Квантово-усиленный криптоанализ симметричного шифра S-AES

Продвинутый стандарт криптографии (AES) — один из наиболее широко используемых и важных симметричных шифров на сегодняшний день. Известно, что он подвержен атаке с использованием квантового алгоритма Гровера, из-за чего криптографическая стойкость ключа может быть снижена вдвое. Но для полноценной атаки на AES требуются сотни логических кубитов и глубина квантовой схемы порядка нескольких тысяч слоёв, что делает невозможным не только экспериментальное исследование, но и численное моделирование этого алгоритма. В данной работе представлен оптимизированный алгоритм атаки Гровера на упрощённый шифр S-AES. Помимо полной атаки представлено несколько подходов, которые позволяют уменьшить количество требуемых кубитов, если в результате атаки по стороннему каналу стали известны некоторые биты ключа. Для 16-битного S-AES предлагаемая атака требует 23 кубита в общем случае и 19, 15 или 11 кубитов, если утечка составила 4, 8 или 12 бит в специфической конфигурации. По сравнению с ранее известным 32-кубитным алгоритмом, этот подход потенциально позволяет провести атаку на современных NISQ-устройствах и выполнить численное моделирование с помощью графического процессора, что может быть полезно для дальнейшего исследования методов подавления и коррекции квантовых ошибок для конкретных задач.