11.04 // Моя поездка в D-Wave: по ту сторону мясного сэндвича

На последней неделе я был в Ванкувере в связи с выступлением перед Университетом Британской Колумбии и перед ежегодным собранием Американской Ассоциации Содействия Развитию Науки. В рамках этой поездки в пятницу вечером мне, Джону Прескиллу, Джону Мартинису и Майклу Фридману любезно предложили съездить в штаб-квартиру D-Wave Systems в Burnaby (пригород Ванкувера). Мы начали поездку с конференцзала, где организаторы предложили нам печенье и газированную воду. У меня, как взрослого человека, пролетела в голове случайная мысль, что печенье может быть отравлено.

Затем мы сходили в лаборатории D-Wave: посмотрели под микроскопом на сверхпроводящие чипы; на системы охлаждения, использующиеся для охлаждения чипов до 20ти милликельвин. Мы действительно заходили внутрь гиганстких чёрных кубов, приготовленных D-Wave'ом на продажу, которые напоминали нам эпоху мейнфреймов (эти машины настолько велики частично из-за необходимости иметь системы охлаждения и частично — чтобы исправлять неполадки, позволяя инженерам заходить внутрь). Позже главный инженер D-Wave, Geordie Rose, выступил перед нами с двухчасовым докладом о самых последних экспериментальных результатах D-Wave, после чего мы все ушли на обед. Сотрудники D-Wave были очень гостеприимны с нами и не задумываясь отвечали на все наши вопросы.

Несмотря на моё, имевшее место почти год назад, заявление, что я увольняюсь с поста главного скептика D-Wave, я подумал, что было бы уместным рассказать читателям блога «Shtetl-Optimized» («Местечково-оптимизированное» (евр. рас.) — прим. пер.) о том, что нового я узнал из этой поездки. Я начну с трёх обоснованных утверждений, прежде чем перейти к более общим выводам.

• Утверждение 1: Сейчас D-Wave имеет 128-(ку)битную машину, которая может давать приближённые решения для конкретных NP-сложных минимизационных задач, а именно, для задачи минимизации энергии 90-100 спинов в модели Изинга с попарными взаимодействиями вдоль некоторого фиксированного графа (где машинный вход есть настраиваемые степени сопротивления взаимодействиям). Соответственно, настоящим сообщением я опровергаю свой печально известный комментарий от 2007го года о том, что 16ти-битная машина, которую D-Wave использовала для демонстрации решения судоку, не более вычислительно полезна, чем мясной сэндвич. К настоящему моменту D-Wave действительно сделала нечто, что более вычислительно полезно, чем мясной сэндвич; просто вопрос в том, является ли это «нечто» более полезно, чем ваш лаптоп. Geordie показал нам графики с D-Wave'овским квантовым отжигом, решающим свою задачу спинов Изинга «быстрее» чем классическим методом имитации отжига или методом поиска с запретами (слово «быстрее» здесь подразумевает пренебрежение временем на охлаждение отжигателя, что мне кажется правильным). К сожалению, данные не увеличивались до больших размеров на входе, в то время как те, которые-таки увеличивались, сравнивались скорее с полностью классическими алгоритмами, чем в эвристическими. (Конечно, здесь выносятся за рамки большие трудности, которые вероятно возникли бы при практическом применении D-Wave, начиная со сведения задач практической оптимизации к конкретной D-Wave'овской задаче на спины Изинга.) В итоге, хотя наблюдаемое ускорение вычислений и представляется определённо интересным, остаётся неясным, что с ним делать и, особенно, играет ли здесь роль квантовая когерентность.

• Это подводит меня к утверждению 2. Как я повторял здесь втечение нескольких лет (и это остаётся в силе), у нас нет реального доказательства того, что квантовая когерентность действительно играет роль в наблюдаемом ускорении вычислений, а также того, что запутанность между кубитами системы когда-либо действительно имела место. (Заметьте следующее: если допустить, что запутанности нет, существенность квантовой когерентности для ускорения вычислений становится совершенно неправдоподобной. Хотя пока что и не известно об эффективной симуляции на классических компьютерах тех квантовых, которые работают только с сепарабельными смешанными состояниями, мы совсем не знаем каких-либо примеров, где такие компьютеры позволяют ускорять вычисления.) Как отмечалось в этом блоге в прошлом году, D-Wave опубликовала прекрасную статью в Nature, где рассказывалось о квантовом туннелировании в 8ми-кубитной системе. Однако, когда я спросил об этом Мохаммада Амина, учёного из D-Wave, он ответил, что не думает, что эксперимент предоставил какие-либо доказательства существования запутанности между кубитами.
  
  «Убедительным» способом продемонстрировать наличие запутанности между кубитами была бы демонстрация нарушения неравенства Белла. (Мы знаем, что это может быть сделано со сверхпроводящими кубитами, как было показано группой Schoelkopf'а в Йеле [а также другими коллективами] пару лет назад.) Кроме того, «убедительный» способ показать роль квантовой когерентности в возможном ускорении вычислений состоял бы в постепенном «уменьшении» когерентности в системе (например, путём добавления взаимодействия, которое бы постоянно измеряло кубиты в вычислительном базисе) и параллельной проверке того, что производительность отжигателя уменьшается до уровня, соответствующего классической имитации отжига. К сожалению, как сказали нам сотрудники D-Wave, никакой из подобных экспериментов не представляется возможным в их текущей установке — в основном потому, что у них нет возможности осуществлять произвольные локальные унитарные преобразования и измерения. Они сообщили, что хотят в будущем попытаться продемонстрировать наличие двухкубитной запутанности, а пока готовы услышать предложения по поводу других идей, как показать роль квантовости в возможном ускорении вычислений в их существуюшей установке.

• Утверждение 3: D-Wave в итоге смогло прояснить концептуальный момент, который смущал меня втечение лет. Я (и, возможно, многие другие!) полагали, будто бы D-Wave утверждает, что их кубиты декогерируют практически моментально (в частности, в таком случае запутанность практически точно никогда не имела бы места в процессе вычислений). Однако, как оказалось, D-Wave считает, что отсутствие запутанности не играет роли из-за какой-то сложной причины, связанной с энергетическими щелями (gap — прим. пер.). Я был далеко не единственным, кто считал такое утверждение невероятным: как было упомянуто выше, нет никакого доказательства того, что квантовый компьютер без запутанности может решать какую-либо проблему асимптотически быстрее, чем классический. Однако, это не то, что утверждает D-Wave: они думают, что их система декогерирует практически моментально в собственном энергетическом базисе, но она не декогерирует в вычислительном базисе, а поэтому, в частности, в последнем могла бы быть запутанность на промежуточных стадиях. Если так, то это было бы совершенно прекрасно — адиабатический алгоритм, который в любом случае не требует когерентности в собственном энергетическом базисе (в конечном счёте, общее утверждение состоит в том, что в процессе вычисления вы хотите находиться настолько близко к основному состоянию системы, насколько это возможно!). Я понимаю, что некоторые физики, знающие механизмы декогерентности, настроены чрезвычайно скептично по поводу возможности иметь быструю декогеренцию в энергетическом базисе без сопутствующей декогерентности в вычислительном базисе. Соответственно, теперь это, конечно, обязанность D-Wave — показать, что они поддерживают когерентность там, «где она нужна», но, по крайней мере, сейчас я понимаю, что они утверждают, и как это могло бы быть совместимым (если это вообще верно) с квантовым ускорением вычислений.

Давайте теперь перейдём к трём более широким вопросам, поднятым вышеcказанными утверждениями.

• Первый вопрос следующий: вместо того, чтобы добавлять всё больше кубитов и публиковать всё более тяжело оцениваемые рекламные заявления, оставляя при этом научную оценку своих приборов в состоянии неизвестности, почему бы D-Wave'у просто не сконцентрировать свои усилия на том, чтобы продемнстрировать запутанность, или другим способом получить более убедительное доказательство роли квантовости в наблюдаемом ускорении вычислений? Когда я спросил об этом Мохаммада Амина, он сказал, что если бы компания D-Wave последовала моему предложению, она бы опубликовала некоторые интересные исследовательские статьи и затем покинула бизес: при получении денег давление всегда оказывается в сторону всё большего числа кубит и всё более громких анонсов, а не в сторону более ясного понимания экспериментального оборудования D-Wave. Итак, дайте мне попытаться донести мысль до боссов мира: одиночный кубит, который вы понимаете, лучше, чем тысяча кубитов, поведение которых вы не понимаете. Существует причина, по которой академические группы, занимающиеся квантовыми вычислениями, концентрируются на задавливании декогеренции и демонстрировании запутанности для 2ух, 3ёх или 4ёх кубит: потому, что это путь, при котором вы знаете, что кубиты есть действительно кубиты! Как только вы показали, что основание считать кубиты настоящими твёрдое, вы можете пытаться масштабироваться вверх. Поэтому, пожалуйста, поддержите D-Wave, если они хотят потратить деньги на то, чтобы продемонстрировать нарушения неравенства Белла или другие явные доказательства того, что их кубиты работают вместе когерентно. Добро пожаловать, D-Wave!

• Второй вопрос касается того, что я уже много раз встречал в блогосфере: кто будет беспокоиться как работает система D-Wave'а, и используется ли там квантовая когерентность, если эта система решает практические задачи быстрее? Действительно, может быть, то, что строит D-Wave, есть, на самом деле, серия интересных, полезных, но всё же по существу «классических» приборов для отжига. Возможно, слово «квантовый» здесь работает как топор в каше из топора: привлечение денег, интереса и талантливых людей для построения чего-то такого, что хотя и изящно, но, в конечном итоге, слабо зависит от квантовой механики вообще. Если D-Wave'овский (буквально!) чёрный ящик решает проблемные задачи за такое-то и такое-то количество времени, какое нам дело до того, что там внутри?
  
  Чтобы увидеть всю непосредственность этого вопроса, давайте рассмотрим простой мысленный эксперимент: допустим, D-Wave бы продавала классический, для специальных целей, стоимостью 10 миллионов долларов компьютер, сконструированный, чтобы осуществлять алгоритм имитации отжига для задач 90-битных изинговых спинов с некоторой фиксированной топологией, и при этом несколько лучший, чем уже существующие компьютерные кластеры. Получила ли бы D-Wave в таком случае хотя бы 5% от той публичной известности и того интереса, которые она испытывает к себе сейчас? Я думаю, что сама бы D-Wave была бы первой, кто ответил бы «нет». Действительно, Geordie Rose явно указывал во время своего доклада на захватывающую природу, стоящую за (как он сказал) «историей квантовых вычислений», и как она стала ключом к привлечению инвестиций. Причина беспокойства людей об этих вещах возникает не из-за того, что они хотят найти основные состояния спиновых систем в модели Изинга немного быстрее, но из-за того, что они хотят знать: достигла ли, в конечном счёте, человеческая раса новой формы вычислений или же нет. Так что то, как преподнести прибор, важно (мат вырезан цензурой — прим. пер.)! Я горжусь тем, что готов менять своё мнение практически обо всём при открытии новых фактов (как я это на самом деле сделал по поводу D-Wave), но моя уверенность в том, что чёрные ящики должны быть открыты, а объяснения предоставлены, есть нечто, что я отнесу в могилу.

• Наконец, ввиду скептического, но позитивного тона этого поста некоторые люди удивятся: сожалею ли я о моём раннем, более явном скептицизме по поводу D-Wave? Ответ — нет! Задавать вопросы — моя работа. Я поверю D-Wave'у сразу же, как только они ответят на мои вопросы (подобно тому, как это было в обсуждаемой поездке), когда бы это ни случилось, и изменю своё мнение соответственно, но я также не перестану ни спрашивать, ни извиняться за спрашивание до тех пор, пока доказательство квантового ускорения вычислений не станет ясным и бесспорным (чего ещё, конечно же, не прозошло). С другой стороны, я действительно сожалею о кидании гадостями, что возникло как итоговый результат моих и чужих скептических утверждений, утверждений D-Wave'а и людей, его поддерживающих, а также состязательной природы блогосферы. Первый раз я чувствую себя действительно искренне надеющимся всем моим сердцем, что компании D-Wave удастся доказать, что она может делать некоторый (не необходимо универсальный) вид масштабируемых квантовых вычислений. Такой успех доказал бы миру, что мои $100,000 в безопасности, и решительно бы опроверг скептиков квантовых вычислений, которые в своей критике сейчас порой заходят даже дальше, чем слепые сторонники D-Wave.

Источник: запись в блоге Скотта Ааронсона от 21го февраля 2012г.
Примечание переводичка: авторский способ выделения текста (наклонный шрифт, цвет и жирность) по возможности сохранён, собственные пояснения выделены серым цветом.

На страницу: 1, 2, 3, 4, 5, 6 След.

Комментарии [скрыть комментарии/форму]

—	Гость (22/06/2014 13:35)   <#>

> По BS должен был быть семинар на этой неделе, но его перенесли на неопределённое время позже. Ориентировочно ожидается короткий доклад

В итоге реализовалось в виде доклада в рамках DIQIP/QAlgo'14, слайды тут. Про крипто там ничего нету, и что-то концептуально новое добавить к уже сказанному выше не могу. По крайней мере, не похоже, что вопрос полезности BS для криптографии сейчас кем-то серьёзно обсуждался; видимо, ещё далеко до этого. Плюс всё определяется интересами тех, кто работает над темой. У нас связями с традиционным крипто не интересуется никто. Иногда какие-то связи упоминаются в качестве общих фактов «зачем и где это может быть нужно», но не более того. Публика, работающая с DI и прочим QKD, всё же далека от традиционной криптографии, у них там свои задачи: нелокальность и прочее.

Здесь есть слайды с других докладов, в т.ч. и по теме крипто. Из того, что запомнилось/удивило:

1. Неравенства Белла пошли в массы, уже на гитхабе (тут есть небольшое пояснение). «Периодическая таблица неравенств Белла» удивила.

2. Много говорили про аэромеханику. Это не про наноистребетили нового поколения, а про то, что ряд сложных задач по газодинамике, оказывается, мог бы успешно решаться на КК. Можно развивать соответствующие методы и направления:
   
   

   QuantumAerospaceNow, an EU proposal on quantum algorithms for aerospace
   
   The recent advances in quantum computers and quantum algorithms prompt the question which real-life applications will benefit from quantum computers. In this talk, we will present our EU proposal on quantum algorithms for aerospace. We will explain why we think aerospace is a relevant application domain for quantum computing. We will describe the proposed project and its objectives. We will finish with a description of existing algorithms and challenges in both computational fluid dynamics and computational electromagnetics.

   
   Хотят поднять инициативу на уровне европроектов, договориться с представителями отрасли и т.д. Слайды были, в общем-то, интересными, но на сайт не выложили. Будет время — скомпилирую из отснятого.

3. Пожилые «гранды» все одинаковы. Впервые увидел Йожа, известного этой классикой. По происхождению он то ли поляк, то ли чех, уже забыл. Слайды, как и положено, выглядят вот так.

4. «АНБ как Ева» остаётся трендом (стр. 26). По ссылке — тема связи между классикой и квантами, она интересная, слайды тоже хорошо сделаны, но я в самом начале доклада недопонял определения, поэтому дальше всё пошло мимо ушей. ☹

5. На тему «weak coin flipping» тоже были слайды с объяснением. На стр. 8 интересные подробности (ниже вольный перевод):
   
   

   В статье Mochon'а 2007'ого года есть доказательство существования протокола, но нет никакого простого его описания, сама статья — 80 страниц, длинная и технически сложная, она даже не проходила peer review; спустя 4 года доказательство всё-таки проверили и убедились в его правильности, немного упростили доказательство (теперь 40 страниц, а не 80), понимание доказательства теперь есть, но лишь чуть-чуть, никакого простого протокола не известно до сих пор; это только начало.

—	unknown (22/06/2014 22:12)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

Всегда спасибо за заметки по мероприятиям. Может найду время что-то разобрать из интересного и прокоментировать.

Пока повеселили слайды Йожа. Ну точно, гранды все одинаковы. Раньше я такой стиль слайдов называл шамировским.

—	Гость (23/06/2014 08:55)   <#>

Гранды тоже эволюционируют. Например, Винтер на QIP'14 уже принёс красивые машинно-деланные слайды. Другой любитель прозрачек, написанных от руки, тоже теперь нормальные слайды показывает. На самом деле, полная жесть — это когда выходят большие люди, но без слайдов, и всё рассказывают, на лету рисуя мелом на доске. :) Лично я такого на крупных конференциях не видел, но мне рассказывали.

Сейчас вспоминаю, что свой первый доклад, в 2004-ом году, я делал с машиннонапечатанными прозрачками. Большинство других тогда делали вроде так же. И я не уверен, что опция подсоединить нормальный компьютерный проектор тогда конкретно у нас вообще была.

—	Гость (27/07/2014 05:52)   <#>

>> Выезд — ещё более-менее понятно (пусть и не в наш век тотальных коммуникаций), но въезд? В чём логика такой политики? Опасение, что местные специалисты им что-нибудь такое специальное расскажут?

> Именно. Борьба с промышленным шпионажем. Местные подскажут или проболтаются, приезжие подсмотрят и разберуться даже по обрывочной информации.

Ааронсон недавно разрыл тему и обнаружил, что всему виной «Technology Alert List (TAL)»:

J. INFORMATION SECURITY: Technologies associated with cryptography and cryptographic systems to ensure secrecy for communications, video, data and related software. // Стр. 4

> У сотрудников посольств есть тригер на слово "квантовый"

Там же:

H. ADVANCED COMPUTER/MICROELECTRONIC TECHNOLOGY: Advanced computers and software play a useful (but not necessarily critical) role in the development and deployment of missiles and missile systems, and in the development and production of nuclear weapons. Advanced computer capabilities are also used in over-the-horizon targeting, airborne early warning targeting, Electronic Countermeasures (ECM) processors. These technologies are associated with:

• ...
• Quantum wells, resonant tunneling

—	Гость (27/07/2014 06:07)   <#>

> Technology Alert List (TAL)

За теми, кто использует 3D-моделирование, следят особо:

O. URBAN PLANNING: ...

✗ ...
✗ Urban design

—	SATtva (28/07/2014 14:08)   профиль/связь   <#> комментариев: 11558   документов: 1036   редакций: 4118

Возьмут ещё, смоделят и напечатают на 3D-принтере 3D-бомбу.

—	Гость (01/08/2014 02:04)   <#>

In many lab outside of the US, we are told not to be to verbose about the type of conferences we are going to attend in the US. Words such as "security", "cryptography", "side-channel attacks", "fault injection attacks", etc. must be banned from the application. Instead we just say that we are going to a "computer science conference" or "information processing conference" for instance.

when I was a grad student, we regularly removed foreign students from our lab web site when they were renewing their visas due to the belief that visas were approved more quickly the less the government could learn by googling your name. That is, if they can quickly learn anything about your research, those are all potential red flags. If a quick google search turns up nothing, you'll just be rubber stamped through.

One of the grad students I know was told he was not allowed to renew his student visa unless he stopped working on computer security. He had to switch advisers and the school had to swear that he would not be allowed to continue his previous work.

AFAIK, USA has been a second choice for crypto-related conferences for many years. If you ever attended one such conference, you will notice there will always some speakers/presenters couldn't attend due to visa issues.

Не ходите, дети, в Африку Америку гулять.

—	Гость (01/08/2014 17:21)   <#>

> Не ходите, дети, в Африку Америку гулять.

Весь тред тут.

—	Гость (18/01/2015 03:29)   <#>

>> Несмотря на неуниверсальность вычислений, BS якобы позволяет решить какую-то (пока что бесполезную) задачу на нахождение функции от матрицы быстрее, чем чем-либо известным из классических методов.

> Вы там присмотритесь ещё получше к бозонному сэмплингу на гауссовых состояниях. А то он вроде тоже даже толком не кубит, но вдруг на его основе внезапно чего-то такое необычное можно создать

Пишут, что уже:

In this work, we show that the successful development of a boson sampling apparatus would ... yield a practical tool for difficult molecular computations. Specifically, we show that a boson sampling device with a modified input state can be used to generate molecular vibronic spectra, including complicated effects such as Duschinsky rotations.

arXiv опять блочит Tor-экситы. :-(

—	Гость (18/01/2015 04:46)   <#>

Есть типа классический алгоритм, оперирует с битами. А если биты сделать типа неопределёнными, 0 там или 1, то будут кубиты. На кубитах можно кое-что считать быстрее. Так сказать, оквантовать классическое вычисление. А что если повторно оквантовать квантовое? Казалось бы, там квантовать уже нечего, но вместо неопределённости между 0 или 1 можно сделать неопределённость в выборе алгоритма вычисления (последовательности гейтов). Тогда получается, что вычисления с какой-то вероятностью пойдут по сути по одному алгоритму, а с другой вероятностью по другому, и будет advantage за счёт того, что как бы не определяется, по какому они прошли раньше, а по какому позже — полная неопределённость. Получается нарушение своего рода каузальности (принципа причинности) в вычислениях. Вроде это всё было чисто теоретической игрушкой для сторонников общих не обязательно физических теорий, а тут вот заявлют что-то типа того, что так «оквантованный» квантовый алгоритм линейно быстрее собственно квантового:

In a quantum computer, creating superpositions of quantum bits (qubits) in different states can lead to a speed-up over classical computers [1], but quantum mechanics also allows for the superposition of quantum circuits [2]. In fact, it has recently been theoretically predicted that superimposing quantum circuits, each with a different gate order, could provide quantum computers with an even further computational advantage [3-5]. Here, we experimentally demonstrate this enhancement by applying two quantum gates in a superposition of both possible orders to determine whether the two gates commute or anti-commute. We are able to make this determination with only a single use (or query) of each gate, while all quantum circuits with a fixed order of gates would require at least two uses of one of the gates [3]. Remarkably, when the problem is scaled to N gates, creating a superposition of quantum circuits is likely to provide an exponential advantage over classical algorithms, and a linear advantage over quantum algorithms with fixed gate order [4]. The new resource that we exploit in our experiment can be interpreted as a "superposition of causal orders". We demonstrate such a superposition could allow some quantum algorithms to be implemented with an efficiency that is unlikely to be achieved on a quantum computer with a fixed gate order.

Экспериментальная демонстрация. Это что теперь, сдвиг парадигмы или в теории это уже было учтено? Вместо собственно квантовых вычислений появятся ещё и каузальные квантовые? Поидее, как мне кажется, в идею общего квантового вычисления эта схема так же влазит...

Эти экспериментаторы ссылаются на другую работу, теоретическую, PRL-2014:

Here we show that this model of quantum computing is physically realizable, by proposing an interferometric setup that can implement such a quantum control of the order between the gates. We show that this new resource provides a reduction in computational complexity: we propose a problem that can be solved using O(n) blackbox queries, whereas the best known quantum algorithm with fixed order between the gates requires O(n²) queries.

В тексте:

As proposed in [2], the switch can in principle be implemented by adding quantum control to the connections between the unitaries. In such an implementation it is sufficient to use a single copy of each unitary, while the control system determines the order in which the target system passes through the unitaries. // Стр. 2

Т.е. всё же это вроде сводится к стандартному формализму вычислений: из двух последовательностей гейтов, выбираемых вероятностно, можно сделать один, и всё описывать, как раньше. В заключении:

While the reduction is only polynomial, and thus does not create a new complexity class, the result shows that extending the quantum circuit model is possible and can provide a computational advantage. Besides, the computational problem introduced has no known efficient solution by a classical algorithm, which may be of independent interest.

Похоже, картинка вырисовыается такая: раз оно не может дать более, чем полиномиальное ускорение, свдига парадигмы нет — классы теории сложности остаются в таких же отношениях друг с другом [см. слайды «complexity zoo»]. Однако, внутри конкретного класса сложности есть много моделей вычислений, между которыми возможны полиномиальные преимущества. Получается, что в рамках общего каркаса для какой-то проблемы нашли более оптимальный алгоритм в пределах того же класса сложности.

—	unknown (18/01/2015 15:06)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

Ну тогда очередное предсказание: это как-то может затронуть симметричные криптоалгоритмы и даст возможность подбирать к ним какие-то специфические квантовые схемы для ускорения определённых видов криптоанализа. То, что специфический квантовый криптоанализ возможен, было ясно и ранее. Возможно, что эта фича позволит придумать что-то более конкретное.

—	Гость (19/01/2015 00:30)   <#>

Это всё пока мечты, но «будем посмотреть». В отличие от асимметрики для смметрики нет понимания, какая там внутри hard лежит, problem и какой классический алгоритм самый оптимальный, поэтому надеяться на быстрый прогресс аж на в квантовом криптоанализе, имхо, преждевременно.

—	Гость (19/01/2015 00:31)   <#>

hard лежит, problem → hard problem лежит,

—	unknown (19/01/2015 09:34, исправлен 19/01/2015 09:36)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

>какая там внутри

>hard problem лежит

Вот именно. Пока считается, что против неё в симметрике только перебор, а квантовый перебор даёт преимущество лишь O(2^n/2) вместо классического O(2ⁿ), где n — размер ключа, блока, внутреннего состояния и т.д.

А если получить представление о том, что внутри не чёрный ящик, а что-то конкретное, то теоретически можно как-то адаптировать и квантовый перебор (сортировку, поиск и пр.). И может оказаться, что шифр, для которого неизвестно классического варианта взлома, кроме как перебор грубой силой, оказывается нестойким к каким-то специфическим квантовым вычислениям.

—	Гость (19/01/2015 16:31)   <#>

> шифр, для которого неизвестно классического варианта взлома, кроме как перебор грубой силой, оказывается нестойким к каким-то специфическим квантовым вычислениям.

Кстати, это вы из общих соображений заявляете, или где-то так было явно сказано? Берштейн так считает? Есть какие-то модельные симметричные шифры, ломаемые квантовым криптоанализом?

На страницу: 1, 2, 3, 4, 5, 6 След.

Ваша оценка документа [показать результаты]

-3

-2

-1

0

+1

+2

+3