양자 컴퓨팅은 결국 현대 해싱을 사소하게 만드는 데 사용될 수 있습니까?

간단히 말해, 20 qubits의 힘으로 양자 컴퓨팅 장치를 구축한다면 그러한 컴퓨터를 사용하여 현대의 해싱 알고리즘을 쓸모 없게 만들 수 있을까요?

전통적인 컴퓨팅 응용 프로그램에서 퀀텀 컴퓨팅의 힘을 활용할 수 있을까요?

퀀텀 컴퓨터는 경우에 따라 클래식 컴퓨터에 비해 이점이있을 수 있습니다. 가장 주목할만한 예는 다항식 시간에서 많은 수를 고려할 수있는 Shor 's Algorithm 입니다 (전통적으로 가장 잘 알려진 알고리즘 은 지수 시간이 걸립니다). 이것은 인수 분해의 강도에 따라 RSA와 같은 체계를 완전히 파괴합니다.

이것은 반드시 해시 함수의 경우는 아닙니다. 먼저 해시 함수를 중단하는 것이 무엇을 의미하는지 정의해야합니다. 그것을 깨는 한 가지 방법은 사전 이미지 공격 이라고 합니다 . 해시 값 를 주면 와 같은 메시지 을 찾아야합니다 . 또 다른 공격은 충돌 공격입니다 . 내가 아무것도주지 않습니다. 해시 같은 두 개의 다른 메시지 를 . 특정 바인딩되어 있지 않기 때문에 프리 이미지를 찾는 것보다 쉽습니다 .m 해시 ( m ) = v m 1 , m 2 해시 ( m 1 ) = 해시 ( m 2 ) $v$$m$$\operatorname{hash}(m)=v$$m_1, m_2$$\operatorname{hash}(m_1)=\operatorname{hash}(m_2)$$v$

Quantum 컴퓨터는 무엇을 할 수 있습니까? 주요 결과는 Grover의 검색 알고리즘입니다 . 양자 컴퓨터 가 시간이 0 인 크기 의 정렬되지 않은 데이터베이스를 검색하는 방법 ( $N$(고전적으로 예상되는 시간은N/2입니다).$O(\sqrt{N})$$N/2$

그로버의 알고리즘에 출력되고, 해시 함수의 프리 이미지 찾는 -bits 얻어 O를 ( 2 K / 2 ) 보다 시간 O ( 2 케이 ) .$k$$O(2^{k/2})$$O(2^k)$

이것이 문제 입니까? 반드시 그런 것은 아닙니다. 해시 함수는 시간 2 k / 2 가 "안전한"것으로 간주 되도록 설계되었습니다 (즉, 해시 디자이너는 항상 두 배 k ). 이것은 고전적인 컴퓨터에 의해 시간 O ( 2 k / 2 ) 로 충돌 을 발견 할 수있는 생일 역설 때문 이다.$2^{k/2}$$k$$O(2^{k/2})$

Grover의 알고리즘에 대한 좋은 점은 최적입니다. 정렬되지 않은 데이터베이스에서 요소를 찾는 다른 모든 양자 알고리즘은 시간 .$\Omega(\sqrt{N})$

양자 컴퓨터가 더 나은 충돌 공격을 수행 할 수 있습니까 ? 실제로 나는 확실하지 않습니다. Grover의 알고리즘을 확장하여 항목 (즉, 사전 이미지)이 있는 경우 항목을 찾는 시간을 O ( $t$. 그러나 이것은 충돌을 일으키지 않습니다. 알고리즘을 다시 실행하면 동일한 사전 이미지가 반환 될 수 있습니다. 반면에m1을 임의로 선택한 다음 Grover 's Algorithm을 사용하면 다른 메시지를 반환 할 가능성이 있습니다. 이것이 더 나은 공격인지 확실하지 않습니다.$O(\sqrt{N/t})$$m_1$

_{(이것은 컴퓨터를 20 qubits로 제한하지 않고보다 일반적인 질문에 대답합니다. 현재 1024 비트 해시를 깨기에 충분하지 않습니다).}

내가 이해 한 바에 따르면, 양자 컴퓨팅은 오늘날의 해싱 알고리즘을 쉽게 깰 수있는 힘을 가지고 있습니다. 그러나 장기적으로는 더 복잡한 해싱 알고리즘을 사용할 수 있으며 일반적으로 무언가를 해독하는 것보다 암호화하는 것이 더 쉽습니다. 고려해야 할 가장 큰 문제는 퀀텀 컴퓨팅이 소수의 사람들에게만 제공 될 때이며, 고급 알고리즘이나 위협에 대한 의식이 널리 퍼지기 훨씬 전에 오늘날의 알고리즘으로 보호되는 것들에 쉽게 액세스 할 수있게하는 것입니다.

스택 오버플로에 대한 질문에 대한 실제 기술 답변 은 여기 를 참조 하십시오 .