Simon's Algorithm for the Even-Mansour Cipher on Quantum Hardware

Questo articolo presenta una crittanalisi quantistica proof-of-concept del cifrario Even-Mansour utilizzando l'algoritmo di Simon su hardware NISQ, recuperando con successo chiavi segrete per costruzioni a 3 e 4 bit sul processore ibm_miami, evidenziando al contempo colli di bottiglia nella memoria negli strumenti attuali di ottimizzazione dei circuiti per lunghezze di chiave maggiori.

L'essenziale

Immagina di cercare di forzare una cassaforte che utilizza una serratura molto specifica e complessa. Questo articolo riguarda un team di ricercatori che ha tentato di scardinare quella serratura utilizzando un nuovo tipo di "super-strumento" chiamato computer quantistico. Non hanno semplicemente indovinato la combinazione; hanno usato un astuto trucco matematico per trovare il modello nascosto all'interno della serratura.

Ecco la spiegazione del loro esperimento in termini semplici:

La Serratura: Il Cifratore Even-Mansour

Pensa al cifratore Even-Mansour come a una cassaforte semplice ma robusta. Funziona così:

1. Inserisci un messaggio (il testo in chiaro) nella cassaforte.
2. Lo mescoli con una chiave segreta (Chiave 1).
3. Lo fai passare attraverso una macchina pubblica e caotica (una permutazione) che lo mescola.
4. Lo mescoli di nuovo con una seconda chiave segreta (Chiave 2).
5. Il risultato è il messaggio bloccato.

L'obiettivo degli attaccanti (i ricercatori) era capire quali fossero quelle due chiavi segrete.

Il Super-Strumento: L'Algoritmo di Simon

Normalmente, se volessi trovare una chiave segreta, dovresti provare miliardi di combinazioni una per una. È come provare ogni singola chiave di un gigantesco mazzo di chiavi finché una non si adatta.

Ma i ricercatori hanno utilizzato l'Algoritmo di Simon. Immagina questo algoritmo come un detective magico che non cerca la chiave direttamente. Invece, cerca un ritmo nascosto o un modello.

• I ricercatori hanno impostato uno scenario speciale in cui la serratura si comporta in modo strano: se giri la manopola di una certa quantità (la chiave segreta), la serratura finisce nella posizione esatta in cui sarebbe stata se non l'avessi girata affatto.
• L'Algoritmo di Simon è eccellente nel trovare questi "ritmi nascosti" (periodi) molto più velocemente di quanto potrebbe fare un computer normale. È come ascoltare una canzone e conoscere istantaneamente il battito, mentre un computer normale deve contare ogni singolo colpo di rullante.

L'Esperimento: Costruire la Serratura su un Computer Quantistico

I ricercatori volevano vedere se questo detective magico potesse funzionare realmente su hardware fisico reale. Hanno costruito una versione minuscola della serratura su un computer quantistico chiamato IBM Miami.

1. Il Progetto (S-box): Per far funzionare la serratura, avevano bisogno di un "mescolatore" (chiamato S-box). Hanno costruito questi mescolatori utilizzando una logica simile a quella usata nel famoso standard di crittografia AES, ma molto più piccola (per chiavi a 3 e 4 bit).
2. Il Problema di Traduzione: I computer quantistici parlano una lingua diversa rispetto ai computer normali. I ricercatori hanno dovuto tradurre i loro progetti di "mescolatori" classici in una lingua che il computer quantistico potesse comprendere. Hanno utilizzato uno strumento chiamato DORCIS per effettuare questa traduzione.
   • Il Collo di Bottiglia: Questo strumento ha funzionato egregiamente per le minuscole serrature a 3 e 4 bit. Tuttavia, quando hanno provato a tradurre una serratura leggermente più grande a 5 bit, lo strumento ha esaurito la memoria. Era come cercare di piegare una mappa enorme in una tasca minuscola; la carta semplicemente non entrava. Questo li ha fermati dal testare chiavi più grandi.
3. Il Rumore: I computer quantistici sono attualmente molto sensibili, come una casa di carte in una tempesta di vento. Per mantenere stabile l'esperimento, i ricercatori hanno utilizzato tecniche speciali (come il "Disaccoppiamento Dinamico") per calmare i qubit, simile a come potresti tenere ferma una macchina fotografica per scattare una foto nitida con il vento.

I Risultati

Hanno eseguito l'esperimento su due piccole serrature: una con una chiave a 3 bit e una con una chiave a 4 bit.

• Successo: In entrambi i casi, il computer quantistico ha trovato con successo il ritmo nascosto. Da quel ritmo, i ricercatori hanno calcolato le chiavi segrete.
• Riproducibilità: Hanno eseguito il test cinque volte per ogni dimensione della serratura, e ha funzionato ogni volta.
• La Limitazione: Come accennato, non hanno potuto testare una serratura a 5 bit perché lo strumento di traduzione (DORCIS) si è bloccato a causa dei limiti di memoria.

La Conclusione

L'articolo conclude due cose principali:

1. Funziona (per ora): L'Algoritmo di Simon è un metodo reale e funzionante per violare questo specifico tipo di crittografia sull'hardware quantistico attuale, ma solo per chiavi molto piccole. Dimostra che i computer quantistici possono teoricamente trovare questi modelli nascosti esponenzialmente più velocemente dei computer classici.
2. Gli Strumenti Hanno Bisogno di un Aggiornamento: Sebbene il computer quantistico abbia fatto il suo lavoro, il software utilizzato per preparare i "progetti" per il computer quantistico ha raggiunto un muro. Per violare serrature più grandi e più realistiche in futuro, abbiamo bisogno di strumenti migliori per tradurre questi progetti in circuiti quantistici senza esaurire la memoria.

In breve: Hanno dimostrato che il concetto funziona su piccola scala, ma la "squadra di costruzione" (gli strumenti software) deve diventare più forte prima di poter costruire i grandi grattacieli.

Sommario tecnico

1. Enunciato del Problema

Il documento affronta la fattibilità pratica dell'esecuzione di attacchi di crittanalisi quantistica su cifrari simmetrici utilizzando l'hardware quantistico attuale Noisy Intermediate-Scale Quantum (NISQ). Nello specifico, prende di mira il cifrario Even-Mansour (EM), una costruzione minimale di cifrario a blocchi basata su una permutazione pubblica e due chiavi segrete.

Sebbene il quadro teorico per violare il cifrario EM utilizzando l'algoritmo di Simon sia ben consolidato (offrendo un'accelerazione esponenziale rispetto agli attacchi classici trovando un periodo nascosto), l'implementazione pratica è stata limitata. Le sfide principali includono:

• Vincoli Hardware: I dispositivi NISQ soffrono di rumore, decoerenza e connettività limitata dei qubit, rendendo difficile l'esecuzione di circuiti profondi (richiesti per permutazioni complesse).
• Colli di bottiglia nella Sintesi dei Circuiti: La conversione di permutazioni crittografiche classiche (S-box) in circuiti quantistici reversibili e ottimizzati è computazionalmente costosa. Gli strumenti esistenti spesso non riescono a scalare verso lunghezze di chiave maggiori a causa di vincoli di memoria.
• Implementazione dell'Oracolo: L'attacco richiede l'implementazione della funzione di cifratura come oracolo quantistico, il che comporta la sintesi di permutazioni non lineari in porte quantistiche.

2. Metodologia

Gli autori hanno implementato un attacco proof-of-concept sul processore IBM ibm_miami. La metodologia ha coinvolto tre fasi principali:

A. Costruzione Crittografica

• Cifrario: Lo schema Even-Mansour $EM_{k_1, k_2}(x) = P(x \oplus k_1) \oplus k_2$, dove $P$ è una permutazione pubblica e $k_1, k_2$ sono chiavi segrete.
• Permutazione ($P$): Per $N=3$ e $N=4$, gli autori hanno costruito mappe biunivoche ispirate alla S-box AES. Queste sono state definite come inversione nel campo finito $F_{2^N}$ seguita da una trasformazione affine.
• Vettore di Attacco: L'attacco definisce una funzione $f(x) = EM(x) \oplus P(x)$. Questa funzione possiede un periodo nascosto $k_1$. L'algoritmo di Simon viene utilizzato per trovare $k_1$, dopo di che $k_2$ viene recuperato classicamente o tramite una semplice query quantistica.

B. Sintesi del Circuito Quantistico (DORCIS)

• Catena di Strumenti: Gli autori hanno utilizzato lo strumento DORCIS (Depth Optimized Quantum Implementation of Substitution Boxes) per sintetizzare le tabelle di permutazione classiche in circuiti quantistici reversibili.
• Ottimizzazione: DORCIS scompone le permutazioni in porte elementari (Pauli-X, Toffoli/CCNOT, SWAP) e minimizza la profondità del circuito.
• Limite di Scalabilità: Lo strumento ha generato con successo circuiti per $N=3$ e $N=4$, ma ha fallito per $N=5$ a causa di un collo di bottiglia della memoria su una CPU ad alte prestazioni (3,9 TiB di RAM), impedendo la generazione di circuiti per istanze più grandi.

C. Esecuzione Hardware e Mitigazione degli Errori

Per eseguire l'attacco sul processore rumoroso ibm_miami, il team ha adottato specifiche strategie di mitigazione:

• Mappatura dei Qubit: Hanno mappato manualmente i qubit logici su specifici sottografi di qubit fisici ($[0, 1, 2, 12, 11, 10]$ per $N=3$ e $[0, 1, 2, 3, 13, 12, 11, 10]$ per $N=4$) per sfruttare la topologia del reticolo ed evitare l'overhead del routing automatico.
• Disaccoppiamento Dinamico (DD): Sono state applicate sequenze simmetriche di unitarie (ad esempio, impulsi X alternati) sui qubit inattivi per sopprimere il rumore ambientale a bassa frequenza e la diafonia.
• Twirling di Pauli: Sono state inserite casualmente coppie di operatori di Pauli logicamente equivalenti prima e dopo le porte per convertire gli errori coerenti in errori stocastici di Pauli, prevenendo distorsioni di fase sistemiche che potrebbero oscurare le collisioni strutturali dell'algoritmo.

3. Contributi Chiave

1. Prima Dimostrazione Pratica: Si tratta di un proof-of-concept riuscito che dimostra il recupero della chiave segreta per il cifrario Even-Mansour su hardware quantistico reale ($N=3$ e $N=4$).
2. Validazione della Mitigazione degli Errori: Il documento valida che la combinazione di Disaccoppiamento Dinamico e Twirling di Pauli permette all'algoritmo di Simon di funzionare efficacemente nonostante le profondità dei circuiti e il rumore intrinseci ai dispositivi NISQ.
3. Identificazione dei Colli di Bottiglia Classici: Lo studio evidenzia che il fattore limitante per la scalabilità di questi attacchi è attualmente il pre-processing classico (sintesi dei circuiti) piuttosto che l'hardware quantistico stesso. Lo strumento DORCIS ha fallito a $N=5$ a causa di vincoli di memoria.
4. Dati Empirici: Gli autori forniscono distribuzioni statistiche dettagliate dei risultati di misurazione, mostrando che i risultati sperimentali si allineano con le previsioni teoriche quando il rumore è tenuto in conto.

4. Risultati

• Caso a 3 bit ($N=3$):
  • Recupero riuscito della chiave segreta $k_1 = (0, 1, 0)$ e $k_2 = (1, 1, 0)$.
  • La profondità del circuito era di 23 (T-depth 3).
  • Dopo 5 esperimenti indipendenti (105 scatti ciascuno), la distribuzione di misurazione ha mostrato chiaramente un picco sui vettori ortogonali al periodo vero, permettendo il recupero riuscito della chiave tramite algebra lineare.
• Caso a 4 bit ($N=4$):
  • Recupero riuscito di $k_1 = (0, 1, 0, 1)$ e $k_2 = (1, 1, 0, 1)$.
  • La profondità del circuito è aumentata a 54 (T-depth 7).
  • Nonostante l'aumento della profondità e del rumore, la distribuzione dei risultati è rimasta sufficientemente distinta per risolvere il sistema di equazioni lineari per la chiave.
• Analisi degli Errori:
  • Gli autori hanno modellato il rumore come un canale depolarizzante. Hanno stimato un parametro di rumore $p \approx 0.434$ basato sui tassi di errore delle porte e sul conteggio totale degli impulsi.
  • I dati sperimentali corrispondevano alla distribuzione teorica rumorosa, confermando che le deviazioni erano dovute al rumore hardware piuttosto che a un fallimento algoritmico.
• Fallimento della Scalabilità: Lo strumento DORCIS non è riuscito a generare un circuito per $N=5$, indicando che gli attuali strumenti di sintesi classica non sono ancora scalabili per lunghezze di chiave maggiori.

5. Significato

• Validazione Teorica: I risultati confermano che l'accelerazione esponenziale teorica dell'algoritmo di Simon è raggiungibile nella pratica per i cifrari simmetrici, purché la lunghezza della chiave sia sufficientemente piccola per l'hardware attuale.
• Implicazioni per la Sicurezza: Rafforza la vulnerabilità di costruzioni simmetriche come Even-Mansour (e, per estensione, AES a 1 giro) agli attacchi quantistici se un oracolo di cifratura è accessibile in sovrapposizione.
• Collo di Bottiglia Hardware vs Software: Il documento sposta il focus della sfida dal "possiamo eseguire l'algoritmo quantistico?" al "possiamo sintetizzare il circuito?". Suggerisce che i progressi futuri nella crittanalisi quantistica dipendono fortemente dallo sviluppo di strumenti di sintesi classica più scalabili (potenzialmente utilizzando machine learning o euristiche) piuttosto che dall'attesa di qubit migliori.
• Vitalità NISQ: Dimostra che, con sofisticate mitigazioni degli errori e mappatura manuale dei qubit, algoritmi crittanalitici complessi possono produrre risultati corretti sull'hardware attuale e rumoroso.