Рейтинг:1

Что означает наличие открытых ключей в coNP

флаг in

я читал Эта бумага.

А на странице 2 было сделано следующее утверждение: Рассмотрим схему шифрования с открытым ключом с детерминированным шифрованием. алгоритм, и предположим, что набор действительных открытых ключей находится в coNP. Тогда, если получить открытый текст из пары (зашифрованный текст, открытый ключ) является NP-Hard, тогда NP = coNP.

Я думаю, что я не совсем понимаю, что означает, что набор открытых ключей находится в совместном NP? Может есть интуитивный пример?

Рейтинг:3
флаг ng
  • НП представляет собой набор проблем решения, которые эффективно проверяемый. Учитывая экземпляр $х$ проблемы решения есть короткое "доказательство" $w$ что, учитывая пару $(х, ш)$, можно эффективно проверить, что $х$ правда.

  • соНП представляет собой набор проблем решения, которые эффективно опровергаемый. Учитывая экземпляр $х$ проблемы решения есть короткое "опровержение" $w$ что, учитывая пару $(х, ш)$, можно эффективно проверить, что $х$ является ложным.

Практически для всех известных схем шифрования с открытым ключом открытые ключи образуют набор NP. Что это значит? Учитывая некоторый открытый ключ $пк$, есть дополнительная информация $ск$ (секретный ключ), чтобы можно было эффективно проверить, что $пк$ является открытым ключом по отношению к секретному ключу $ск$. Например

  1. для ЮАР, $N = pq$. Учитывая некоторые $N'$ который может принять или не принять эту форму, мы можем эффективно проверить это через свидетеля $(р, д)$.

  2. для предположений типа DLOG, учитывая некоторые $(г, г^с)$, мы можем аналогичным образом эффективно проверить, что $g^s$ принимает эту форму через свидетеля $s$

  3. для схем на основе решетки/кода, учитывая некоторые $(А, As + e)$, мы можем эффективно проверить, что $(Ас+е)$ принимает эту форму через свидетеля $(с, е)$.

Все это говорит о том, что, имея секретный ключ некоторого PKE, обычно довольно легко проверить правильность структуры открытого ключа (а не просто какой-то случайный элемент).

Теперь открытый ключ будет в наборе coNP, если, учитывая некоторые "$пк$" это нет открытый ключ (а вместо этого просто какой-то «случайный элемент»), можно эффективно проверить это. Например, для RSA, если кто-то дает вам $N$ что не можем быть записано как $N = pq$, вы можете эффективно проверить это с помощью полной факторизации $N = \prod_i p_i^{e_i}$. $((p_1, e_1),\точки,(p_k,e_k))$ поэтому служит свидетелем $N$ нет являющийся открытым ключом RSA, и в этом смысле открытые ключи RSA являются как набором NP, так и набором coNP.

Утверждение этого раздела статьи состоит в том, что предварительное условие

шифрование является детерминированным, и набор открытых ключей образует набор coNP.

является ограничительным. Я лично рассматриваю первую часть этого как более ограничительную, чем вторая. Например, мне кажется вероятным, что во всех трех приведенных выше примерах открытые ключи образуют набор coNP. В первых двух примерах это очевидно, а в третьем я думаю, что достаточно сильная редукция базиса может/должна работать как свидетель, в частности, если $В$ достаточно короткая основа для дуального $\mathcal{L}(A)$, тогда $(BA + Be)$ будет необычно коротким вектором для «истинной выборки LWE», но будет равномерно случайным для случайной выборки, например. будет свидетелем СОНП.

poncho avatar
флаг my
«Практически для всех известных схем шифрования с открытым ключом открытые ключи образуют набор NP»; единственный способ для схемы шифрования с открытым ключом избежать этого - иметь непрактичный шаг генерации открытого/закрытого ключа, то есть тот, который занимает суперполиномиальное количество времени. В противном случае очевидно, как использовать этот этап генерации ключа в качестве эффективного верификатора (с начальным числом, являющимся недетерминированным вводом).
Mark avatar
флаг ng
@poncho есть «практичные» способы, которыми открытые ключи схемы не могут сформировать набор NP, например, если для генерации ключа требуется взаимодействие. Хотя для шифрования это глупо, технически это можно сделать, и есть другие примитивы (разные многопартийные), где это менее глупо.
poncho avatar
флаг my
Я бы не согласился с многопартийным примером; все многосторонние вычисления (и все взаимодействия) можно эмулировать в поливремени (что будет, если каждая сторона вычисляет в полиномиальном времени, а количество сторон только полиномиальное), тогда эта эмуляция может использоваться в качестве верификатора.
Mark avatar
флаг ng
@poncho, если эмуляция формы, о которой вы заявляете, существует, это означает, что любой интерактивный протокол для двух игроков (скажем, с некоторым постоянным количеством раундов для простоты) находится в NP, например. PH коллапсирует до $coNP = NP$, что, как считается, не выполняется. Есть некоторые нюансы с использованием случайности (примером, который не обращается к взаимодействию открытых ключей, не являющихся набором NP, будет ситуация, когда проверка рандомизирована, где, я думаю, они будут набором MA), но даже они не Этого достаточно, чтобы сохранить ваш аргумент --- большинство теоретиков сложности одновременно думают, что P = BPP, а PH не коллапсирует iirc.
bagheera avatar
флаг in
Эй, Марк, спасибо!!. Я прочитал оригинальную статью Брассарда, где он показал, что если f является OWF, где домен NP, а Range Co-NP, то в предположении P!= NP, если вы хотите доказать, что f^-1 является NP-сложным, это приведет к NP = соНП. Я думаю, что доказательство на самом деле было довольно простым, но я не полностью следую переформулировке в этой статье. Верны ли следующие утверждения: набор сообщений (набор NP) Набор открытых ключей (наборы CoNP) [например, RSA, DL, LWE] Я предполагаю, что для переноса доказательства мне нужно, чтобы (Enc_pk(m), pk) также был в coNP, но как я могу проверить, является ли Enc_pk(m) плохим шифрованием?
Mark avatar
флаг ng
@bagheera Мне нужно прочитать Брассара, чтобы ответить, и я не могу найти копию. Кажется, Гольдрайх + Гольдвассер утверждают, что вы должны внимательно прочитать теорему 2, пункт 2ii. Я был бы удивлен, если бы окончательное переформулирование вообще касалось «набора сообщений», поскольку обычно не предполагается, что с ними связана какая-либо сложная проблема. Кажется правдоподобным, что они рассматривают $m\mapsto (Enc_pk(m), pk)$ как своего рода OWF и обращаются к Брассарду за проблемой его инвертирования. При этом я не могу сказать ничего конкретного без копии Брассара.
bagheera avatar
флаг in
Без проблем, нашел копию на ieee через школу. Спасибо за ваши ответы, они были очень полезны

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.