Simon's Algorithm for the Even-Mansour Cipher on Quantum Hardware

Este artigo apresenta uma prova de conceito de criptanálise quântica do cifra de Even-Mansour usando o algoritmo de Simon em hardware NISQ, recuperando com sucesso chaves secretas para construções de 3 e 4 bits no processador ibm_miami, ao mesmo tempo que destaca gargalos de memória nas ferramentas atuais de otimização de circuitos para comprimentos de chave maiores.

O essencial

Imagine que você está tentando arrombar um cofre que usa uma fechadura muito específica e complicada. Este artigo trata de uma equipe de pesquisadores que tentou abrir essa fechadura usando um novo tipo de "super-ferramenta" chamada computador quântico. Eles não apenas adivinharam a combinação; usaram um truque matemático inteligente para encontrar o padrão escondido dentro da fechadura.

Aqui está a explicação do experimento deles em termos simples:

A Fechadura: O Cifrado Even-Mansour

Pense no cifrado Even-Mansour como um cofre simples, mas resistente. Ele funciona assim:

1. Você coloca uma mensagem (o texto claro) dentro do cofre.
2. Você a mistura com uma chave secreta (Chave 1).
3. Você a faz passar por uma máquina pública e caótica (uma permutação) que a embaralha.
4. Você a mistura novamente com uma segunda chave secreta (Chave 2).
5. O resultado é a mensagem trancada.

O objetivo dos atacantes (os pesquisadores) era descobrir quais eram essas duas chaves secretas.

A Super-Ferramenta: O Algoritmo de Simon

Normalmente, se você quisesse encontrar uma chave secreta, talvez tivesse que tentar bilhões de combinações uma por uma. Isso é como tentar cada chave individualmente em um grande chaveiro até que uma se encaixe.

Mas os pesquisadores usaram o Algoritmo de Simon. Imagine esse algoritmo como um detetive mágico que não procura a chave diretamente. Em vez disso, ele procura um ritmo escondido ou um padrão.

• Os pesquisadores configuraram um cenário especial onde a fechadura se comporta de maneira estranha: se você girar o mostrador uma certa quantidade (a chave secreta), a fechadura acaba na mesma posição exata que estaria se você não a tivesse girado.
• O Algoritmo de Simon é excelente em encontrar esses "ritmos escondidos" (períodos) muito mais rápido do que um computador normal conseguiria. É como ouvir uma música e saber instantaneamente o ritmo, enquanto um computador normal teria que contar cada batida individual do tambor.

O Experimento: Construindo a Fechadura em um Computador Quântico

Os pesquisadores queriam ver se esse detetive mágico realmente funcionaria em hardware físico real. Eles construíram uma versão minúscula da fechadura em um computador quântico chamado IBM Miami.

1. O Projeto (S-boxes): Para fazer a fechadura funcionar, eles precisavam de um "embaralhador" (chamado de S-box). Eles construíram esses embaralhadores usando lógica semelhante àquela usada no famoso padrão de criptografia AES, mas muito menor (para chaves de 3 bits e 4 bits).
2. O Problema de Tradução: Computadores quânticos falam uma linguagem diferente dos computadores comuns. Os pesquisadores tiveram que traduzir seus projetos clássicos de "embaralhador" para uma linguagem que o computador quântico pudesse entender. Eles usaram uma ferramenta chamada DORCIS para fazer essa tradução.
   • O Gargalo: Essa ferramenta funcionou muito bem para as fechaduras minúsculas de 3 bits e 4 bits. No entanto, quando tentaram traduzir uma fechadura ligeiramente maior de 5 bits, a ferramenta ficou sem memória. Era como tentar dobrar um mapa enorme em um bolso minúsculo; o papel simplesmente não cabia. Isso impediu que testassem chaves maiores.
3. O Ruído: Computadores quânticos são atualmente muito sensíveis, como uma casa de cartas em uma tempestade de vento. Para manter o experimento estável, os pesquisadores usaram técnicas especiais (como "Desacoplamento Dinâmico") para acalmar os qubits, semelhante a como você pode segurar uma câmera firme para tirar uma foto nítida no vento.

Os Resultados

Eles executaram o experimento em duas fechaduras pequenas: uma com uma chave de 3 bits e outra com uma chave de 4 bits.

• Sucesso: Em ambos os casos, o computador quântico encontrou com sucesso o ritmo escondido. A partir desse ritmo, os pesquisadores calcularam as chaves secretas.
• Reprodutibilidade: Eles executaram o teste cinco vezes para cada tamanho de fechadura, e funcionou todas as vezes.
• A Limitação: Como mencionado, eles não puderam testar uma fechadura de 5 bits porque a ferramenta de tradução (DORCIS) falhou devido aos limites de memória.

A Conclusão

O artigo conclui duas coisas principais:

1. Funciona (por enquanto): O Algoritmo de Simon é um método real e funcional para quebrar esse tipo específico de criptografia no hardware quântico atual, mas apenas para chaves muito pequenas. Isso prova que os computadores quânticos podem, teoricamente, encontrar esses padrões escondidos exponencialmente mais rápido do que os computadores clássicos.
2. As Ferramentas Precisam de Atualização: Embora o computador quântico tenha feito seu trabalho, o software usado para preparar os "projetos" para o computador quântico atingiu um limite. Para quebrar fechaduras maiores e mais realistas no futuro, precisamos de melhores ferramentas para traduzir esses projetos em circuitos quânticos sem ficar sem memória.

Em resumo: Eles provaram que o conceito funciona em pequena escala, mas a "equipe de construção" (as ferramentas de software) precisa ficar mais forte antes que possam construir os grandes arranha-céus.

Resumo técnico

1. Declaração do Problema

O artigo aborda a viabilidade prática de executar ataques de criptanálise quântica em cifras simétricas utilizando hardware quântico de escala intermediária ruidosa (NISQ) atual. Especificamente, visa a cifra Even-Mansour (EM), uma construção mínima de cifra de bloco baseada em uma permutação pública e duas chaves secretas.

Embora o quadro teórico para quebrar a cifra EM usando o Algoritmo de Simon seja bem estabelecido (oferecendo uma aceleração exponencial sobre ataques clássicos ao encontrar um período oculto), a implementação prática tem sido limitada. Os desafios centrais incluem:

• Restrições de Hardware: Dispositivos NISQ sofrem com ruído, decoerência e conectividade limitada de qubits, tornando difícil executar circuitos profundos (necessários para permutações complexas).
• Gargalos de Síntese de Circuitos: A conversão de permutações criptográficas clássicas (caixas-S) em circuitos quânticos reversíveis e otimizados é computacionalmente cara. Ferramentas existentes frequentemente falham ao escalar para maiores comprimentos de chave devido a restrições de memória.
• Implementação do Oráculo: O ataque requer a implementação da função de criptografia como um oráculo quântico, o que envolve sintetizar permutações não lineares em portas quânticas.

2. Metodologia

Os autores implementaram um ataque de prova de conceito no processador ibm_miami da IBM. A metodologia envolveu três etapas principais:

A. Construção Criptográfica

• Cifra: O esquema Even-Mansour $EM_{k_1, k_2}(x) = P(x \oplus k_1) \oplus k_2$, onde $P$ é uma permutação pública e $k_1, k_2$ são chaves secretas.
• Permutação ($P$): Para $N=3$ e $N=4$, os autores construíram mapas bijectivos inspirados na caixa-S do AES. Estes foram definidos como inversão no corpo finito $F_{2^N}$ seguida por uma transformação afim.
• Vetor de Ataque: O ataque define uma função $f(x) = EM(x) \oplus P(x)$. Esta função possui um período oculto $k_1$. O algoritmo de Simon é usado para encontrar $k_1$, após o qual $k_2$ é recuperado classicamente ou via uma consulta quântica simples.

B. Síntese de Circuito Quântico (DORCIS)

• Cadeia de Ferramentas: Os autores utilizaram a ferramenta DORCIS (Implementação Quântica Otimizada em Profundidade de Caixas de Substituição) para sintetizar as tabelas de permutação clássicas em circuitos quânticos reversíveis.
• Otimização: O DORCIS decompõe permutações em portas elementares (Pauli-X, Toffoli/CCNOT, SWAP) e minimiza a profundidade do circuito.
• Limite de Escala: A ferramenta gerou com sucesso circuitos para $N=3$ e $N=4$, mas falhou para $N=5$ devido a um gargalo de memória em um CPU de alto desempenho (3,9 TiB de RAM), impedindo a geração de circuitos para instâncias maiores.

C. Execução em Hardware e Mitigação de Erros

Para executar o ataque no processador ruidoso ibm_miami, a equipe empregou estratégias específicas de mitigação:

• Mapeamento de Qubits: Eles mapearam manualmente qubits lógicos para subgrafos específicos de qubits físicos ($[0, 1, 2, 12, 11, 10]$ para $N=3$ e $[0, 1, 2, 3, 13, 12, 11, 10]$ para $N=4$) para utilizar a topologia de rede e evitar sobrecarga de roteamento automático.
• Desacoplamento Dinâmico (DD): Aplica-se sequências simétricas de unitárias (por exemplo, pulsos X alternados) em qubits ociosos para suprimir ruído ambiental de baixa frequência e diafonia.
• Embaralhamento de Pauli: Pares de operadores de Pauli logicamente equivalentes foram inseridos aleatoriamente antes e depois das portas para converter erros coerentes em erros estocásticos de Pauli, prevenindo distorções de fase sistemáticas que poderiam obscurecer as colisões estruturais do algoritmo.

3. Principais Contribuições

1. Primeira Demonstração Prática: Trata-se de uma prova de conceito bem-sucedida demonstrando a recuperação de chave secreta para a cifra Even-Mansour em hardware quântico real ($N=3$ e $N=4$).
2. Validação de Mitigação de Erros: O artigo valida que a combinação de Desacoplamento Dinâmico e Embaralhamento de Pauli permite que o algoritmo de Simon funcione efetivamente, apesar das profundidades de circuito elevadas e do ruído inerente aos dispositivos NISQ.
3. Identificação de Gargalos Clássicos: O estudo destaca que o fator limitante para escalar esses ataques é atualmente o pré-processamento clássico (síntese de circuitos) e não o próprio hardware quântico. A ferramenta DORCIS falhou em $N=5$ devido a restrições de memória.
4. Dados Empíricos: Os autores fornecem distribuições estatísticas detalhadas dos resultados de medição, mostrando que os resultados experimentais alinham-se com previsões teóricas quando o ruído é considerado.

4. Resultados

• Caso de 3 bits ($N=3$):
  • Recuperação bem-sucedida da chave secreta $k_1 = (0, 1, 0)$ e $k_2 = (1, 1, 0)$.
  • A profundidade do circuito foi de 23 (profundidade T de 3).
  • Após 5 experimentos independentes (105 disparos cada), a distribuição de medição apresentou claramente um pico nos vetores ortogonais ao período verdadeiro, permitindo a recuperação bem-sucedida da chave via álgebra linear.
• Caso de 4 bits ($N=4$):
  • Recuperação bem-sucedida de $k_1 = (0, 1, 0, 1)$ e $k_2 = (1, 1, 0, 1)$.
  • A profundidade do circuito aumentou para 54 (profundidade T de 7).
  • Apesar do aumento da profundidade e do ruído, a distribuição de resultados permaneceu distinta o suficiente para resolver o sistema de equações lineares para a chave.
• Análise de Erros:
  • Os autores modelaram o ruído como um canal despolarizante. Estimaram um parâmetro de ruído $p \approx 0,434$ com base nas taxas de erro de porta e na contagem total de pulsos.
  • Os dados experimentais corresponderam à distribuição teórica ruidosa, confirmando que as desvios foram devidos ao ruído do hardware e não a falhas algorítmicas.
• Falha de Escala: A ferramenta DORCIS não conseguiu gerar um circuito para $N=5$, indicando que as ferramentas clássicas de síntese atuais ainda não são escaláveis para maiores comprimentos de chave.

5. Significado

• Validação Teórica: Os resultados confirmam que a aceleração exponencial teórica do algoritmo de Simon é alcançável na prática para cifras simétricas, desde que o comprimento da chave seja pequeno o suficiente para o hardware atual.
• Implicações de Segurança: Reforça a vulnerabilidade de construções simétricas como a Even-Mansour (e, por extensão, o AES de 1 rodada) a ataques quânticos se um oráculo de criptografia estiver acessível em superposição.
• Hardware vs. Gargalo de Software: O artigo desloca o foco do desafio de "podemos executar o algoritmo quântico?" para "podemos sintetizar o circuito?". Sugere que o progresso futuro na criptanálise quântica depende fortemente do desenvolvimento de ferramentas de síntese clássica mais escaláveis (potencialmente usando aprendizado de máquina ou heurísticas) e não apenas da espera por melhores qubits.
• Viabilidade NISQ: Demonstra que, com mitigação de erros sofisticada e mapeamento manual de qubits, algoritmos criptanalíticos complexos podem produzir resultados corretos no hardware ruidoso atual.