La cryptographie a-t-elle un coût thermodynamique inhérent?

19

L'informatique réversible est un modèle informatique qui ne permet que des opérations thermodynamiquement réversibles. Selon le principe de Landauer, qui stipule que l'effacement d'un peu d'informations libère joules de chaleur, cela exclut les fonctions de transition qui ne sont pas un à un (par exemple, les opérateurs booléens ET et OU). Il est bien connu que le calcul quantique est intrinsèquement réversible car les opérations autorisées dans le calcul quantique sont représentées par des matrices unitaires.kTln(2)

Cette question concerne la cryptographie. Officieusement, la notion de "réversibilité" semble anathème aux objectifs fondamentaux de la cryptographie, suggérant ainsi la question: "La cryptographie a-t-elle un coût thermodynamique inhérent?"

Je pense que la question est différente de celle de "Tout peut-il être fait quantique?"

Dans ses notes de cours , le Dr Preskill déclare: «Il existe une stratégie générale pour simuler un calcul irréversible sur un ordinateur réversible. Chaque porte irréversible peut être simulée par une porte Toffoli en fixant les entrées et en ignorant les sorties. Nous accumulons et économisons toutes les ordures "bits de sortie nécessaires pour inverser les étapes du calcul."

Cela suggère que ces simulations quantiques réversibles d'opérations irréversibles prennent une entrée ainsi que de l'espace "scratch". Ensuite, l'opération génère une sortie avec des bits de travail "sales". Les opérations sont toutes réversibles par rapport à la sortie plus les bits d'ordures, mais à un moment donné, les bits d'ordures sont "jetés" et ne sont pas examinés plus avant.

Étant donné que la cryptographie dépend de l'existence de fonctions unidirectionnelles de trappe, une autre question pourrait être: «Existe-t-il des fonctions unidirectionnelles de trappe qui peuvent être implémentées en utilisant uniquement des opérations logiques réversibles, sans espace de travail supplémentaire? Dans l'affirmative, est-il également possible de CALCULER une fonction unidirectionnelle de trappe arbitraire en utilisant uniquement des opérations réversibles (et pas d'espace de travail)?

cr.crypto-security  quantum-computing  big-picture  physics  quantum-information 
rphv
source
2
une question intéressante.
Suresh Venkat
4
Vraisemblablement, cette question ne s'applique qu'à la cryptographie à clé publique. Les cryptosystèmes symétriques (tels que DES) ne peuvent-ils pas être entièrement réversibles?
Peter Shor,
1
Merde, j'ai écrit ce dernier commentaire trop tard dans la nuit et en ai fait un gâchis. Ce que j'aurais dû dire, c'est que le coût thermodynamique est indépendant de la taille de l'espace de travail pour les systèmes à clé publique et privée, car vous pouvez simplement effectuer le calcul réversible, en copiant les bits de sortie (mais pas l'espace de travail) vers une ancilla inscrivez-vous, puis inversez le calcul d'origine (tout décompresser dans l'espace de travail).
Joe Fitzsimons

Réponses:

14

Comme je l'ai mentionné dans mon commentaire ci-dessus, et comme vous y faites allusion dans la question, chaque calcul peut être rendu réversible, et en conservant simplement les bits supplémentaires, il n'y a pas de coût thermodynamique inhérent.

Chaque circuit généré en utilisant des portes et des ancillas Toffoli pour remplacer des portes irréversibles devient aussi efficace à inverser qu'il l'est à calculer en supposant que vous avez accès à tous les bits de sortie. Ce n'est clairement pas le cas pour les fonctions considérées en cryptographie, car de nombreuses ancillaires sont utilisées et rejetées. C'est en gardant secret ces bits supplémentaires qui rend le calcul difficile à inverser.

Cependant, en calculant la fonction de façon réversible, en faisant une copie du sous-ensemble de bits correspondant à la sortie, puis en inversant la fonction, le coût énergétique total pour le calcul et l'inversion de la fonction sera nul, tandis que le seul coût encouru sera de faire le copie des bits de sortie, qui dépend uniquement du nombre de bits de sortie et non de la fonction en cours de calcul. C'est clairement le mieux que vous puissiez faire, car cela coûte la même énergie que d'écrire simplement la chaîne de sortie dans un registre vide.

Passons à votre question reformulée:

"Existe-t-il des fonctions unidirectionnelles de trappe qui peuvent être implémentées en utilisant uniquement des opérations logiques réversibles, sans espace de travail supplémentaire?"

La réponse est trivialement non. Si vous appliquez l'inverse de chaque porte dans l'ordre inverse, vous calculez l'inverse de la fonction. En supposant un modèle où les portes agissent sur un nombre fixe de qubits à la fois, alors l'inverse de chaque porte réversible élémentaire peut être appliqué en temps constant. Par conséquent, une telle fonction est aussi facile à inverser qu'à calculer (jusqu'à une constante multiplicative), et n'est donc pas une fonction de trappe.

Joe Fitzsimons
source
1
ff
4
f
@mikero: vous avez besoin d'énergie pour initialiser tous les bits ancilla à un état initial connu, mais comme à la fin du calcul, tous les bits ancilla sont revenus au même état initial connu, vous pouvez récupérer cette énergie.
Antonio Valerio Miceli-Barone
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.