{k个}^{'} = (- k个, 1) \in {Z轴}_{q个}^{n个 + 1}

，它的最后一个条目中有一个单位。我们考虑以下两种情况：如果q个不是

三 国防部 4

，套

b条 = ⌈ q个 / 2 ⌉

,

一 = - ⌊ q个 / 4 ⌋

，因此我们得到

{12月}_{k个} = {LRF公司}_{{k个}^{'}, 一, b条}

.如果

q个 = 三 国防部 4

，套

b条 = ⌈ q个 / 2 ⌉

,

一 = ⌈ q个 / 4 ⌉

，然后我们有

{12月}_{k个} = 1 - {LRF公司}_{{k个}^{'}, 一, b条}

我们的索赔在这两种情况下都是如此。因此，根据定理9，算法1对

{LRF公司}_{{k个}^{'}, 一, b条}

，可以使用一个量子查询来实现

LWE公司 - SKE公司 . {12月}_{k个}

、和恢复

{k个}^{'}

，因此

k个

，概率至少为

{(\frac{2}{π} - \frac{π}{8})}^{2}

. □

注意，此方案中的密钥包括

n个 日志 q个

一致随机比特，经典解密查询最多只能产生一个比特的输出。因此，任何算法t吨古典的对解密oracle的查询最多以概率恢复整个密钥

2^{t吨 - n个 日志 q个}

。使用线性数量的经典查询，简单的密钥恢复算法实际上可以以恒定的成功概率恢复密钥。人们可以简单地查询表单的“单位向量”

{e（电子）}^{(我)} = (0, \dots, 0, 1, 0, \dots, 0)

为了通过平均错误来一次恢复密钥的一个条目。

6.2. 公共密钥LWE中通过一次解密查询实现密钥恢复

推论3中描述的密钥恢复攻击只需要以下事实：

LWE公司 - SKE公司

只是一个线性取整函数，其密钥包含解密密钥。因此，该攻击自然适用于

LWE公司

。在本节中，我们考虑两种公钥变体。首先是标准结构

印度独立电力公司 - 注册会计师

基于

LWE公司

Regev介绍的假设[三]. 第二个是

印度 - 注册会计师

-安全公钥加密方案

FrodoPKE公司

[18]基于Lindner和Peikert的结构[19]. 在这两种情况下，我们都演示了使用量子解密查询进行密钥恢复的显著加速。

我们再次强调，通过使用线性数目的解密查询，针对这些方案的密钥恢复已经成为可能。因此，我们的结果不应被解释为这些密码系统在其规定的安全设置中的弱点（即。，

印度 - 注册会计师

). 正确的解释是，如果这些密码系统受到选择-密码文本攻击，那么量子攻击可能比经典攻击更具破坏性。

6.2.1. Regev的公钥方案

标准构造

印度 - 注册会计师

基于的公钥加密方案

LWE公司

如下所示。

施工 4

(

LWE公司 - PKE公司

[三]).让

米 \geq n个 \geq 1

是整数，让

q个 \geq 2

为整数模，且χ为离散误差分布

{Z轴}_{q个}

.公钥方案

LWE公司 - PKE公司 (n个, q个, χ) = (KeyGen（钥匙发电机）, 电子控制, 12月)

由以下有效算法定义：

1: $KeyGen（钥匙发电机）$ :输出密钥 $斯克 = k个 \overset{$}{\leftarrow} {Z轴}_{q个}^{n个}$ 和公钥 $pk系列 = (A类, 一 k个 + e（电子）) \in {Z轴}_{q个}^{米 \times (n个 + 1)}$ ，其中 $一 \overset{$}{\leftarrow} {Z轴}_{q个}^{米 \times n个}$ , $e（电子） \overset{χ}{\leftarrow} {Z轴}_{q个}^{米}$ ，所有算法都是模运算 $q个 .$
2: $Enc公司$ :加密 $b条 \in {0, 1}$ ，随机选取 $v（v） \in {0, 1}^{米}$ 大约含Hamming重量 $米 / 2$ 和输出 $({v（v）}^{T型} A类, {v（v）}^{T型} (A类 k个 + e（电子）) + b条 ⌊ \frac{q个}{2} ⌋) \in {Z轴}_{q个}^{n个 + 1}$ ，其中 ${v（v）}^{T型}$ 表示的转置 $v（v）$ .
三。: $12月$ :解密 $(一, c（c）)$ ，输出0，如果 $| c（c） - 〈 一, 斯克 〉 | \leq ⌊ \frac{q个}{4} ⌋$ ，否则输出1。

虽然现在加密是以公开密钥的方式进行的，但对我们来说重要的是解密过程，这与对称密钥的情况相同，

LWE公司 - SKE公司

因此，我们有以下推论，其证明与推论3的证明相同：

推论 2

有一个量子算法可以对

LWE公司 - PKE公司 . {12月}_{斯克}

并恢复整个密钥

斯克

至少有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

6.2.2. Frodo公钥方案

接下来，我们考虑

印度 - 注册会计师

-安全公钥加密方案

FrodoPKE公司

这是基于Lindner和Peikert的构建[19]. 与相比

LWE公司 - PKE公司

与Regev的初始方案相比，该方案大大减小了密钥大小并实现了更好的安全评估[三]. 详细讨论

FrodoPKE公司

，我们指的是[18]. 我们提出了完整的整个方案，但出于我们的目的，重要的部分是解密过程。

施工 5

(

FrodoPKE公司

[18]).让

n个, \bar{米}, \bar{n个}

是整数参数，让

q个 \geq 2

为2的整数幂，设B表示用于编码的位数，设χ为离散对称误差分布。公钥加密方案

FrodoPKE公司 = (KeyGen（钥匙发电机）, Enc公司, 12月)

定义如下：

1: $KeyGen（钥匙发电机）$ :生成矩阵 $一 \overset{$}{\leftarrow} {Z轴}_{q个}^{n个 \times n个}$ 和矩阵 $S公司, E类 \overset{χ}{\leftarrow} {Z轴}_{q个}^{n个 \times \bar{n个}}$ ; 计算 $B类 = 一 S公司 + E类 \in {Z轴}_{q个}^{n个 \times \bar{n个}}$ ; 输出键盘 $(pk系列, 斯克)$ 使用公钥 $pk系列 = (A类, B类)$ 和密钥 $斯克 = S公司$ .
2: $Enc公司$ :加密 $米 \in {0, 1}^{B类 \cdot \bar{米} \cdot \bar{n个}}$ （编码为矩阵 $M（M） \in {Z轴}_{q个}^{\bar{米} \times \bar{n个}}$ 每个条目在除B最有效位外的所有位中都有0 s），带有公钥 $pk系列$ ，示例错误矩阵 ${S公司}^{'}, {E类}^{'} \overset{χ}{\leftarrow} {Z轴}_{q个}^{\bar{米} \times n个}$ 和 ${E类}^{″} \overset{χ}{\leftarrow} {Z轴}_{q个}^{\bar{米} \times \bar{n个}}$ ; 计算 $C_{1} = {S公司}^{'} 一 + {E类}^{'} \in {Z轴}_{q个}^{\bar{米} \times n个}$ 和 $C_{2} = M（M） + {S公司}^{'} B类 + {E类}^{″} \in {Z轴}_{q个}^{\bar{米} \times \bar{n个}}$ ; 输出密文 $(C_{1}, C_{2})$ .
三。: $12月$ :解密 $(C_{1}, C_{2}) \in {Z轴}_{q个}^{\bar{米} \times n个} \times {Z轴}_{q个}^{\bar{米} \times \bar{n个}}$ 带密钥 $斯克 = S公司$ ，计算 $M（M） = C_{2} - C_{1} S公司 \in {Z轴}_{q个}^{\bar{米} \times \bar{n个}}$ 对于每个 $(我, j个) \in [\bar{米}] \times [\bar{n个}]$ ，输出的前B位 ${M（M）}_{我, j个}$ .

我们现在演示如何恢复

\bar{米}

的

\bar{n个}

密钥的列

S公司

使用单个量子查询

FrodoPKE公司 . {12月}_{S公司}

.如果

\bar{米} = \bar{n个}

，如中给出的示例参数[18]，则此算法恢复

S公司

完全。

定理 10

存在一种量子算法，可以对

FrodoPKE公司 . {12月}_{S公司}

并恢复任何选择

\bar{米}

的

\bar{n个}

列，共列

S公司

对于所选择的列中的每一列，如果该列具有至少一个奇数条目，则该算法至少以概率成功地恢复该列

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

证明。

让

秒^{1}, \dots, 秒^{\bar{n个}}

是的列

S公司

.让U型表示地图：

U型 : | c（c） 〉 | {z（z）}_{1} 〉 \dots | {z（z）}_{\bar{n个}} 〉 \mapsto | c（c） 〉 | {z（z）}_{1} + {LRF公司}_{秒^{1}, 0, q个 / 2^{B类}} (c（c）) 〉 \dots | {z（z）}_{\bar{n个}} + {LRF公司}_{秒^{\bar{n个}}, 0, q个 / 2^{B类}} (c（c）) 〉,

对于任何

c（c） \in {Z轴}_{q个}^{n个}

和

{z（z）}_{1}, \dots, {z（z）}_{\bar{n个}} \in {Z轴}_{2^{B类}}

。我们首先认为

佛罗多克 . {12月}_{S公司}

可用于实现

{U型}^{\otimes \bar{米}}

。然后我们显示一个调用U型可以用于恢复

S公司

有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

，只要它至少有一个条目是奇数。

让

特朗克 : {Z轴}_{q个} \mapsto {Z轴}_{2^{B类}}

表示需要的地图

x个 \in {Z轴}_{q个}

到由B类二进制表示的最高有效位x个。我们有，任何

C_{1} \in {Z轴}_{q个}^{\bar{米} \times n个}

,

C_{2} = 0^{\bar{米} \times \bar{n个}}

、以及任何

{{z（z）}_{我, j个}}_{我 \in [\bar{米}], j个 \in [\bar{n个}]} \subseteq {Z轴}_{2^{B类}}

:

{U型}_{佛罗多克 . 12月} : | C_{1} 〉 | 0^{\bar{米} \cdot \bar{n个}} 〉 ⨂_{我 \in [\bar{米}], j个 \in [\bar{n个}]} | {z（z）}_{我, j个} 〉 \mapsto | C_{1} 〉 | 0^{\bar{米} \cdot \bar{n个}} 〉 ⨂_{我 \in [\bar{米}], j个 \in [\bar{n个}]} | {z（z）}_{我, j个} + 特朗克 ({[C_{1} S公司]}_{我, j个}) 〉 .

(13)

以上，

{[C_{1} S公司]}_{我, j个}

代表

我 j个

-第个条目

C_{1} S公司

.如果

{c（c）}^{1}, \dots, {c（c）}^{\bar{米}}

表示以下行

C_{1}

，然后

{[C_{1} S公司]}_{我, j个} = {c（c）}^{我}, 秒^{j个}

因此，

特朗克 ({[C_{1} S公司]}_{我, j个}) = {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} ({c（c）}^{我})

，具有块大小的线性舍入函数

b条 = q个 / 2^{B类}

，它是一个整数，因为q个是2的幂，并且

一 = 0

。请注意，我们还假设明文是减去的而不是添加到最后一个寄存器中；这纯粹是为了便于分析，可以通过调整算法1（例如，使用逆算法-

质量功能测试

而不是

质量功能测试

.)

丢弃第二个寄存器（包含

C_{2} = 0

)，右侧(13)成为

| {c（c）}^{1} 〉 \dots | {c（c）}^{\bar{米}} 〉 ⨂_{我 \in [\bar{米}], j个 \in [\bar{n个}]} | {z（z）}_{我, j个} + {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} ({c（c）}^{我}) 〉 .

(14)

重新排序的寄存器(14)，我们得到：

⨂_{我 \in [\bar{米}]} (| {c（c）}^{我} 〉 ⨂_{j个 \in [\bar{n个}]} | {z（z）}_{我, j个} + {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} ({c（c）}^{我}) 〉) = {U型}^{\otimes \bar{米}} (⨂_{我 \in [\bar{米}]} | {c（c）}^{我} 〉 ⨂_{j个 \in [\bar{n个}]} | {z（z）}_{我, j个} 〉) .

因此，我们可以实施

{U型}^{\otimes \bar{米}}

使用单个呼叫

佛罗多克 . {12月}_{S公司}

.

接下来，我们将针对任何特定的

j个 \in [\bar{n个}]

，只需拨打一个电话U型可用于恢复

秒^{j个}

，的j个-第列，共列

S公司

，概率至少为

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

，只要至少有一个条目

秒^{j个}

很奇怪。为此，我们展示了如何使用U型可用于实现对

{LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}}

然后，结果来自定理9的证明。

让

| φ 〉 = 2^{- B类 / 2} \sum_{z（z） = 0}^{2^{B类} - 1} | z（z） 〉

，并定义

| ϕ_{j个} {〉 = | φ 〉}^{\otimes (j个 - 1)} \otimes \frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} ω_{2^{B类}}^{z（z）} | z（z） 〉 \otimes {| φ 〉}^{\otimes (\bar{n个} - j个)} .

那么对于任何

c（c） \in {Z轴}_{q个}^{n个}

，我们有：

\frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} | z（z） + {LRF公司}_{秒^{我}, 0, q个 / 2^{B类}} (c（c）) 〉 = \frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} | z（z） 〉 = | φ 〉,

因为这里的加法是模的

2^{B类}

、和

\frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} ω_{2^{B类}}^{z（z）} | z（z） + {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} (c（c）) 〉 = \frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} ω_{2^{B类}}^{z（z） - {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} (c（c）)} | z（z） 〉 .

因此：

\begin{matrix} U型 (| c（c） 〉 | ϕ_{j个} 〉) & = & {| c（c） 〉 | φ 〉}^{\otimes (j个 - 1)} \otimes \frac{1}{\sqrt{2^{B类}}} \sum_{z（z） = 0}^{2^{B类} - 1} ω_{2^{B类}}^{z（z） - {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} (c（c）)} | z（z） 〉 \otimes {| φ 〉}^{\otimes (\bar{n个} - j个)} \\ = & ω_{2^{B类}}^{- {LRF公司}_{秒^{j个}, 0, q个 / 2^{B类}} (c（c）)} | c（c） 〉 | ϕ_{j个} 〉 . \end{matrix}

因此，通过定理9的证明，如果我们应用U型到

{q个}^{- n个 / 2} \sum_{c（c） \in {Z轴}_{q个}^{n个}} | c（c） 〉 | ϕ_{j个} 〉

，傅里叶变换第一个寄存器，然后测量，假设

秒^{j个}

至少有一个条目是单位（因为q个是2的幂，这只是一个奇数）我们将测量

秒^{j个}

至少有可能

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

因此，如果我们想恢复列

{j个}_{1}, \dots {j个}_{\bar{米}}

属于

S公司

，我们将程序应用于

{U型}^{\otimes \bar{米}}

，这需要一个查询

佛罗多克 . {12月}_{S公司}

，致州政府

\sum_{c（c） \in {Z轴}_{q个}^{n个}} \frac{1}{\sqrt{{q个}^{n个}}} | c（c） 〉 | ϕ_{{j个}_{1}} 〉 \otimes \dots \otimes \sum_{c（c） \in {Z轴}_{q个}^{n个}} \frac{1}{\sqrt{{q个}^{n个}}} | c（c） 〉 | ϕ_{{j个}_{\bar{米}}} 〉,

傅里叶变换

c（c）

寄存器，然后测量。□

6.3. 公钥环LWE中一次解密查询的密钥恢复

接下来，我们使用针对Ring的单个量子解密查询分析密钥恢复-

LWE公司

加密。不像平原

LWE公司

-基于我们在前几节中考虑的加密方案，Ring-

LWE公司

加密使用多项式环上的噪声样本。在下面，我们考虑基本的比特环-

LWE公司

中引入的公钥加密方案[20,21]. 它基于戒指

R（右） = Z轴 [X（X）] / {X（X）}^{n个} + 1

和

{R（右）}_{q个} : = R（右） / q个 R（右） = {Z轴}_{q个} [X（X）] / {X（X）}^{n个} + 1

对于某些二次幂整数n个和

聚 (n个)

-有界素数模q个。错误分布的详细信息

χ

以下内容与我们的结果无关。

为了生成样本，我们假设误差分布是对称的

χ

对“小”误差多项式进行采样

R（右）

例如，一个典型的选择（在

{R（右）}_{q个}

)是使用n个-多维高斯，更具体地说是n个中心一维高斯分布。

让我们首先回顾一下基于Ring的基本公钥加密方案-

LWE公司

。我们的分析仅限于单位加密。

施工 6

（戒指-

LWE公司

-

PKE公司

[20,21]).让

n个 \geq 1

是一个整数，设

q个 \geq 2

为整数模，且χ为上的误差分布

R（右）

.公钥加密方案

戒指 - LWE公司

-

PKE公司

= (KeyGen（钥匙发电机）, Enc公司, 12月)

定义如下：

1: $KeyGen（钥匙发电机）$ ：样本 $一 \overset{$}{\leftarrow} {R（右）}_{q个}$ 和 $e（电子）, 秒 \overset{χ}{\leftarrow} R（右）$ ; 输出 $秒 k个 = 秒$ 和 $第页 k个 = (一, c（c） = 一 \cdot 秒 + e（电子） (国防部 q个)) \in {R（右）}_{q个}^{2}$ .
2: $Enc公司$ ：要加密 $b条 \in {0, 1}$ ，示例 $第页, {e（电子）}_{1}, {e（电子）}_{2} \overset{χ}{\leftarrow} R（右）$ 并输出密文对 $(u个, v（v）) \in {R（右）}_{q个}^{2}$ ，其中 $u个 = 一 \cdot 第页 + {e（电子）}_{1} (国防部 q个)$ 和 $v（v） = c（c） \cdot 第页 + {e（电子）}_{2} + b条 ⌊ q个 / 2 ⌋ (国防部 q个)$ .
三。: $12月$ ：解密 $(u个, v（v）)$ ，计算 $v（v） - u个 \cdot 秒 = (第页 \cdot e（电子） - 秒 \cdot {e（电子）}_{1} + {e（电子）}_{2}) + b条 ⌊ q个 / 2 ⌋ (国防部 q个) \in {R（右）}_{q个}$ ; 如果多项式的常数项比 $⌊ q个 / 2 ⌋$ ，否则输出1。

我们注意到，在多项式的常数项中放置单位加密的选择有点随意。实际上，将我们的结果推广到关于其他单项式的加密是很简单的。为了加速大多项式的乘法，在实践中采用了各种嵌入，这些嵌入表示

{R（右）}_{q个}

作为矢量

{Z轴}_{q个}^{n个}

[20]. 例如，可以采用数论变换（NTT）将多项式乘法简化为更快的分量乘法，例如在后量子方案中新希望 [32]. 我们强调，我们的结果与实际使用的实际嵌入无关，只要表示是两个值之间的同构

{R（右）}_{q个}

和

{Z轴}_{q个}^{n个}

.戒指的选择也是如此

R（右）

在一个分圆多项式下，最终只会导致与经典后处理略有不同。我们给出了定理9的以下推论。

推论三。

有一个量子算法可以对

戒指 - LWE公司

-

PKE公司 . {12月}_{秒}

并至少以概率恢复整个密钥

{(\frac{2}{π} - \frac{π}{8})}^{2} \approx 0.059

.

证明。

让我们首先分析解密函数。我们让

{(第页)}_{0}

表示多项式的常数项

第页 \in {R（右）}_{q个}

然后，对于任意两个多项式

u个 = \sum_{j个 = 0}^{n个 - 1} {u个}_{j个} {X（X）}^{j个}

和

秒 = \sum_{j个 = 0}^{n个 - 1} 秒_{j个} {X（X）}^{j个} \in {R（右）}_{q个}

，我们可以确定

u个 \cdot 秒

作为

\begin{matrix} {(u个 \cdot 秒)}_{0} & = {u个}_{0} 秒_{0} + \sum_{j个 = 1}^{n个 - 1} {u个}_{j个} 秒_{n个 - j个} {X（X）}^{j个} {X（X）}^{n个 - j个} \\ \equiv {u个}_{0} 秒_{0} - {u个}_{1} 秒_{n个 - 1} - {u个}_{2} 秒_{n个 - 2} - \dots - {u个}_{n个 - 1} 秒_{1} (国防部 q个), \end{matrix}

(15)

自从

{X（X）}^{n个} \equiv - 1

英寸

{R（右）}_{q个}

。我们表明

戒指 - LWE公司

-

PKE公司 . {12月}_{秒} (u个, v（v）)

与上的二进制线性舍入函数一致

{Z轴}_{q个}^{n个}

.让

u个, 秒 \in {Z轴}_{q个}^{n个}

表示的系数向量

u个, 秒 \in {R（右）}_{q个}

分别定义一个常数多项式

v（v） \equiv {v（v）}_{0} \in {R（右）}_{q个}

和矢量

{u个}^{'} : = (u个, {v（v）}_{0}) \in {Z轴}_{q个}^{n个 + 1}

，对于一些

{v（v）}_{0} \in {Z轴}_{q个}

。我们发现

戒指 - LWE公司

-

PKE公司 . {12月}_{秒} (u个, {v（v）}_{0})

围绕内部产品

〈 {u个}^{'}, 秒^{'} 〉

，其中

秒^{'} = (- 秒_{0} (国防部 q个), 秒_{n个 - 1}, \dots, 秒_{1}, 1) .

因此，我们可以对均匀叠加上的二进制线性舍入函数运行Bernstein–Vazirani算法

{Z轴}_{q个}^{n个}

并恢复

秒

从

秒^{'}

简单的经典后处理。还要注意，在

{R（右）}_{q个}

和

{Z轴}_{q个}^{n个}

必须保留方程式中的内积(15)因此，任何测量结果都可以在后处理之前映射回标准基础，而与实际使用的实际环表示无关。

根据定理9，算法1对

{LRF公司}_{秒^{'}, q个}

，可以使用一个量子查询来实现

戒指 - LWE公司

-

PKE公司 . {12月}_{秒}

，并恢复字符串

秒^{'}

，因此也

秒

，具有概率

{(\frac{2}{π} - \frac{π}{8})}^{2}

. □

6.4. 通过随机访问查询恢复密钥

虽然可以使用线性数量的经典解密查询来破解

LWE公司

-基于方案，我们已经证明只有一个量子需要解密查询。一个自然要问的问题是，是否可以为加密查询。传统上，已知的对称密钥版本

LWE公司

如结构3所述，

LWE公司 - SKE公司

，当对手也被允许选择查询使用的随机性时，可以使用线性数量的经典加密查询进行破解：对手只需将值设置为

e（电子） = 0

每次，使用

一

拿n个线性无关值。

如果允许对手使用随机访问进行量子加密查询单一的量子查询足以恢复整把钥匙概率不可忽略，即使对手只有控制权的一部分加密使用的随机性：用于准备向量的随机性

一

，但不是用于选择错误的随机性e（电子）具体而言，对手被授予量子预言机访问随机存取加密预言机

{U型}_{{电子控制}_{k个}}^{无线电高度表}

这样，在输入时

(b条; 一)

，对手收到

{Enc公司}_{k个}^{无线电高度表} (b条; 一) = (一, 〈 一, k个 〉 + b条 ⌊q个 / 2⌋ + e（电子）),

哪里

e（电子） \leftarrow χ

通过使用i.i.d.错误回答叠加的每个元素，我们将其扩展到量子随机访问预言

{e（电子）}_{一} \leftarrow χ

:

{U型}_{{Enc公司}_{k个}}^{无线电高度表} : | 米 〉 | 一 〉 | c（c） 〉 \mapsto | 米 〉 | 一 〉 | c（c） \oplus {Enc公司}_{k个}^{无线电高度表} (米; 一) 〉 .

该模型与Grilo等人考虑的噪声学习模型相同[22]它的灵感来源于比肖蒂和杰克逊的原始噪音模型[33]. 首先，不难看出，对上述oracle进行经典查询的算法最多可以提取

日志 q个

每个查询的密钥位（特别是密文的最后一个组件），因此仍然需要线性数量的查询才能以不可忽略的概率恢复完整的密钥。

另一方面，通过对定理IV的证明的稍作推广

. 1

来自参考[22]，我们可以使用一个查询以逆多项式成功概率恢复整个密钥

{U型}_{{电子控制}_{k个}}^{无线电高度表}

只要噪音值

η

是多项式n个Grilo等人展示了如何应用Bernstein–Vazirani解决特定问题计算学习的版本

LWE公司

通过量子样本，我们采用了更广泛的密码安全参数集，并表明该算法在实际攻击中导致了显著的量子加速。具体来说，我们改进的分析表明，模量不必是素数。特别是，在只对量子随机性访问加密预言机进行单个查询的情况下，只要噪声大小，整个密钥就可以以逆多项式成功概率恢复

η

是多项式n个这当然是绝大多数实际计划的情况。回想一下

φ

表示Euler指向函数。具体而言，对于

米 \in N个

,

φ (米)

计算整数的数量米相对质数米.如果米是质数，那么

φ (米) = 米 - 1

。我们恢复密钥的算法如下。

定理 11

考虑

LWE公司 - SKE公司 (n个, q个, χ)

具有任意整数模

2 \leq q个 \leq 经验 (n个)

噪声大小η的对称误差分布χ。然后，算法2对随机可访问的量子加密预言进行一次查询

LWE公司 - SKE公司 (n个, q个, χ)

并至少以概率恢复整个密钥

φ (q个) / (24 η q个) - o个 (1)

.

证明。

我们遵循定理IV中的类似分析

. 1

英寸[22]. 让

k个

表示密钥采样方式

LWE公司 - SKE公司 (n个, q个, χ)

。查询后

{U型}_{{Enc公司}_{k个}}^{无线电高度表}

消息加密对应的状态

{b条}_{0} = 0

以及随机寄存器的均匀叠加选择，

\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 | 0 〉,

算法2：Bernstein–Vazirani实现随机访问

LWE公司

加密

输入：量子随机访问预言

{U型}_{{Enc公司}_{k个}}^{无线电高度表}

对于

LWE公司 - SKE公司 (n个, q个, χ)

输出:

k个 \in {Z轴}_{q个}^{n个}

有概率的

\approx φ (q个) / (24 η q个)

准备与消息对应的状态 ${b条}_{0} = 0$ 和均匀随机性：

$\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 | 0 〉 .$
查询随机可访问oracle ${U型}_{{Enc公司}_{k个}}^{无线电高度表}$ ，导致

$\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 | 〈 x个, k个 〉 + {b条}_{0} ⌊q个 / 2⌋ + {e（电子）}_{x个} (国防部 q个) 〉 .$
放弃第一个寄存器并应用量子傅里叶变换 ${质量功能测试}_{{Z轴}_{q个}}^{\otimes n个 + 1}$ .
计算基础上的度量，产生结果 $| 年_{1} 〉 \dots | 年_{n个} 〉 | z（z） 〉$ .
如果 $全球气候变化大会 (z（z）, q个) = 1$ ，输出 $\tilde{k个} = - (年_{1}, \dots, 年_{n个}) / z（z） (国防部 q个)$ ,
其他的输出。

算法2接收样本

| ψ 〉

其中，对于未知的独立错误

{e（电子）}_{x个} \leftarrow χ

噪声大小

| {e（电子）}_{x个} | \leq η

,

| ψ 〉 = \frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 | 〈 x个, k个 〉 | + {e（电子）}_{x个} (国防部 q个) 〉 .

因此，当丢弃第一个寄存器并应用量子傅立叶变换时，我们发现

{质量功能测试}_{{Z轴}_{q个}}^{\otimes n个 + 1} | ψ 〉 = \frac{1}{{q个}^{n个 + 1 / 2}} \sum_{x个 \in {Z轴}_{q个}^{n个}} \sum_{年 \in {Z轴}_{q个}^{n个}} \sum_{z（z） \in {Z轴}_{q个}} ω^{x个, 年 + z（z） k个 + {e（电子）}_{x个} z（z）} | 年_{1} 〉 \dots | 年_{n个} 〉 | z（z） 〉 .

在标准基础上进行测量时，获得结果的概率

年_{1}, \dots, 年_{n个}, z（z）

是

\frac{1}{{q个}^{2 n个 + 1}} {| \sum_{x个 \in {Z轴}_{q个}^{n个}} ω^{x个, 年 + z（z） k个 + {e（电子）}_{x个} z（z）} |}^{2} .

特别是

年 = - z（z） k个 (国防部 q个)

还有那个z（z）是相对于的质数q个（即。，

全球气候变化大会 (z（z）, q个) = 1

因此

z（z） \in {Z轴}_{q个}^{\times}

)由提供

\begin{matrix} \frac{1}{{q个}^{2 n个 + 1}} \sum_{z（z） \in {Z轴}_{q个}^{\times}} {| \sum_{x个 \in {Z轴}_{q个}^{n个}} ω^{{e（电子）}_{x个} z（z）} |}^{2} & = \frac{1}{{q个}^{2 n个 + 1}} \sum_{z（z） \in {Z轴}_{q个}^{\times}} {[(\sum_{x个 \in {Z轴}_{q个}^{n个}} 重新 (ω^{{e（电子）}_{x个} z（z）}))}^{2} + {(\sum_{x个 \in {Z轴}_{q个}^{n个}} 伊姆河 (ω^{{e（电子）}_{x个} z（z）}))}^{2}] \\ \geq \frac{1}{{q个}^{2 n个 + 1}} \sum_{z（z） \in {Z轴}_{q个}^{\times}} {(\sum_{x个 \in {Z轴}_{q个}^{n个}} 余弦 (\frac{2 π {e（电子）}_{x个} z（z）}{q个}))}^{2} \geq \frac{1}{{q个}^{2 n个 + 1}} \sum_{\begin{matrix} z（z） \in {Z轴}_{q个}^{\times} \\ 1 \leq z（z） \leq \frac{q个}{6 η} \end{matrix}} {(\sum_{x个 \in {Z轴}_{q个}^{n个}} \frac{1}{2})}^{2} \\ \geq \frac{1}{4 q个} \sum_{\begin{matrix} z（z） \in {Z轴}_{q个}^{\times} \\ 1 \leq z（z） \leq \frac{q个}{6 η} \end{matrix}} 1 \geq \frac{φ (q个)}{24 η q个} - O（运行） (1 / q个) . \end{matrix}

在上一个不等式中，我们使用了以下事实

⌊\frac{q个}{6 η}⌋ = \frac{q个}{6 η} + O（运行） (1)

，以及我们在引理A2:

n个, 米 > 1

为整数，并设

ω

是质数ω函数。然后，以下身份保持不变：

\sum_{\binom{1 \leq j个 \leq n个}{全球气候变化大会 (j个, 米) = 1}} 1 = n个 \frac{φ (米)}{米} + O（运行） (2^{ω (米)}) .

因此，算法2输出正确的密钥

\tilde{k个}

至少有可能

φ (q个) / (24 η q个) - o个 (1)

注意，因为

φ (q个) = Ω (q个 / 日志 日志 (q个))

，只要噪声大小为

η

是多项式n个. □

为了完整性，我们还考虑了量子随机访问查询的稍微不同但似乎合理的错误模型。与之前的身份识别错误模型不同，我们现在考虑单个错误

e（电子） \leftarrow χ

对单个查询的叠加的每个分支进行采样。我们的算法将重点利用误差不依赖于波函数各分支中任何特定向量的特性。

令人惊讶的是，我们发现选择的错误模型很重要，并且极大地影响了算法的分析。事实上，正如我们接下来所展示的，现在可以恢复了

k个

可以肯定的是，只使用一个查询来访问随机性加密oracle。我们对算法2进行如下调整：

我们只剩下以下推论。

推论 4

考虑

LWE公司 - SKE公司 (n个, q个, χ)

具有任意整数模

2 \leq q个 \leq 经验 (n个)

噪声大小η的对称误差分布χ。然后，存在一种量子算法，可以对单个错误随机性进行一次查询，以访问量子加密预言机

LWE公司 - SKE公司 (n个, q个, χ)

并以概率1恢复整个密钥。

证明。

结果直接遵循量子傅里叶变换的定义。在算法3的步骤3中应用转换后，寄存器包含条目

({k个}_{1}, \dots, {k个}_{n个})

. □

算法3：Bernstein–Vazirani（单错误）可访问的随机性

LWE公司

加密

输入: ：量子随机访问预言 ${U型}_{{Enc公司}_{k个}}^{无线电高度表}$ 对于 $LWE公司 - SKE公司 (n个, q个, χ)$ 在单误差模型中。
输出: : $k个 \in {Z轴}_{q个}^{n个}$ 概率为1

准备与消息对应的特定状态 ${b条}_{0} = 0$ 如下：

$\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 \otimes \frac{1}{\sqrt{q个}} \sum_{z（z） = 0}^{q个 - 1} ω_{q个}^{z（z）} | z（z） 〉 .$
查询随机可访问oracle ${U型}_{{Enc公司}_{k个}}^{无线电高度表}$ 有一个错误 $e（电子） \leftarrow χ$ :

$\frac{1}{\sqrt{{q个}^{n个}}} \sum_{x个 \in {Z轴}_{q个}^{n个}} ω_{q个}^{- x个, k个} | {b条}_{0} 〉 | {x个}_{1} 〉 \dots | {x个}_{n个} 〉 \otimes \frac{1}{\sqrt{q个}} \sum_{z（z） = 0}^{q个 - 1} ω_{q个}^{z（z）} | z（z） + e（电子） 〉 .$
丢弃第一个和最后一个寄存器，并应用量子傅里叶变换 ${质量功能测试}_{{Z轴}_{q个}}^{\otimes n个}$ .
在计算基础上进行测量，以获得 $k个 \in {Z轴}_{q个}^{n个}$ .

作者贡献

所有作者都为这项工作做出了同样的贡献。；形式分析、G.A.、S.J.、M.O.和A.P。；编写初稿，G.A.、S.J.、M.O.和A.P。；写作审查和编辑、G.A.、S.J.、M.O.和A.P.所有作者均已阅读并同意手稿的出版版本。

基金

GA由国家科学基金会（NSF）拨款CCF-1763736支持。SJ由NWO WISE拨款和NWO Veni创新研究拨款支持，项目编号639.021.752。MO由Leverhulme Trust Early Career Fellowship（ECF-2015-256）提供支持。AP的部分支持由AFOSR YIP奖项编号FA9550-16-1-0495、IQIM和NSF物理前沿中心（NSF Grant PHY-1733907）以及Kortschak学者计划提供。

致谢

我们感谢Ronald de Wolf的有益讨论，Jop Bri

\ddot{e（电子）}

t为引理A1和Peter Humphries提供了引理A2的简单证明。

利益冲突

作者声明没有利益冲突。

附录A

附录A.1。量子随机存取码的界

回想一下量子随机存取码(

QRAC公司

)以下场景涉及两方，Alice和Bob[26]:

Alice收到N个-位串x个并将其编码为量子态 $ϱ_{x个}$ .
Bob收到 $ϱ_{x个}$ 并被要求恢复我-的第位x个，对于一些 $我 \in {1, \dots, N个}$ 通过测量状态。
如果Bob的输出与 ${x个}_{我}$ 否则就会输掉。

此场景的变体允许Alice和Bob使用共享随机性在编码和解码操作中[27]（请注意，共享的随机性就其本身而言不允许他们交流）。如果我们将共享随机变量表示为

λ

，爱丽丝现在可以生产了

ϱ_{x个}^{λ}

我们有兴趣限定平均偏差

ϵ = {第页}_{赢} - 1 / 2

具有共享随机性的量子随机接入码，其中

{第页}_{赢}

获胜概率的平均值是

x个 \overset{$}{\leftarrow} {0, 1}^{N个}

和

我 \overset{$}{\leftarrow} {1, \dots, N个}

.

引理 答：。

将N位编码为d维量子态的共享随机性量子随机存取码的平均偏差为

O（运行） (\sqrt{{N个}^{- 1} 日志 d日})

特别是，如果

N个 = 2^{n个}

和

d日 = 2^{聚 (n个)}

偏差是

O（运行） (2^{- n个 / 2} 聚 (n个))

.

证明。

具有共享随机性的量子随机存取码N个位转换为d日-维量子态由以下内容规定：

共享随机变量 $λ$ ,
对于每个 $x个 \in {0, 1}^{N个}$ ，一个d日-维量子态 $ϱ_{x个}^{λ}$ 编码x个,
对于每个 $我 \in {0, \dots, N个}$ ，可观察到的 ${M（M）}_{我}^{λ}$ 用于恢复我-第位。

正式地，

ϱ_{x个}^{λ}

和

{M（M）}_{我}^{λ}

是

d日 \times d日

厄米矩阵

ϱ_{x个}^{λ} \geq 0

,

Tr公司 ϱ_{x个}^{λ} = 1

、和

|| {M（M）}_{我}^{λ} || \leq 1

哪里

|| {M（M）}_{我}^{λ} ||

表示的运算符范数

{M（M）}_{我}^{λ}

请注意

ϱ_{x个}^{λ}

和

{M（M）}_{我}^{λ}

取决于共享的随机变量

λ

这意味着Alice和Bob可以协调他们的策略。

正确猜测的偏见

{x个}_{我}

，对于给定x个和我，是

{(- 1)}^{{x个}_{我}} Tr公司 (ϱ_{x个}^{λ} {M（M）}_{我}^{λ}) / 2 .

此外，如果代码的平均偏差为

ϵ

，然后

{E类}_{λ} {E类}_{x个, 我} {(- 1)}^{{x个}_{我}} Tr公司 (ϱ_{x个}^{λ} {M（M）}_{我}^{λ}) \geq 2 ϵ .

我们可以使用它的算子范数重新排列这个表达式和每个项的上界，然后应用非交换的Khintchine不等式[34]:

\begin{matrix} {E类}_{λ} {E类}_{x个} \frac{1}{N个} Tr公司 (ϱ_{x个}^{λ} \sum_{我 = 1}^{N个} {(- 1)}^{{x个}_{我}} {M（M）}_{我}^{λ}) & \leq {E类}_{λ} {E类}_{x个} \frac{1}{N个} || \sum_{我 = 1}^{N个} {(- 1)}^{{x个}_{我}} {M（M）}_{我}^{λ} || \\ \leq {E类}_{λ} \frac{1}{N个} c（c） \sqrt{N个 日志 d日} \\ = c（c） \sqrt{\frac{日志 d日}{N个}}, \end{matrix}

对于某个常数c（c）换句话说，

ϵ \leq \frac{c（c）}{2} \sqrt{\frac{日志 d日}{N个}} .

在我们感兴趣的特定情况下，

d日 = 2^{聚 (n个)}

和

N个 = 2^{n个}

所以

ϵ \leq \frac{c（c）}{2} \sqrt{\frac{聚 (n个)}{2^{n个}}},

完成证明。□

附录A.2。QCCA模型的等价性

回想一下

印度 - QCCA公司 1

概念基于安全游戏

IndGame公司

定义3中定义。在另类安全游戏中

{IndGame公司}^{'}

（见定义4），对手只提供一个明文米并且必须决定挑战是否是米或随机字符串的加密。在本节中，我们将证明以下内容：

提议 答：。

加密方案∏为

印度 - QCCA公司 1

当且仅当对于

QPT公司

A类

,

公共关系 [⊣ w个 我 n个 秒 {IndGame公司}^{'} (Π, A类, n个)] \leq 1 / 2 + 否定 (n个) .

证明。

修复方案

Π

.对于一个方向，假设

Π

是

印度 - QCCA公司 1

然后让

A类

成为对手

{IndGame公司}^{'}

.定义对手

{A类}_{0}

反对

IndGame公司

如下：（i.）运行

A类

直到它输出质询明文米，（ii.）随机抽样第页和输出

(米, 第页)

，（iii.）运行其余的

A类

并输出它输出的内容。的输出分布

{IndGame公司}^{'} (Π, A类, n个)

则等于

IndGame公司 (Π, {A类}_{0}, n个)

反过来，它必须可以忽略地接近制服

印度 - QCCA公司 1

的安全性

Π

.

另一方面，假设没有对手能赢

{IndGame公司}^{'}

概率高于

1 / 2

，并让

B类

成为对手

IndGame公司

现在，定义两个对手

{B类}_{0}

和

{B类}_{1}

反对

{IndGame公司}^{'}

如下所示。对手

{B类}_{c（c）}

是否：（i.）运行

B类

直到它输出挑战

(米_{0}, 米_{1})

，（ii.）输出

米_{c（c）}

，（iii.）运行其余的

B类

并输出它输出的内容。请注意，质询前算法与

B类

,

{B类}_{0}

、和

{B类}_{1}

; 定义随机变量

{M（M）}_{0}

,

{M（M）}_{1}

和R（右）分别由两个挑战和一个一致随机明文给出。对于所有三个对手，挑战后算法也是相同的；叫它吧

C

.的优势

B类

过随机猜测则有界于

\begin{matrix} ∥ C & ({Enc公司}_{k个} ({M（M）}_{0})) - C ({Enc公司}_{k个} ({M（M）}_{1})) ∥_{1} \\ = ∥ C ({Enc公司}_{k个} ({M（M）}_{0})) - C ({Enc公司}_{k个} ({M（M）}_{1})) - C ({Enc公司}_{k个} (R（右）)) + C ({Enc公司}_{k个} (R（右）)) ∥_{1} \\ \leq ∥ C ({Enc公司}_{k个} ({M（M）}_{0})) - C ({Enc公司}_{k个} (R（右）)) ∥_{1} + {∥ C ({Enc公司}_{k个} ({M（M）}_{1})) - C ({Enc公司}_{k个} (R（右）)) ∥}_{1} \\ \leq 否定 (n个), \end{matrix}

其中最后一个不等式来自于我们的初始假设，适用于两者

{B类}_{0}

和

{B类}_{1}

因此

Π

是

印度 - QCCA公司 1

. □

引理 答2：。

让

n个, 米 > 1

是整数。然后，以下内容适用于

ω (米)

是质数ω函数：

\sum_{\binom{1 \leq j个 \leq n个}{全球气候变化大会 (j个, 米) = 1}} 1 = n个 \frac{φ (米)}{米} + O（运行） (2^{ω (米)}) .

为了完整起见，我们提供了上述声明的简短证明。

证明 ([35])

\sum_{\begin{matrix} j个 = 1 \\ 全球气候变化大会 (j个, 米) = 1 \end{matrix}}^{n个} 1 = \sum_{j个 = 1}^{n个} \sum_{d日 ∣ 全球气候变化大会 (j个, 米)} μ (d日) = \sum_{d日 ∣ 米} μ (d日) \sum_{\begin{matrix} j个 = 1 \\ j个 \equiv 0 (国防部 d日) \end{matrix}}^{n个} 1

在这里，

μ

表示Möbius函数。总额超过

j个 = 1, \dots, n个

等于

⌊\frac{n个}{d日}⌋ = \frac{n个}{d日} + O（运行） (1)

因此，

n个 \sum_{d日 ∣ 米} \frac{μ (d日)}{d日} + O（运行） (\sum_{d日 ∣ 米} | μ (d日) |) = \frac{n个 φ (米)}{米} + O（运行） (2^{ω (米)}) .

把所有的东西放在一起，我们得到了这个等式，

\sum_{\binom{1 \leq j个 \leq n个}{全球气候变化大会 (j个, 米) = 1}} 1 = n个 \frac{φ (米)}{米} + O（运行） (2^{ω (米)}),

从而完成证明。□

工具书类

Chen，L。；约旦，S。；刘，Y.K。；穆迪，D。；佩拉尔塔，R。；Perlner，R。；Smith-Tone，D。后量子密码术报告; 技术报告；国家标准与技术研究所：美国马里兰州盖瑟斯堡，2016年。[交叉参考]
肖尔，P.W.《量子计算的算法：离散对数和因子分解》，第35届计算机科学基础年度研讨会论文集，美国新墨西哥州圣菲，1994年11月20日至22日；IEEE:皮斯卡塔韦，新泽西州，美国，1994年；第124-134页。[谷歌学者] [交叉参考]
关于格、错误学习、随机线性码和密码学。美国临床医学杂志 2005,56, 34:1–34:40. [谷歌学者] [交叉参考]
国家标准与技术研究所（NIST）。后量子密码术; NIST：美国马里兰州盖瑟斯堡，2017年。
Kuwakado，H。；Morii，M.三轮Feistel密码和随机置换之间的量子区别。2010年6月13日至18日，美国德克萨斯州奥斯汀，2010年IEEE信息理论国际研讨会论文集；IEEE：皮斯卡塔韦，新泽西州，美国，2010年；第2682–2685页。[谷歌学者] [交叉参考] [绿色版本]
Kuwakado，H。；Morii，M.量子型Even-Mansour密码的安全性。2012年10月28日至31日，美国夏威夷火奴鲁鲁，2012年信息理论及其应用国际研讨会论文集；IEEE：美国新泽西州皮斯卡塔韦，2012年；第312-316页。[谷歌学者]
卡普兰，M。；Leurent，G。；Leverier，A。；Naya-Plasencia，M.使用量子周期发现打破对称密码系统。在密码学进展——2016年密码; Robshaw，M.，Katz，J.，编辑。；施普林格：德国柏林/海德堡，2016年；第207–237页。[谷歌学者] [交叉参考] [绿色版本]
桑托利，T。；Schaffner，C.使用Simon算法攻击对称密钥加密原语。在量子信息与计算; 林顿出版社：美国新泽西州帕拉莫斯，2017年；第65-78页。[谷歌学者] [交叉参考]
Simon，D.R.论量子计算的力量。SIAM J.计算。 1997,26, 1474–1483. [谷歌学者] [交叉参考]
Gagliardoni，T。；Hülsing，A。；量子世界中的语义安全和不可区分性。在密码学进展——2016年密码; Robshaw，M.，Katz，J.，编辑。；施普林格：德国柏林/海德堡，2016年；第60-89页。[谷歌学者] [交叉参考] [绿色版本]
Bleichenbacher，D.选择对基于RSA加密标准PKCS#1的协议进行密文攻击。在98年密码学进展; Krawczyk，H.，编辑。；施普林格：柏林/海德堡，德国，1998年；第1-12页。[谷歌学者] [交叉参考] [绿色版本]
Boneh，D。；Zhandry，M.在量子计算世界中保护签名和选择密文安全。在密码学进展——2013年密码体制; Canetti，R.，Garay，J.A.，编辑。；施普林格：德国柏林/海德堡，2013年；第361-379页。[谷歌学者] [交叉参考] [绿色版本]
Boneh，D。；Zhandry，M.Quantum-安全消息认证代码。在密码学进展——EUROCRYPT 2013; Johansson，T.，Nguyen，P.Q.，编辑。；施普林格：德国柏林/海德堡，2013年；第592-608页。[谷歌学者] [交叉参考] [绿色版本]
布罗德本特，A。；Jeffery，S.低T门复杂度电路的量子同态加密。在密码学进展——2015年密码技术; Gennaro，R.，Robshaw，M.，编辑。；施普林格：德国柏林/海德堡，2015年；第609-629页。[谷歌学者] [交叉参考] [绿色版本]
Zhandry，M.如何构造量子随机函数。2012年10月20日至23日，美国新泽西州新不伦瑞克，IEEE第53届计算机科学基础年度研讨会论文集；IEEE：美国新泽西州皮斯卡塔韦，2012年；第679-687页。[谷歌学者] [交叉参考] [绿色版本]
Zhandry，M.关于量子安全PRP的注释。arXiv公司 2016，arXiv:1611.05564。[谷歌学者]
伯恩斯坦，E。；Vazirani，U.量子复杂性理论。SIAM J.计算。 1997,26, 1411–1473. [谷歌学者] [交叉参考]
阿尔基姆，E。；Bos，J.W。；杜卡斯，L。；Longa，P。；米罗诺夫，I。；Naehrig，M。；尼古兰科，V。；佩克特，C。；Raghunathan，A。；Stebila，D。；等。FrodoKEM-Learning With Errors密钥封装; 提交NIST后量子密码标准化项目；第二轮。2019年7月2日修订。未发表的作品。
林德纳，R。；Peikert，C.为基于LWE的加密提供更好的密钥大小（和攻击）。在密码学主题-CT-RSA 2011; Kiayias，A.编辑。；施普林格：德国柏林/海德堡，2011年；第319-339页。[谷歌学者] [交叉参考]
柳巴舍夫斯基，V。；佩克特，C。；Regev，O.环-LWE加密工具包。在密码学进展——EUROCRYPT 2013; Johansson，T.，Nguyen，P.Q.，编辑。；施普林格：德国柏林/海德堡，2013年；第35-54页。[谷歌学者] [交叉参考] [绿色版本]
柳巴舍夫斯基，V。；佩克特，C。；关于理想格和环上的错误学习。美国临床医学杂志 2013,60, 43:1–43:35. [谷歌学者] [交叉参考]
A.B.格里洛。；克雷尼迪斯，I。；Zijlstra，T.使用量子样本，带错误的学习很容易。arXiv公司 2017，arXiv:1702.08255。[谷歌学者] [交叉参考] [绿色版本]
藤崎，E。；Okamoto，T.非对称和对称加密方案的安全集成。在密码学进展——1999年密码学; 施普林格：柏林/海德堡，德国，1999年；第537–554页。[谷歌学者]
Goldreich，O。；Levin，L.A.所有单向函数的硬核谓词。1989年5月14日至17日在美国华盛顿州西雅图举行的第二十届ACM计算理论年会（STOC’89）会议记录；ACM：美国纽约州纽约市，1989年；第25-32页。[谷歌学者] [交叉参考]
Goldreich，O。；Goldwasser，S。；Micali，S.如何构造随机函数。美国临床医学杂志 1986,33, 792–807. [谷歌学者] [交叉参考]
Nayak，A.量子自动机和随机存取码的最佳下界。1999年10月17日至19日，美国纽约市，第40届计算机科学基础年度研讨会论文集；第369-376页。[谷歌学者] [交叉参考] [绿色版本]
Ambainis，A。；Leung，D。；Mancinska，L。；Ozols，M.共享随机性的量子随机存取码。arXiv公司 2008，arXiv:0810.2937。[谷歌学者]
Kitaev，A.Y.量子测量和阿贝尔稳定器问题。arXiv公司 1995，arXiv:quant-ph/9511026。[谷歌学者]
Hales，L。；Hallgren，S.一种改进的量子傅里叶变换算法及其应用。2000年11月12日至14日在美国加利福尼亚州雷东多海滩举行的第41届计算机科学基础年度研讨会论文集；第515-525页。[谷歌学者] [交叉参考]
戈德里奇，O。密码学基础：第2卷，基本应用; 剑桥大学出版社：英国剑桥，2009年。[谷歌学者]
科尔曼，T.H。；Leiserson，C.E。；铆钉，R.L。；C.斯坦因。算法简介第2版。；麻省理工学院出版社：剑桥，马萨诸塞州，美国，2001年。[谷歌学者]
阿尔基姆，E。；杜卡斯，L。；Pöppelmann，T。；Schwabe，P.后量子密钥交换——一个新的希望。2016年8月10日至12日在美国德克萨斯州奥斯汀举行的第25届USENIX安全研讨会（USENIX-Security 16）会议记录；USENIX协会：美国德克萨斯州奥斯汀，2016年；第327-343页。[谷歌学者]
新罕布什尔州Bshouty。；Jackson，J.C.使用量子示例预言机在均匀分布上学习DNF。SIAM J.计算。 1998,28, 1136–1153. [谷歌学者] [交叉参考] [绿色版本]
Tomczak-Jaegermann，N.轨迹类的平滑模和凸模以及Rademacher平均值S公司_第页(1≤第页<∞).学生数学。 1974,50, 163–182. [谷歌学者]
Humphries，P.Euler Totiten函数恒等式的参考？数学堆栈交换。在线可用：https://math.stackexchange.com/q/2889027（2012年5月8日查阅）。

图1。

{IndGame公司}^{'}

来自定义4。

图1。

{IndGame公司}^{'}

来自定义4。

图2。伪随机函数的量子随机存取码构造(

项目风险融资

)方案。

图2。伪随机函数的量子随机存取码构造(

项目风险融资

)方案。

图3。伪随机置换的量子随机接入码构造(

项目需求计划

)方案。

图3。伪随机置换的量子随机接入码构造(

项目需求计划

)方案。

图4。划分

{Z轴}_{q个}

进入之内

c（c） = ⌈ q个 / b条 ⌉

块，从开始一.第一个

c（c） - 1

块，已标记

我_{0} (一, b条), \dots, 我_{c（c） - 2} (一, b条)

，具有大小b条最后一个，标记

我_{c（c） - 1} (一, b条)

，包含剩余的

b条 - (c（c） b条 - q个) \leq b条

的元素

{Z轴}_{q个}

.

图4。划分

{Z轴}_{q个}

进入之内

c（c） = ⌈ q个 / b条 ⌉

块，从开始一.第一个

c（c） - 1

块，已标记

我_{0} (一, b条), \dots, 我_{c（c） - 2} (一, b条)

，具有大小b条最后一个标记为

我_{c（c） - 1} (一, b条)

，包含剩余的

b条 - (c（c） b条 - q个) \leq b条

的元素

{Z轴}_{q个}

.

分享和引用

MDPI和ACS样式

Alagic，G。；Jeffery，S。；Ozols，M。；A.波伦巴。关于量子选择密码攻击和错误学习。密码学 2020,4, 10.https://doi.org/10.3390/cryptography4010010

AMA风格

Alagic G、Jeffery S、Ozols M、Poremba A。关于量子选择密码攻击和错误学习。密码学. 2020; 4(1):10.https://doi.org/10.3390/cryptography4010010

芝加哥/图拉宾风格

Alagic、Gorjan、Stacey Jeffery、Maris Ozols和Alexander Poremba。2020年，“关于量子选择密码攻击和错误学习”密码学4，编号1:10。https://doi.org/10.3390/cryptography4010010

文章菜单

量子选择密码攻击与错误学习 †

摘要

1.简介

1.1. 背景

1.2. 我们的贡献

1.2.1. 模型

1.2.2. 针对的Quantum查询攻击 LWE公司

1.2.3. 重要注意事项

1.2.4. 相关工作

1.3. 结果技术总结

1.3.1. 安全模型和基本定义

1.3.2. 安全施工

1.3.3. 针对LWE的关键恢复

1.3.4. 线性舍入函数的量子算法

1.3.5. 针对的一个Quantum查询 LWE公司

1.4. 组织

2.前期工作

2.1. 基本符号和惯例

2.2. 基本数论符号

2.3. 量子安全伪随机性

2.4. 量子随机存取码

2.5. 量子傅立叶变换

3.QCCA1安全模型

3.1. 量子预言家

3.2. 密文不可分辨性

3.3. 语义安全性

4.安全施工

4.1. 项目风险融资 方案

4.2. 项目需求计划 方案

5.线性舍入函数的量子算法

6.针对LWE的关键恢复

6.1. 对称密钥LWE中一次解密查询的密钥恢复

6.2. 公共密钥LWE中通过一次解密查询实现密钥恢复

6.2.1. Regev的公钥方案

6.2.2. Frodo公钥方案

6.3. 公钥环LWE中一次解密查询的密钥恢复

6.4. 通过随机访问查询恢复密钥

作者贡献

基金

致谢

利益冲突

附录A

附录A.1。量子随机存取码的界

附录A.2。QCCA模型的等价性

工具书类

分享和引用

文章指标

文章访问统计

更多信息

指导方针

MDPI计划

遵循MDPI

量子选择密码攻击与错误学习^†

1.2.2. 针对的Quantum查询攻击 $LWE公司$

1.3.5. 针对的一个Quantum查询 $LWE公司$

4.1. $项目风险融资$ 方案

4.2. $项目需求计划$ 方案