A compact QUBO encoding of computational logic formulae demonstrated on cryptography constructions

该论文提出了一种通过求解布尔逻辑公式整数系数来最小化二次无约束二值优化（QUBO）编码的新方法，在 AES、MD5 和 SHA 等密码算法构建中实现了变量数量显著减少（如 AES-256 减少超过 8 倍）且保持矩阵稀疏，从而大幅提升了这些算法在未来量子退火器上的潜在脆弱性。

要点

这篇文章介绍了一项关于如何让超级计算机（特别是未来的量子计算机）更容易破解密码的研究。听起来有点反直觉？别担心，这项研究的初衷其实是为了测试密码系统有多坚固，并展示如何更高效地用一种特殊的数学语言（QUBO）来描述复杂的逻辑问题。

我们可以把这篇论文的核心内容想象成**“给复杂的迷宫画一张极简地图”**。

1. 核心挑战：迷宫太复杂了

想象一下，现代密码（如 AES、SHA）就像是一个超级复杂的迷宫。

• 传统方法：以前，如果你想把这个迷宫画成一张给计算机看的“逻辑地图”（在论文中称为 QUBO 编码），你需要画成千上万条线，甚至需要画很多个“中转站”（辅助变量）来连接各个路口。这导致地图变得巨大无比，连最强大的计算机都跑不动，或者需要花费极长的时间。
• 问题所在：地图太乱、太大，导致计算机还没找到出口（破解密码），内存就爆了，或者算到地老天荒。

2. 作者的解决方案：发明“超级压缩术”

这篇论文的作者（来自匈牙利和美国的团队）发明了一种新的**“逻辑压缩术”**。他们发现，对于某些特定的逻辑结构（比如“与”、“或”、“异或”门），不需要画那么多中转站。

• 比喻：从“快递中转站”到“直达专线”
  • 旧方法：就像送快递，每经过一个路口都要建立一个中转站（引入新的变量），导致中转站数量爆炸。
  • 新方法：作者发现，通过一种巧妙的数学技巧（论文中称为“根挤压定理”和“范围编码定理”），他们可以把多个中转站合并，或者直接用一条“直达专线”来表示。
  • 效果：原本需要 100 个中转站才能描述的路径，现在只需要 10 个甚至更少。

3. 具体成果：给密码“瘦身”

作者用这套新方法，重新绘制了世界上最著名的几种密码算法的“逻辑地图”：

• AES（银行和军事常用的加密标准）
• MD5, SHA-1, SHA-256（用于验证数据完整性的哈希算法）

惊人的数据对比：

• 以前，描述 AES-256（一种非常强的加密）的地图，需要大约 25 万个 逻辑变量（中转站）。
• 用作者的新方法，只需要 3 万个 变量。
• 瘦身比例：减少了 8 倍 以上！就像把一座摩天大楼压缩成了一个集装箱，但里面的房间结构（逻辑关系）完全没变。

4. 这意味着什么？（双刃剑）

对密码学的影响：

• 好消息：这证明了我们的密码系统其实比想象中更脆弱。以前我们认为量子计算机要等很久才能破解 AES，但现在，如果未来的量子计算机（量子退火器）能处理 3 万个变量，那么 AES-256 可能就不再安全了。
• 坏消息：这迫使我们要开发更强大的新密码，或者担心现有的密码会被未来的技术轻易攻破。

对量子计算的影响：

• 现在的量子计算机资源很有限（就像只有 3 万块积木）。以前，因为地图太大，根本放不下。现在，地图被“瘦身”了，现有的或近期的量子计算机就有机会去尝试破解这些密码了。这就像把一辆大卡车装进了一辆小轿车里，虽然挤，但能开动了。

5. 总结：我们在做什么？

作者并不是在教人如何破解密码去干坏事，而是在做“压力测试”。

• 他们就像是在说：“看，如果我们用更聪明的方法画地图，原本需要 100 年才能跑完的迷宫，现在可能只需要 10 年，甚至更短。”
• 这项研究展示了如何用更少的“积木”（变量）搭建出更复杂的逻辑结构，这不仅对破解密码有用，对解决其他复杂的优化问题（如物流调度、药物研发）也有巨大的帮助。

一句话总结：
作者发明了一种**“逻辑压缩魔法”**，把原本庞大无比的密码逻辑图压缩了 8 倍，让未来的量子计算机更容易“看穿”现有的密码系统，从而提醒我们：该升级密码了！

技术摘要

这是一份关于论文《A compact QUBO encoding of computational logic formulae demonstrated on cryptography constructions》（基于密码学构造的紧凑 QUBO 编码逻辑公式）的详细技术总结。

1. 研究背景与问题 (Problem)

• 核心挑战：二次无约束二值优化（QUBO）是量子退火机（Quantum Annealers）解决组合优化问题的关键形式。然而，将复杂的逻辑公式（如 SAT 问题）转换为 QUBO 形式时，通常会产生大量的辅助变量（substitution/ancillary variables）和巨大的系数，导致问题规模超出当前量子硬件的承载能力。
• 具体痛点：
  • 现有的编码方法（如 Tseitin 变换）在将 SAT 转换为 QUBO 时，往往引入过多的变量。
  • 对于密码学算法（如 AES、SHA、MD5），其逻辑电路极其复杂，现有的 QUBO 编码规模过大，难以在现有的量子退火器（通常支持约 3 万个逻辑变量）上运行。
  • 系数幅值过大可能导致数值精度问题，影响硬件求解的准确性。
• 目标：开发一种紧凑的 QUBO 编码策略，显著减少逻辑变量数量，同时保持矩阵稀疏性和低系数幅值，以评估密码算法在未来量子计算机上的脆弱性。

2. 方法论 (Methodology)

论文提出了一种基于**整数线性规划（ILP）**的自动化编码模式发现方法，并结合了特定的数学定理来优化编码。

2.1 基于 ILP 的编码模式发现

• 核心思想：不直接求解 SAT 问题，而是寻找可复用的“编码模式”。通过求解一个辅助的 ILP 问题，找到一组最优的二次函数系数，使得该函数在满足特定逻辑约束（最小项）时取值为 0，否则大于 0。
• 变量分类：将替换变量分为三类：
  • 预约束（Pre-constrained）：约束已编码，可复用。
  • 强（Strong）：错误替换值总是导致更高的能量值，确保唯一性。
  • 弱（Weak）：允许存在多个最小值，但在特定上下文中可复用。
• 对称性破缺：利用对称性破缺技术减少搜索空间，提高 ILP 求解效率。

2.2 针对特定逻辑形式的优化策略

作者推导并证明了针对几种标准逻辑形式的紧凑编码公式：

1. 奇偶校验（XOR/ANF）：

   • 利用平方项 $(\sum x_i - T)^2$，其中 $T$ 为奇数。
   • 提出了一种“松弛二进制展开”（Relaxed Binary Expansion）方法，用更少的变量覆盖所需的整数范围，从而减少替换变量数量。

2. 范围约束（OR/DNF）：

   • 根挤压定理（Root Squeezing Theorem）：这是本文的核心理论贡献。通过构造两个线性函数 $g(X)$ 和 $h(X)$，使其根的距离 $|q_0 - q_1| \le 1$，则乘积 $g(X)h(X) \ge 0$ 且仅在根处为 0。
   • 应用：利用该定理，可以将多输入 OR 门或人口计数（Popcount）约束的替换变量数量减少 1 位（即减少一个 QUBO 变量）。公式形式为 $(\sum x_i - f_1(s)) \cdot (\sum x_i - f_2(s))$。

3. CNF/DNF/ANF 的通用编码：

   • 对于高阶项，引入替换变量 $r$ 表示子句结果。
   • 利用强等价关系将多输入逻辑门（AND, OR, XOR）分解为上述优化的基本模块进行组合。

2.3 密码学应用中的特殊处理

• 逻辑标记（Logic Markers）：在将电路转换为 QUBO 之前，识别并标记多输入逻辑门，直接应用优化的编码公式，避免不必要的逻辑最小化过程。
• 分块加法（Block-wise Addition）：针对 MD5/SHA 中的模加法，采用分块策略（Block size $B$），通过进位变量连接各块，平衡变量数量与系数幅值。

3. 主要贡献 (Key Contributions)

1. 理论突破：提出了根挤压定理和范围编码定理，证明了通过特定的乘积形式，可以将范围约束的辅助变量数量减少到理论下限（$\lceil \log_2(H-L+1) \rceil - 1$）。
2. 通用编码框架：建立了一套基于 ILP 的自动化框架，能够针对 CNF、DNF、ANF 等不同形式的 SAT 公式生成最优或接近最优的 QUBO 编码模式。
3. 密码学基准测试：首次对主流密码算法（AES-128/192/256, MD5, SHA-1, SHA-256）进行了大规模的紧凑 QUBO 编码，并公开了相关数据。
4. S-Box 优化：针对 AES 的 S-Box（有限域 $GF(2^8)$ 上的乘法逆元），通过分解为 $GF(2^4)$ 和 $GF(2^2)$ 的运算，并利用 ILP 寻找最优布尔电路，显著减少了 AND 门和替换变量的数量。

4. 实验结果 (Results)

论文在多个密码学构造上取得了显著的压缩效果（相比之前发表的最佳结果）：

算法	优化后变量数	相比之前最佳结果的压缩率	备注
AES-256	29,330	减少约 8 倍 (仅占之前结果的 12%)	之前结果约为 250,000 变量
AES-128	21,294	减少约 4 倍 (占之前结果的 24%)
MD5	10,272	显著减少 (之前约 17,280)	使用 $B=6$ 分块策略
SHA-256	30,255	减少约 36% (之前约 47,808)	使用 $B=6$ 分块策略

• 稀疏性：生成的 QUBO 矩阵非常稀疏（密度在 0.04% 到 0.52% 之间），有利于在连接受限的量子硬件（如量子退火器）上进行嵌入。
• 系数控制：通过调整分块大小（$B$），可以在变量数量和系数幅值之间取得平衡。例如，SHA-256 在 $B=1$ 时系数极小（最大 55），但变量数增加；$B=6$ 时变量数减少，但系数增大。

5. 意义与影响 (Significance)

1. 量子安全评估：

   • 该研究将 AES-256 的 QUBO 规模压缩至约 3 万个变量。虽然这仍然超过了当前量子退火器的能力（通常支持~5000-10000 逻辑变量，物理 qubit 更多），但表明随着硬件发展到支持 3 万个逻辑变量的规模，AES-256 可能面临被量子退火机破解的风险。
   • 这为评估后量子密码学（PQC）的紧迫性提供了量化的基准。

2. 方法论的普适性：

   • 提出的编码策略不仅适用于密码学，还可推广到任何涉及组合优化的 NP-hard 问题（如调度、覆盖问题等）。
   • 证明了通过数学定理（如根挤压）结合 ILP 搜索，可以系统性地优化 QUBO 编码，而非依赖启发式试错。

3. 硬件适配性：

   • 生成的 QUBO 实例具有高稀疏性和可控的系数范围，非常适合映射到当前的量子退火硬件（如 D-Wave 系统）或未来的光量子/超导量子处理器。

4. 未来方向：

   • 论文指出，寻找更高效的 ILP 方法来处理更大规模的布尔函数（如 6 变量以上的乘法复杂度优化）仍是挑战。
   • 未来的工作将集中在改进 ILP 求解器以处理更复杂的函数分解，并进一步降低系数幅值以适应硬件精度限制。

总结：该论文通过理论创新（根挤压定理）和工程优化（ILP 模式发现、分块加法），成功将复杂密码算法的 QUBO 编码规模压缩了数倍，极大地推进了量子计算在密码分析领域的实际应用潜力，并警示了现有加密标准在未来量子硬件面前的潜在脆弱性。