有點受不了上面有些答案了。先疊個buff,個人lattice的水平相當於本科生的水平,如果錯誤還輕大佬指出我好修正。
評價這個工作的意義可以有幾方面角度:
首先,這篇文章不是第一個來question LWE hardness的文章,上面已經有哥們提到了。但是前面的文章要麽有fundamental的錯誤要麽過於簡化問題了。但是糾結是不是第一個來做這個意義不大,第一個作出有意義的結果意義比較大。
其次,假設整篇文章的提供了一個sound的結果。是不是意味著lattice base cryptograph無了?
這一點感覺還不是很清晰。文章作者也提到了,即使這個結果正確也不意味著現在的這些lattice proposal直接無了。 但是, 攻擊在多數情況下都是可以被改進的,甚至數學證明也是可以被改進的。正面例子如張益唐證明相鄰質數間隔有限的文章,文章已經發出驗證後很快bound就從幾千萬被改進到幾千了(如果我記得沒錯)。另一個正面例子是王小雲院士的hash collision工作,也被後面的人在2017年改進到能實際進行攻擊了。
進一步,如果這篇工作導致lattice base cryptography無了,是不是直接利好量子加密(個人不是很懂什麽是量子加密)?
個人覺得這個問題答案是否定的,先不說什麽美國政府已經有報告說量子金鑰分發實際意義不大以及種種陰謀論。要我說NIST那幫人還是有兩把刷子的,可能以前就吃過虧。我記得NIST explictly說到過最終的post-quantum candidates一定要一個非lattice based,這樣押寶不押一個免得到時候出問題了手忙腳亂。所以,post-quantum的方案不僅僅是lattice-based,還有其他五六種可供選擇的困難問題,比較promising的也還有兩三個。所以未來即使lattice base cryptography無了,也還有其他問題可以用來構造post-quantum的演算法。
再次,在文章正確的前提下,怎麽看待這篇的科學貢獻?
首先,什麽CRYPTO/EUROCRYPT,FOCS/STOC最佳論文 test-of-time預定一波。可供參考的是去年EUROCRPYT上攻擊SIKE的團建,毫無疑問的直接拿下了best paper。但是上述這些論文能不能夠的上test-of-time我還持懷疑態度。這篇可能預定15年後的test-of-time的 關鍵 是它的target是 困難性問題,而上述SIKE的攻擊只是針對的特定構造方案。 一個不是很恰當的比喻是困難性問題如同給出了二氧化碳+糖水的組合是萬千肥宅的快樂水,特定構造方案就相當於你來調個可樂我來調個雪碧,他來加點果汁弄個芬達。一個更直觀的說法可能是,這篇文章可以使得近來幾乎所有的post-quantum的煉丹成為一爐廢丹,而前面去年的SIKE攻擊paper只是說有一粒丹(SIKE)是廢丹,二其他丹(基於isogeny)可能還是好的。
最後,這篇論文能得圖靈獎嗎?
個人感覺幾乎不可能,雖然基於樸素的民族情緒我也希望能。本質上說,整篇文章的可能貢獻就是證明lattice的喜聞樂見的難題LWE不能再被認為是困難的了。同等貢獻的有Peter Shor證明大數分解不那麽安全,並且他還有第一個用量子計算來研究密碼學的困難性問題的buff。所以即便頒獎也應該給他。還有,整篇文章並不能夠全盤否定lattice based cryptography(在我看來),LWE等問題解決應該不能直接證明SIS及其變種解決,雖然SIS能玩的花樣很少並且整個lattice的安全會受到質疑。另外個人覺得同等地位的工作還是有不少的,比如Coppersmith,LLL reduction,Paul Kosher的side channel。
修正1:根據https:// web.eecs.umich.edu/~cpe ikert/pubs/slides-abit2.pdf 46/94, LWE可以在有quantum 的條件下reduct TO SIS. 因此quantum的LWE快速演算法能夠攻擊SIS。(這一點歡迎大家來指正)
修正2: 是其他基於isogeny的protocol不是SIDH.