wprowadzenie do kryptografii kwantowej

Kilka słów o kryptografii klasycznejSplątanie w kryptografii

Podstawy kryptografii kwantowejBieżące wyniki z prac nad kryptografią

Wprowadzenie do kryptografii kwantowej

Jakub Michaliszyn, Grzegorz Byrka

Instytut Informatyki Uniwersytetu Wrocławskiego

31 maja 2007

Jakub Michaliszyn, Grzegorz Byrka Wprowadzenie do kryptografii kwantowej

Kilka słów o kryptografii klasycznejPodstawowe pojęciaPrzykładSplątanie w kryptografiiLOCCdestylacja splątaniaquantum error-correctionPodstawy kryptografii kwantowejWzmacnianie prywatności i uzgadnianie informacjiKwantowa dystrybucja kluczyBieżące wyniki z prac nad kryptografiąPodstawowe pojęciaWyniki negatywneAlgorytmy odporne na ataki kwantoweLiteratura

Podstawowe pojęciaPrzykład

I Typowym schematem rozważanym w kryptografii jest rozmowamiędzy Alicją i Bobem, którą chce podsłuchać zła Ewa.

I Alicja bierze tekst jawny, szyfruje go i wysyła Bobowi łączem, któremoże być podsłuchane.

I Zakładamy, że Ewa zna sposób szyfrowania używany przez Alicję iBoba, ale nie zna klucza, który został uzyty do szyfrowania.

I Bob i Alicja chcą mieć pewność, że Ewie nie uda się w sensownymczasie odszyfrować wiadomości ani nie uda się jej podmienićwiadomości na swoją.

One time pad

I Długość klucza równa długości wiadomości.

I Alicja dodaje bit po bicie klucz do swojej wiadomości, Bob odejmuje.

I Dla zaszyfrowanej wiadomości każdy tekst jawny jest równiepraqwdopodobny.

I Każdy klucz może być użyty najwyżej jeden raz (potem powinienzostać zniszczony), a funckja generująca klucze musi byćdostatecznie losowa.

I Ewa zdobywa pewne informacje o tekście jawnym (np. jego długość)

I Dla n użytkowników potrzeba n(n−1)2 kluczy.

One time pad

Co by jednak się stało, gdyby tu NAGLE były komputerykwantowe - w przyszłości

I Szyfrowanie kluczem publicznym (RSA-poodobne) przestaje byćbezpieczne

I Osoby dysponujące szybkim sposobem faktoryzacji liczb mają wgląd

I do naszych kont bankowych, do poczty.

I Analogicznie, można się pod nas podszywać

I Szyfrowanie kluczem prywatnym nadal pozostaje bezpieczne

Jak widać, świat nie jest przygotowany jeszcze na pojawienie sięsprawnych i wydajnych komputerów kwantowych.

Czego możemy być pewni, to tego, iż takie komputery nie pojawią sięnagle, analogicznie do klasycznych komputerów i one rozwijają się powoli,i można podejrzewać, iż do czasu pojawienia się ich na rynku, światkomputerowy dorobi się odpowiednich, bezpiecznych technikkryptograficznych.

LOCCdestylacja splątaniaquantum error-correction

Analogie w teori informacji

Klasyczna Kwantowaentropia Shannona entropia von Neumanna

H(X ) = −∑x p(x) log p(x) S(ρ) = −tr(ρ log ρ)

dostrzegalne i dostępne informacjeListy zawsze dostrzegalne ograniczenie Holevo

N = H(X )) H(X : Y ) ¬ S(ρ)−∑x PxS(ρx)

ρ =∑x pxρx

kodowanie cichokanałoweteoria Shannona teoria Schumacheranbits = H(X ) nqbits = S(

∑x pxρx)

Analogie w teori informacji

Inne analogie:

Klasyczna Kwantowateoria głośnego kodowania Shannona teoria Helvo-Schumachera-

-Westmorelandanierówność Fano kwantowa nierówność Fanowzajemne informacje koherentne informacjeprzetwarzanie nierówności kwantowe przetwarzanie nierówności

LOCC - Local Operations and Clasical Communication

Alicja i Bob dysponują splątanymi qubitami. Wykonują operacje nakomputerach kwantowych u siebie, natomiast do komunikacji używająjedynie klasycznych łączy.

Alicja i Bob znają swoje algorytmy szyfrujące, toteż Alicja jest w stanieprzewidywać, co zrobi Bob po otrzymaniu wiadomości.

Jeśli nawet teoretycznie komunikacja Alicji i Boba wymagałabywielokrotnego przesyłania danych, to Alicja może zasymulować i samasobie wygenerować zapytania Boba, w konsekwencji czego LOCCwymaga jedynie jednorazowego przesłania informacji od Alicji do Boba.

Załózmy, że Alicja i Bob dzielą jedeną parę splątanych kubitów w stanieBella (|00〉+ |11〉)/

√2) Alicja przeprowadza 2 pomiary M1 i M2:

∣∣∣∣ cos θ 00 cos θ

∣∣∣∣; M2 =

∣∣∣∣ sin θ 00 cos θ

∣∣∣∣Po pomiarze stan to albo: cos θ|00〉+ sin θ|11〉 albo cos θ|11〉+ sin θ|00〉w zależności od wyniku pomiaru, 1 lub 2. W tym drugim przypadkuAlicja stosuje bramkę NOT po pomiarze, czego efektem jest stan:cos θ|01〉+ sin θ|10〉. Następnie wysyła wynik pomiaru (1 lub 2) do Boba, który nie robi nic, jeśli wynik pomiaru to 1 oraz stosuje bramkę NOTjeśli wynik pomiaru to 2.

Końcowy wynik to stan cos θ|00 > + sin θ|11 > niezależnie od poiarudokonanego przez Alicję.

I Wyobrażmy sobie, że mamy metalowe kulki.

I Z kilogramowej sztabki metalu jesteśmy w stanie zrobić 3 takie kulki

I Tym niemniej potrzebujemy aż 4 kulek, aby zrobić taką sztabkę

I Jak zatem sprawdzić przybliżoną masę kulki?

I Mamy formę kulek i formę sztabek i dużo metalu, potrafimy teżtopić ten metal.

Odpowiedź:

Bierzemy bardzo dużo kulek i sprawdzamy ile da się z nich zrobić sztabek,

Okazuje się, że w analogiczny sposób, używając LOCC, można wyrażaćdowolny stan przy pomocy stanu Bella (|00〉+ |11〉/

√2) Bierzemy

możliwie dużo kopii jakiegoś stanu i sprawdzamy ile da sie z nich zrobićstanów Bella.

Destylować można dowolny, dowolnie wymieszany stan.

Oto jak wysłać mD(ρ) qubitów informacji do Boba, gdzie D(ρ) todestylacja stanów stanów ρ - stanów, które powstają przez wyslaniepołowy stanów Bella kanałem ε.

I Alicja przygotowuje m stanów Bella i przesyła połowę każdejsplątanej pary przez ε

I Pod wpływem ε tworzą się z stany ρ

I Tak więc Alicja i Bob dzielą m kopii stanu ρ

I Oboje destylują to co mają i uzyskują mD(ρ) stanów Bella

I Alicja przygotowuje mD(ρ) qubitów informacji, które chce przesłać

I Przy pomocy stanów splątanych Bella, którymi dysponująteleportuje wiadomość do Boba

Tym sposobem można przesyłać dane nawet zdepolaryzowanymikanałami, których przepustowość kwantowa wydawałaby się zerowa.

Musimy jedynie zapewnić klasyczny kanał komunikacji, gdyż destylacjawymaga LOCC.

Wzmacnianie prywatności i uzgadnianie informacjiKwantowa dystrybucja kluczy

Kryptografia klucza prywatnego wymaga, aby zarówno Alicja jak i Bobdysponowali kluczem. Ale co, gdy te klucze się niznacznie różnią?

Aby rozwiązać ten problem, przy okazji nie mówiąc zbyt dużo Ewiewykonamy 2 etapy:

I Uzgadnianie informacji

I Wzmacnianie prywatności

Uzgadnianie informacji

I Na początku Alicja ma ciąg znaków X, Bob ciąg Y.

I Przy pomocy tych ciągów Alicja i Bob ustalają wspólny W

I Po tym zabiegu Ewa dysponuje ciągiem Z częściowo powiązany z W

Wzmacnianie prywantności:

I Zarówno Alicja jak i Bob destylują z W ciąg S (mniejszy)

I Ustalamy sobie próg, poniżej którego ma być pokrewieństwo międzyS a Z

Niech G będzie klasą uniwersalnych funkcji haszujących mapującychn-bitowe A na m-bitowe B.

Jeśli g ∈ G zostanie wybrane losowo, to prawdopodobieństwo, żeg(a1) = g(a2) jest mniejsze niż |B|−1

Zatem aby zminimalizować ryzyko, zwiększa się B.

Wybrane fakty o QKD

I Udowodnione jest, że Kwantowa dystrybucja kluczy (QKD) jestbezpieczna.

I Dzięki QKD prywatny klucz może zostać wygenerowany międzyAlicją i Bobem używającymi publicznego kanału.

I QKD wymaga by qubity w publicznym kanale miały niski odsetekbłędu.

I Bezpieczeństwo gwarantowane jest podstawowymi prawami fizyki:Ewa nie może podejrzeć qubitów bez naruszania ich stanów.

I W protokoły QKD wplata się nieortogonalne qubity w losowemiejsca - jeśli Ewa podgląda dane, to się o tym dowiemy

Wybrane fakty o QKD

Protokół BB84

I Alicja wybiera (4+ δ)n bitów informacji

I Alicja wybiera (4+ δ)n-bitowy ciąg znaków b. Każdy bit koduje:

I Jeśli b = 0 wstawia {|0〉, |1〉}, w p.p. {|+〉, |−〉}I Alicja wysyła Bobowi uzyskany stan

I Bob odbiera (4+ δ)n qubitów, ogłasza ten fakt i mierzy każdy kubitw losowej kolejności (zgaduje sobie b’)

I Alicja ogłasza b

Protokół BB84

I Alicja ogłasza b

Protokół BB84

I Alicja ogłasza b

Protokół BB84

I Alicja ogłasza b

Protokół BB84

I Alicja ogłasza b

Protokół BB84

I Alicja i Bob odkrywają każdy bit, w którym Bob zmierzył inaczej,niż to przygotowała Alicja.

I Jeśli zostało im przynajmniej 2n bitów działają dalej, zostawiającpierwsze 2n bitów

I Alicja wybiera i ogłasza podciąg n bitów, które posłużą dosprawdzenia jak bardzo Ewa sprawdzała

I Alicja i Bob ogłaszają i sprawdzają wartości bitów w podciąguogłoszonym przez alicję

I Jeśli zbyt wiele bitów się nie zgadza, cały proces rusza od nowa

I Z pozostałych n bitów tworzy się m-bitowy klucz poprzezuzgadnianie informacji i wzmacnianie prywatności

Protokół BB84

Protokół B92

I B92 jest bardzo podobne do B84, tylko że Alicja przygotowujejedynie jeden ciąg bitów a

I Alicja wysyła |0〉 jeśli a = 0 i |+〉 w p.p.I Bob zgaduje a’ i wedle niego odkodowuje jako {|0〉, |1〉} lub jako{|+〉, |−〉}. Z tych obliczeń uzyskuje b (0 ,1)

I Bob publicznie ogłasza b, ale a’ trzyma w sekrecie.

I Bob i Alicja publicznie dyskutują o tych bitach, gdzie b = 0

I Pozostałe a tworzą ciąg Alicji. Ciąg Boba to 1-a’

Protokół B92

Protokół EPR

I Alicja i Bob mają n stanów splątanych |00〉+|11〉√2zwanych EPR

I Wybierają losowy podciąg EPR’ów by sprawdzić, czy stany są wdobrej kondycji

I Alicja wymyśla sobie b, mierzy w {|0〉 |1〉} albo {|+〉, |−〉} i w tensposób ustala swoje a

I Bob analogicznie wymyśla b’ i ustala a’

I Publicznie porównują b i b’, i zachowują jedynie te {a, a′}, dlaktórych b = b′

Protokół EPR

Zmodyfikowany protokół Lo-Chau

I Alicja tworzy 2n par EPR w stanie |β00〉⊗2n

I Alicja losowo wybiera n spośród 2n EPR par do sprawdzaniaaktywności Ewy.

I Na raie nie robi z nimi nic

I Alicja wymyśla losowe 2n-bitowe b i stosuje transformacjęHadamarda na 2. qubicie każdej pary, gdzie b=1

I Alicja wysyła 2. kubit każdej pary do Boba

I Bob odbiera qubity i to ogłasza

I Alicja ogłasza b oraz podciąg n, który wybrała na początku

I Bob stosuje transformację Hadamarda na qubitach, gdzie b=1

I Alicja i Bob mierzą n testowych qubitów w |0〉, |1〉 i publicznieogłaszają wyniki.

I Jeśli więcej niż t się nie zgadza, przerywają protokół

I Alicja i Bob mierzą pozostałe n qubitów zgodnie z macierzą dlaokreślenia [n,m] kwantowej korekcji do t błędów.

I Dzielą się wynikami, przygotowują m niemal idealnych EPR par

I Alicja i Bob wykonują protokół EPR dla uzyskania kluczy.

Podstawowe pojęciaWyniki negatywneAlgorytmy odporne na ataki kwantoweLiteratura

Wprowadzenie do kryptografii kwantowej - cz. 2

Jakub Michaliszyn, Grzegorz Byrka

Instytut Informatyki Uniwersytetu Wrocławskiego

1 czerwca 2007

Jakub Michaliszyn, Grzegorz Byrka Wprowadzenie do kryptografii kwantowej - cz. 2

Wczoraj poznaliśmy różne sposoby na wykorzystanie kwantów doszyfrowania danych. Mimo licznych zalet, opisywane metody są ciągle wfazie eksperymentów, są drogie, a ponadto wymagają zapewnienia kanałukwantowego. Teraz zajmiemy się algorytmami, które można już taniorealizować na klasycznych komputerach, a które wydają się byćniepodatne na ataki kwantowe.

Logarytm dyskretny

I Logarytm dyskretny elementu b (przy podstawie a) w danej grupieskończonej jest to taka liczba całkowita c, że w grupie zachodzirówność ac = b.

I Najszybszy znany algorytm obliczania logarytmu dyskretnego w

skończonym ciele ma złożoność czasową ec·log132 (p)·log

232 (log2(p))

I Trudność znalezienia logarytmu dyskretnego jest podstawą istnieniawielu klasycznych algorytmów kryptograficznych, takich jak ElGamali protokół Diffiego-Hellmana czy algorytmów opartych na krzywycheliptycznych.

Logarytm dyskretny

232 (log2(p))

Logarytm dyskretny

232 (log2(p))

Problem ukrytej podgrupy

I Dana grupa G , jej podgrupa H i zbiór X . Powiemy, że funkcjaf : G → X dzieli warstwy H jeśli dla wszystkich g1, g2 ∈ G mamyf (g1) = f (g2) wtedy i tylko wtedy, gdy g1H = g2H.

I Niech G będzie grupą, X skończonym zbiorem, a f : G → X takąfunkcją, że istnieje podgrupa H grupy G taka, że f dzieli warstwy H.

I Problemem ukrytej podgrupy nazywamy zadanie znalezieniageneratorów podgrupy H.

I Wersja decyzyjna tego problemu polega na sprawdzeniu, czy danyelement jest jednym z generatorów podgrupy H.

Izomorfizm grafów

I Chyba każdy wie, czym jest ten problem.

I Grupa symetryczna jest to grupa wszystkich wzajemniejednoznacznych przekształceń danego zbioru X w siebie z działaniemskładania funkcji jako działaniem grupowym. Grupę symetrycznazbioru {1, ..., n} oznaczamy jako Sn.

I W [EHK99a] pokazano, jak mając dwa grafy o n wierzchołkachzdefiniować instancję problemu ukrytej podgrupy w grupie S2n (awłaściwie to w jej właściwej podgrupie Sn o S2) tak, że w ukrytejpodgrupie jest element pewien ustalony element wtedy i tylko wtedy,gdy te grafy są izomorficzne.

Izomorfizm grafów

Poznane algorytmy

Peter W. Shor w pracy [Sho97] pokazał wielomianowe algorytmykwantowe rozwiązujące problemy logarytmu dyskretnego i faktoryzacji naczynniki pierwsze, wykorzystujące transformatę Fouriera. Poznaliśmy jena trzecim spotkaniu. Analogicznie rozwiązuje się problem ukrytejpodgrupy w grupach abelowych. Metodę użytą w tych algorytmachbędziemy dalej nazywać próbkowaniem Fouriera, słabym próbkowaniemFouriera lub standardową metodą.

Normal Subgroup Reconstruction and QuantumComputation Using Group Representations

Specjaliści od teorii obliczeń kwantowych zaczęli się zastanawiać, czytransformatę Fouriera da sie zastosować do rozwiązania problemu ukrytejpodgrupy dla grup nieabelowych. W pracy [HRTS00] autorzy pokazują,że rozwiązanie problemu ukrytej podgrupy dla grup abelowych nie dajesię wykorzystać do rozwiązania problemu ukrytej podgrupy dla grupsymetrycznych oraz argumentują, że nasuwające sie uogólnienierozwiązania dla grup abelowych nie daje się wykorzystać do rozwiązaniaproblemu izomorfizmu grafów.

Ponadto autorzy podają kwantowy algorytm dla problemu ukrytejpodgrupy w przypadku dzielników normalnych.

Quantum mechanical algorithms for the nonabelian hiddensubgroup problem

W pracy [GSVV01] autorzy pokazali, że przy losowym wyborze bazypróbkowanie Fouriera może przynieść jedynie wykładniczo małoinformacji o ukrytej podgrupie. Ponadto pokazali dolne ograniczenie nazłożoność (mierzoną jako liczbę rund próbkowania Fouriera) standardowejmetody szukania ukrytej podgrupy:( √

|G ||H|√c(G )

)1/3gdzie c(G ) jest liczbą klas sprzężoności. Ten wzór jest wykładniczy wprzypadku grup permutacji, gdy |G | = k!.

Quantum mechanical algorithms... – cd.

Autorzy wprowadzili również pojęcie silnego próbkowania Fouriera, abyodróżnić je od dotychczas rozpatrywanego, bardziej naturalnegowariantu, zwanego słabym próbkowaniem Fouriera, w którym możemywartości w poszczególnych wierszach i kolumnach macierzy.

Ponadto autorzy pokazują algorytm dla grup „prawie abelowych”. Grupajest prawie abelowa, jeśli indeks κ(G ) jest mały względem G , gdzie κ(G )jest przecięciem normalizatorów wszystkich podgrup G .

The symmetric group defies strong Fourier sampling

W artykule [MRS05] autorzy pokazali, że problemu ukrytej podgrupy dlaSn nie da się rozwiązać używając silnego próbkowania Fouriera, nawetużywając POVM (positive operator-valued measurement). Dowódprzebiega podobnie do dowodu z [HRTS00], jednakże tamten dowód byłdla słabego próbkowania.

Limitations of Quantum Coset States for GraphIsomorphism

W pracy [HMR+06] rozszerzono poprzednie wyniki w ten sposób, żepokazano, iż potrzeba zmierzyć co najmniej n log n splątanych stanówwarstwowych do zdobycia użytecznych informacji o izomorfiźmie grafów.Ten wynik jest traktowany jako negatywny, ponieważ implementacjasilnie splątanych pomiarów (highly entangled measurements) jestuważana w ogólności za trudną.

Podsumowanie

Wspomniane negatywne wyniki powodują, że problem ukrytej podgrupydla grup nieabelowych wydaje się trudny i wymagający co najmniejwykładniczego czasu lub stworzenia wielu silnie splątanych stanów. Nabazie tej obserwacji buduje się pewne algorytmy, które mają być odpornena ataki kwantowe.

Jednym z wyzwań w kryptografii jest stworzenie funkcji jednostronnejf : Σn → Σm, która może zostać efektywnie obliczona na klasycznychkomputerach, a której odwrócenie nawet na komputerach kwantowychbędzie trudne. Ponadto chcielibyśmy, by m nie było zbyt duże. Naćwiczeniach z języków formalnych pokazuje się, że istnienie funkcjijednostronnnej implikuje P 6= NP.

Definicje

I Przez F = Fq będziemy oznaczać skończone ciało o q elementach,gdzie q jest ustaloną liczbą pierwszą.

I Przez GLn(Fq) lub GLn będziemy oznaczać zbiór wszystkichodwracalnych macierzy n × n nad ciałem Fq, a przezEndn = Endn(Fq) zbiór wszystkich macierzy n × n nad tym ciałem.

I Jeśli M ∈ Endn i V ⊂ Fnq, to przez MV będziemy oznaczać zbiór{Mv |v ∈ V }.

I Funkcja fV , parametryzowana zbiorem wektorówV = {v1, v2, ..., vm}, dana jest wzorem:

fV (M) = MV

I Wektory vi powinny być wybierane losowo.

I Zauważmy, że wynikiem działania fV jest zbiór nieuporządkowany.

Definicje

fV (M) = MV

Definicje

fV (M) = MV

Definicje

fV (M) = MV

Definicje

fV (M) = MV

Definicje

fV (M) = MV

I W [MRV07] można znaleźć dowód, że ta funkcja jest injekcją zdużym prawdopodobieństwem, gdy tylko m jest trochę większe niż n,dla przykładu m = n + O(ln2 n)

I Wartość funkcji fv jesteśmy w stanie wyznaczyć w czasie M(n),który jest czasem mnożenia macierzy, zatem

√M(k) dla wejścia

rozmiaru k.

I W tej samej pracy autorom udało się zredukować problemizomorfizmu grafów, co do którego wierzymy, że jest niepodatny naataki kwantowe, do problemu odwrócenia funkcji fV .

I Pokazano również, że odwrócenie fV jest jednolicie trudne, tzn.potrafimy tak losować V , by nie trafić na trywialny przpadek (niepotrafimy tego na przykład na problemu izomorfizmu grafów)

rozmiaru k.

I Co więcej, autorzy pokazali, że nawet uzyskanie częściowychinformacji o f −1V (x) (np. uzyskanie informacji o jakimkolwiek poluM, śladu macierzy) jest niemal tak trudne, jako odwrócenie f .

I Pytaniem otwartym (wg stanu z 14 IV 2007) pozostaje odpornośćalgorytmu na tzw. trapdoor.

I Co więcej, autorzy pokazali, że nawet uzyskanie częściowychinformacji o f −1V (x) (np. uzyskanie informacji o jakimkolwiek poluM, śladu macierzy) jest niemal tak trudne, jako odwrócenie f .

I Pytaniem otwartym (wg stanu z 14 IV 2007) pozostaje odpornośćalgorytmu na tzw. trapdoor.

O niektórych klasycznych algorytmach szyfrowania nie pokazano jeszcze(mimo licznych prób), że są podatne na kwantowe ataki. Są to np.bazujące na teorii krat algorytm Ajtai-Dwork [AD97], Regev [Reg04a] iMcEliece [McE78]. W przypadku algorytmu Regev dowiedziono nawetpewnych przyjemnych własności, o czym mozna przeczytać w [Reg04b].

[MRV07] Cristopher Moore, Alexander Russell, Umesh Vazirani. A classicalone-way function to confound quantum adversaries.

[AD97] Mikl´os Ajtai and Cynthia Dwork. A public-key cryptosystem withworst-case/average-case equivalence.

[BBBV97] Charles Bennett, Ethan Bernstein, Gilles Brassard and UmeshVazirani. Strengths and Weaknesses of Quantum Computation.

[GSVV01] Michelangelo Grigni, Leonard Schulman,Monica Vazirani, andUmesh Vazirani. Quantum mechanical algorithms for the nonabelianhidden subgroup problem.

[HMR+06] Sean Hallgren, Cristopher Moore, Martin R¨otteler, AlexanderRussell, and Pranab Sen. Limitations of quantum coset states for graphisomorphism.

[HRTS00] Sean Hallgren, Alexander Russell, and Amnon Ta-Shma. Normalsubgroup reconstruction and quantum computation using grouprepresentations.

[K05] Greg Kuperberg. A subexponential-time quantum algorithm for thedihedral hidden subgroup problem.

[McE78] R. J. McEliece. A public-key cryptosystem based on algebraiccoding theory.

[MR06] Cristopher Moore and Alexander Russell. On the impossibility of aquantum sieve algorithm for graph isomorphism.

[MRS06] Cristopher Moore, Alexander Russell, and Piotr Śniady. On theimpossibility of a quantum sieve algorithm for graph isomorphism:unconditional results.

[MRS05] CristopherMoore, Alexander Russell, and Leonard Schulman. Thesymmetric group defies Fourier sampling.

[Reg04a] Oded Regev. New lattice-based cryptographic constructions.

[Reg04b] Oded Regev. Quantum Computation and Lattice Problems.

[Sho97] Peter W. Shor. Polynomial-time algorithms for prime factorizationand discrete logarithms on a quantum computer.

[EHK99a] M. Ettinger, P. Hryer, and E. Knill. A quantum observable for thegraph isomorphism problem.

wprowadzenie do kryptografii kwantowej

Documents