Регистрация Войти
Рейтинг:1
bagheera avatar Crypto

Что означает наличие открытых ключей в coNP

флаг in
bagheera

я читал Эта бумага.

А на странице 2 было сделано следующее утверждение: Рассмотрим схему шифрования с открытым ключом с детерминированным шифрованием. алгоритм, и предположим, что набор действительных открытых ключей находится в coNP. Тогда, если получить открытый текст из пары (зашифрованный текст, открытый ключ) является NP-Hard, тогда NP = coNP.

Я думаю, что я не совсем понимаю, что означает, что набор открытых ключей находится в совместном NP? Может есть интуитивный пример?

94
0 + 0
Рейтинг:3
Mark avatar Crypto
флаг ng
Mark

  • НП представляет собой набор проблем решения, которые эффективно проверяемый. Учитывая экземпляр $х$ проблемы решения есть короткое "доказательство" $w$ что, учитывая пару $(х, ш)$, можно эффективно проверить, что $х$ правда.

  • соНП представляет собой набор проблем решения, которые эффективно опровергаемый. Учитывая экземпляр $х$ проблемы решения есть короткое "опровержение" $w$ что, учитывая пару $(х, ш)$, можно эффективно проверить, что $х$ является ложным.

Практически для всех известных схем шифрования с открытым ключом открытые ключи образуют набор NP. Что это значит? Учитывая некоторый открытый ключ $пк$, есть дополнительная информация $ск$ (секретный ключ), чтобы можно было эффективно проверить, что $пк$ является открытым ключом по отношению к секретному ключу $ск$. Например

  1. для ЮАР, $N = pq$. Учитывая некоторые $N'$ который может принять или не принять эту форму, мы можем эффективно проверить это через свидетеля $(р, д)$.

  2. для предположений типа DLOG, учитывая некоторые $(г, г^с)$, мы можем аналогичным образом эффективно проверить, что $g^s$ принимает эту форму через свидетеля $s$

  3. для схем на основе решетки/кода, учитывая некоторые $(А, As + e)$, мы можем эффективно проверить, что $(Ас+е)$ принимает эту форму через свидетеля $(с, е)$.

Все это говорит о том, что, имея секретный ключ некоторого PKE, обычно довольно легко проверить правильность структуры открытого ключа (а не просто какой-то случайный элемент).

Теперь открытый ключ будет в наборе coNP, если, учитывая некоторые "$пк$" это нет открытый ключ (а вместо этого просто какой-то «случайный элемент»), можно эффективно проверить это. Например, для RSA, если кто-то дает вам $N$ что не можем быть записано как $N = pq$, вы можете эффективно проверить это с помощью полной факторизации $N = \prod_i p_i^{e_i}$. $((p_1, e_1),\точки,(p_k,e_k))$ поэтому служит свидетелем $N$ нет являющийся открытым ключом RSA, и в этом смысле открытые ключи RSA являются как набором NP, так и набором coNP.

Утверждение этого раздела статьи состоит в том, что предварительное условие

шифрование является детерминированным, и набор открытых ключей образует набор coNP.

является ограничительным. Я лично рассматриваю первую часть этого как более ограничительную, чем вторая. Например, мне кажется вероятным, что во всех трех приведенных выше примерах открытые ключи образуют набор coNP. В первых двух примерах это очевидно, а в третьем я думаю, что достаточно сильная редукция базиса может/должна работать как свидетель, в частности, если $В$ достаточно короткая основа для дуального $\mathcal{L}(A)$, тогда $(BA + Be)$ будет необычно коротким вектором для «истинной выборки LWE», но будет равномерно случайным для случайной выборки, например. будет свидетелем СОНП.

0 + 0
poncho avatar
флаг my
poncho
«Практически для всех известных схем шифрования с открытым ключом открытые ключи образуют набор NP»; единственный способ для схемы шифрования с открытым ключом избежать этого - иметь непрактичный шаг генерации открытого/закрытого ключа, то есть тот, который занимает суперполиномиальное количество времени. В противном случае очевидно, как использовать этот этап генерации ключа в качестве эффективного верификатора (с начальным числом, являющимся недетерминированным вводом).
0
Ответить
Mark avatar
флаг ng
Mark
@poncho есть «практичные» способы, которыми открытые ключи схемы не могут сформировать набор NP, например, если для генерации ключа требуется взаимодействие. Хотя для шифрования это глупо, технически это можно сделать, и есть другие примитивы (разные многопартийные), где это менее глупо.
0
Ответить
poncho avatar
флаг my
poncho
Я бы не согласился с многопартийным примером; все многосторонние вычисления (и все взаимодействия) можно эмулировать в поливремени (что будет, если каждая сторона вычисляет в полиномиальном времени, а количество сторон только полиномиальное), тогда эта эмуляция может использоваться в качестве верификатора.
0
Ответить
Mark avatar
флаг ng
Mark
@poncho, если эмуляция формы, о которой вы заявляете, существует, это означает, что любой интерактивный протокол для двух игроков (скажем, с некоторым постоянным количеством раундов для простоты) находится в NP, например. PH коллапсирует до $coNP = NP$, что, как считается, не выполняется. Есть некоторые нюансы с использованием случайности (примером, который не обращается к взаимодействию открытых ключей, не являющихся набором NP, будет ситуация, когда проверка рандомизирована, где, я думаю, они будут набором MA), но даже они не Этого достаточно, чтобы сохранить ваш аргумент --- большинство теоретиков сложности одновременно думают, что P = BPP, а PH не коллапсирует iirc.
0
Ответить
bagheera avatar
флаг in
bagheera
Эй, Марк, спасибо!!. Я прочитал оригинальную статью Брассарда, где он показал, что если f является OWF, где домен NP, а Range Co-NP, то в предположении P!= NP, если вы хотите доказать, что f^-1 является NP-сложным, это приведет к NP = соНП. Я думаю, что доказательство на самом деле было довольно простым, но я не полностью следую переформулировке в этой статье. Верны ли следующие утверждения: набор сообщений (набор NP) Набор открытых ключей (наборы CoNP) [например, RSA, DL, LWE] Я предполагаю, что для переноса доказательства мне нужно, чтобы (Enc_pk(m), pk) также был в coNP, но как я могу проверить, является ли Enc_pk(m) плохим шифрованием?
0
Ответить
Mark avatar
флаг ng
Mark
@bagheera Мне нужно прочитать Брассара, чтобы ответить, и я не могу найти копию. Кажется, Гольдрайх + Гольдвассер утверждают, что вы должны внимательно прочитать теорему 2, пункт 2ii. Я был бы удивлен, если бы окончательное переформулирование вообще касалось «набора сообщений», поскольку обычно не предполагается, что с ними связана какая-либо сложная проблема. Кажется правдоподобным, что они рассматривают $m\mapsto (Enc_pk(m), pk)$ как своего рода OWF и обращаются к Брассарду за проблемой его инвертирования. При этом я не могу сказать ничего конкретного без копии Брассара.
0
Ответить
bagheera avatar
флаг in
bagheera
Без проблем, нашел копию на ieee через школу. Спасибо за ваши ответы, они были очень полезны
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.