Y a-t-il un candidat pour une action de groupe à sens unique post-quantique?

Y a-t-il une famille connue d' actions de groupe avec un élément désigné
dans l'ensemble sur lequel on agit, où l'on sait comment efficacement

$\:$ échantillonner (essentiellement uniformément) à partir des groupes, calculer les opérations inverses, calculer les opérations de groupe et calculer les actions de groupe
$\:$

et il n'y a pas d'algorithme quantique efficace connu
pour réussir avec une probabilité non négligeable dans

$\:$ donné en entrée l'index d'une action de groupe et le résultat de un élément de groupe échantillonné agissant sur l'élément désigné, trouver un élément de groupe dont l'action sur l'élément désigné est la deuxième entrée
$\:$
$\:$

?


Pour autant que je sache, ceux-ci fournissent les seules constructions connues d'engagements non interactifs masquant statistiquement dans lesquels la connaissance d'une trappe permet une équivoque efficace et indétectable, une propriété utile pour les protocoles de connaissance zéro et la sécurité adaptative.

Toute famille d'homomorphismes de groupe à sens unique avec les trois premières propriétés (à partir des troisième et quatrième lignes de cet article) peut être convertie en une telle chose en faisant agir les domaines sur les domaines de codage via , avec les éléments d'identification que les éléments distingués.$\: \langle a,b\rangle \mapsto h(a)\cdot b \:$$\:$

Une version restreinte du schéma d'engagement de Pedersen peut être obtenue comme un cas particulier d'application de la conversion ci-dessus à l'homomorphisme exponentiel de groupe, dont l'unidirectionnel est équivalent à la dureté du problème du logarithme discret, bien que cela ne soit pas difficile pour les algorithmes quantiques. (Voir l'algorithme de Shor et la section de cette page sur le logarithme discret.)

Oui , il y a une vieille proposition à ce sujet en raison de Couveignes , qui a été redécouverte indépendamment par Rostovtsev et Stolbunov .

Dans les deux cas, l'ensemble des courbes elliptiques avec une bague endomorphisme commune est sollicité par le groupe de classe idéale de . La clé secrète est essentiellement une description d'une isogénie via son idéal de noyau, et l'action d'un élément de groupe prend une courbe vers le domaine de codage de ladite isogénie: Il existe une belle interprétation graphique de cette action, qui est décrite (par exemple) dans la section 14.1 des notes de cours de Luca De Feo . _{^{(Ils contiennent également plus de fond nécessaire pour comprendre cette construction!)}}$\mathcal O$$\mathcal O$$[\mathfrak a]$$E$

$$([\mathfrak a], E) \longmapsto E/\mathfrak a = E/\bigcap_{\alpha\in\mathfrak a}\ker\alpha \text.$$

Bien qu'il soit possible d'inverser l'action de groupe en résolvant une instance du problème de décalage caché, donnant lieu à une attaque quantique sous-exponentielle , le système reste ininterrompu pour des tailles de paramètres raisonnablement grandes. Un problème beaucoup plus important est que ces schémas sont douloureusement lents dans la pratique: même après un effort d'optimisation considérable , un calcul de l'action de groupe prend encore quelques minutes .

Le problème de performance a été résolu par une proposition récente appelée CSIDH en passant à des courbes elliptiques supersingulaires, ce qui améliore considérablement l'efficacité tout en conservant essentiellement la même structure sous-jacente. Il est encore lent par rapport aux schémas pré-quantiques comparables, ainsi qu'aux schémas post-quantiques incomparables, mais peut avoir sa place dans un monde post-quantique en raison de ses caractéristiques uniques.