Puncte:1

Ce înseamnă ca cheile publice să fie în coNP

drapel in

Citeam această hârtie.

Și pe pagina 2 s-a făcut următoarea afirmație: Luați în considerare o schemă de criptare cu cheie publică cu o criptare deterministă algoritm și să presupunem că setul de chei publice valide este în coNP. Apoi, dacă preluați textul simplu din perechea (text cifrat, cheie publică) este NP-Hard, atunci NP = conNP.

Cred că ceea ce nu înțeleg complet este ce înseamnă ca un set de chei publice să fie în co-NP? Există poate un exemplu intuitiv?

Puncte:3
drapel ng
  • NP este ansamblul problemelor de decizie care sunt verificabil eficient. Având un exemplu $x$ a problemei de decizie, există o scurtă „dovadă” $w$ asta, dată fiind perechea $(x, w)$, se poate verifica eficient asta $x$ este adevarat.

  • conNP este ansamblul problemelor de decizie care sunt refutabil eficient. Având un exemplu $x$ a problemei de decizie, există o scurtă „dis-proof” $w$ asta, dată fiind perechea $(x, w)$, se poate verifica eficient asta $x$ este fals.

Pentru toate schemele de criptare cunoscute cu chei publice, cheile publice formează un set NP. Ce inseamna asta? Dată o cheie publică $pk$, există câteva informații suplimentare $sk$ (cheia secretă) astfel încât să se poată verifica eficient asta $pk$ este o cheie publică în raport cu cheia secretă $sk$. De exemplu

  1. pentru RSA, $N = pq$. Având în vedere unele $N'$ care poate lua sau nu această formă, putem verifica eficient prin intermediul martorului $(p, q)$.

  2. pentru ipotezele de tip DLOG, având în vedere unele $(g, g^s)$, putem verifica în mod similar în mod eficient că $g^s$ ia această formă prin intermediul martorului $s$

  3. pentru schemele bazate pe zăbrele/cod, având în vedere unele $(A, As + e)$, putem verifica eficient asta $(Ca + e)$ ia această formă prin intermediul martorului $(s, e)$.

Toate acestea înseamnă că, având în vedere cheia secretă a unor PKE, este de obicei destul de ușor să verificați că cheia publică este structurată corect (și nu doar un element aleatoriu).

Acum, o cheie publică ar fi într-un set conp dacă, având în vedere niște "$pk$" acesta este nu o cheie publică (și în schimb este pur și simplu un „element aleatoriu”), se poate verifica eficient acest lucru. De exemplu, pentru RSA, dacă cineva vă oferă $N$ acea nu poti fi scris ca $N = pq$, puteți verifica eficient acest lucru printr-o factorizare completă a $N = \prod_i p_i^{e_i}$. $((p_1, e_1),\dots,(p_k,e_k))$ de aceea serveste drept martor la $N$ nu fiind o cheie publică RSA, iar în acest sens cheile publice RSA sunt atât un set NP cât și un set coNP.

Pretenția acelei secțiuni a lucrării este că condiția prealabilă

criptarea este deterministă și setul de chei publice formează un set coNP.

este restrictiv. Eu personal consider prima parte a acestui lucru ca fiind mai restrictivă decât a doua. De exemplu, mi se pare probabil că în toate cele trei exemple pe care le-am menționat mai sus, cheile publice formează un set conp. În primele două exemple este evident, iar în al treilea cred că o reducere a bazei suficient de puternică ar putea/ar trebui să funcționeze ca martor, în special dacă $B$ este o bază suficient de scurtă pentru dualitatea de $\mathcal{L}(A)$, atunci $(BAs + Be)$ va fi un vector neobișnuit de scurt pentru o probă „adevărată LWE”, dar va fi uniform aleatoriu pentru o probă aleatoare, de ex. va fi martor coNP.

poncho avatar
drapel my
„Pentru în esență toate schemele cunoscute de criptare cu chei publice, cheile publice formează un set NP”; singura modalitate prin care o schemă de criptare cu cheie publică poate evita acest lucru este să aibă un pas nepractic de generare a cheii publice/private - adică unul care necesită o perioadă de timp superpolinom. În caz contrar, este evident cum să folosiți acel pas de generare a cheii ca un verificator eficient (semințele fiind intrarea nedeterministă)
Mark avatar
drapel ng
@poncho există modalități „practice” în care cheile publice ale schemei nu reușesc să formeze un set NP, de exemplu, dacă generarea cheilor necesită interacțiune. În timp ce pentru criptare, acest lucru este o prostie, din punct de vedere tehnic s-ar putea face, și există și alte primitive (diferite multiparty) unde este mai puțin prostesc.
poncho avatar
drapel my
Nu aș fi de acord cu exemplul multipartid; toate calculele multiparty (și toate interacțiunile) pot fi emulate în polytime (ceea ce se va întâmpla dacă fiecare parte calculează în polytime și există doar un număr polinom de părți), atunci acea emulație ar putea fi utilizată ca verificator.
Mark avatar
drapel ng
@poncho dacă există o emulare a formei pe care o pretindeți, înseamnă că orice protocol interactiv pentru 2 jucători (să zicem cu un număr constant de runde pentru simplitate) este în NP, de ex. PH se prăbușește la $coNP = NP$, ceea ce nu se crede că este valabil. Există câteva nuanțe în utilizarea aleatoriei (un exemplu care nu face apel la interacțiunea cheilor publice care nu sunt un set NP ar fi o situație în care verificarea este aleatorie, unde cred că ar fi un set MA), dar chiar și acestea sunt Este suficient pentru a vă salva argumentul --- cei mai mulți teoreticieni ai complexității cred simultan că P = BPP și PH nu se prăbușește iirc.
bagheera avatar
drapel in
Hei Mark, multumesc!! Am citit lucrarea originală a lui Brassard, unde a arătat dacă f este un OWF unde domeniul NP și Range Co-NP, atunci sub ipoteza P != NP, dacă doriți să demonstrați că f^-1 este NP-hard va avea ca rezultat NP =coNP. Cred că această dovadă a fost de fapt destul de simplă, dar nu urmăresc complet reformularea din această lucrare. Sunt adevărate următoarele afirmații: set de mesaje (set NP) Set de chei publice (seturi CoNP) [de exemplu RSA, DL, LWE] Cred că pentru ca dovada să fie transferată, aș avea nevoie de (Enc_pk(m), pk) să fie și în conP, dar cum verific dacă Enc_pk(m) este o criptare proastă?
Mark avatar
drapel ng
@bagheera Ar trebui să citesc Brassard pentru a răspunde și nu găsesc o copie. Se pare că Goldreich+Goldwasser spun că ar trebui să citiți cu atenție teorema 2, elementul 2ii. Aș fi surprins dacă reformularea finală a implicat deloc „setul de mesaje”, deoarece de obicei nu există nicio problemă grea care se presupune că ar fi legată de acestea. Pare plauzibil că văd $m\mapsto (Enc_pk(m), pk)$ ca un fel de OWF și fac apel la Brassard pentru problema inversării acestuia. Acestea fiind spuse, nu pot spune nimic concret fără o copie a lui Brassard.
bagheera avatar
drapel in
Nicio problemă, am găsit o copie pe ieee prin școală. Vă mulțumesc pentru răspunsurile voastre, mi-au fost extrem de utile

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.