ขอบเขตที่ต่ำกว่าซีมโทติคเกี่ยวข้องกับการเข้ารหัสหรือไม่

ขอบเขตล่างแบบเชิงเส้นกำกับเช่นความแข็งเลขชี้กำลังโดยทั่วไปมักคิดว่าบ่งบอกว่าปัญหาคือ "ยากโดยเนื้อแท้" การเข้ารหัสที่ "ยากโดยเนื้อแท้" ในการทำลายถือว่าเป็นความปลอดภัย

อย่างไรก็ตามขอบเขตล่างแบบอะซิมโทติกไม่ได้ตัดทอนความเป็นไปได้ที่อินสแตนซ์ของปัญหาที่มีขนาดใหญ่ แต่มีจำนวน จำกัด นั้นเป็นเรื่องง่าย (เช่นทุกกรณีที่มีขนาดน้อยกว่า ) $10^{1000}$

มีเหตุผลใดบ้างที่คิดว่าการเข้ารหัสที่อิงตามขอบเขตล่างของซีมโทติคจะทำให้เกิดความปลอดภัยในระดับใดระดับหนึ่งหรือไม่? ผู้เชี่ยวชาญด้านความปลอดภัยพิจารณาความเป็นไปได้ดังกล่าวหรือไม่หรือไม่ก็เพิกเฉย

ตัวอย่างคือการใช้ฟังก์ชั่นประตูกับดักตามการสลายตัวของจำนวนมากเป็นปัจจัยสำคัญ มีอยู่ช่วงหนึ่งที่คิดว่าเป็นเรื่องยากโดยเนื้อแท้ (ฉันคิดว่าเลขชี้กำลังเป็นการคาดเดา) แต่ตอนนี้หลายคนเชื่อว่าอาจมีอัลกอริทึมพหุนาม (เช่นเดียวกับการทดสอบแบบดั้งเดิม) ดูเหมือนว่าไม่มีใครสนใจเป็นอย่างมากเกี่ยวกับการขาดขอบเขตล่างแบบเอ็กซ์โปเนนเชียล

ฉันเชื่อว่าฟังก์ชั่นประตูกับดักอื่น ๆ ได้รับการเสนอชื่อซึ่งคิดว่าเป็น NP-hard (ดูคำถามที่เกี่ยวข้อง ) และบางคนอาจมีขอบเขตล่างที่พิสูจน์แล้ว คำถามของฉันเป็นพื้นฐานมากขึ้น: มันเป็นสิ่งสำคัญขอบเขต asymptotic คืออะไร? ถ้าไม่เป็นเช่นนั้นความปลอดภัยในทางปฏิบัติของรหัสการเข้ารหัสใด ๆ ที่เกี่ยวข้องกับผลลัพธ์ความซับซ้อนแบบอะซิมโทติคหรือไม่?

complexity-theory cryptography asymptotics

— มิคาห์เบ็ค
แหล่งที่มา

ยินดีต้อนรับ! ไม่ได้ค่อนข้างซ้ำ แต่ที่เกี่ยวข้องมาก: คำถามนี้ เพื่อปรับปรุงคำถามโปรดยกตัวอย่างที่เป็นรูปธรรมที่คุณคิดว่าปัญหาถูกเพิกเฉย คุณไม่ต้องการต่อสู้กับโรงสีลม!

— Raphael

ฉันจะพยายามให้คำตอบบางส่วนเนื่องจากฉันไม่ได้ตระหนักถึงวิธีการพิจารณาปัญหานี้โดยชุมชน crypto ทั้งหมด (อาจ repost ในcrypto.SE ?)

ฉันจะบอกว่ามี cryptographers "แบบ" สองแบบ: ทางทฤษฎีและ ปฏิบัติ ฉันจะไม่พยายามแยกพวกเขาออกจากกัน (ผู้ฝึกสอนการเข้ารหัสทุกคนก็เป็นนักทฤษฎี .. ) แต่ฉันจะบอกว่าสำหรับการเข้ารหัสเชิงทฤษฎี - ปัญหานี้ไม่สำคัญเลย สำหรับพารามิเตอร์ความปลอดภัยใด ๆ จะมีขนาดอินสแตนซ์ที่จะให้ระดับความปลอดภัยนั้นและนั่นคือทั้งหมดที่เราใส่ใจ

$2^{1024}$ ) ผู้เข้ารหัสลับพยายามหาวิธีที่มีประสิทธิภาพที่สุดในการกำจัดค่าคงที่ให้ได้มากที่สุด ค้นหาตัวอย่างการแข่งขันAESหรือSHA-3ของ NIST อัลกอริทึมนั้นจำเป็นต้องมีทั้งความปลอดภัยและประสิทธิภาพ ปัญหาที่นี่คือความคิดของการรักษาความปลอดภัยค่อนข้างแตกต่างจาก "ทฤษฎี" และบางครั้งก็ไม่ได้เป็นซีมโทติคจริงๆ

ตัวอย่างที่เป็นรูปธรรมที่ฉันสามารถคิดเป็นบันทึกที่ไม่ต่อเนื่องหรือสมมติฐาน DDH (การรักษาความปลอดภัยของรูปแบบการเข้ารหัสลับจำนวนมากจะขึ้นอยู่กับสมมติฐานเหล่านี้) เราคิดว่าสำหรับบางกลุ่ม $G$ คำนวณจากบันทึก $O(|G|)$ เวลา. (เราไม่แน่ใจ: อาจเป็นได้ $\text{P}=\text{NP}$ และปัญหานี้สามารถแก้ไขได้ $O(\log |G|)$ ) ถอดรหัสDOดูแลเกี่ยวกับเวลาที่เกิดขึ้นจริงก็จะใช้เวลาในการคำนวณล็อก แม่นยำยิ่งขึ้นพวกเขาใส่ใจอย่างมากเกี่ยวกับกรณีพิเศษที่การคำนวณบันทึกเป็นเรื่องง่าย ในเอกสารจำนวนมากคุณจะเห็นประโยค "อนุญาต" $G$ เป็นกลุ่มที่ DDH ยาก "ดูแบบสำรวจนี้สำหรับครอบครัวของกลุ่มที่เชื่อว่า DDH เป็นเรื่องยาก (ยกเว้น P = NP)

— รันจี
แหล่งที่มา

คำตอบนี้ไม่ได้ทำให้ฉันพอใจอย่างมากบางทีอาจเป็นเพราะฉันไม่เชี่ยวชาญพอที่จะหาวิธีที่จะตอบคำถามของฉัน เป็นที่ยอมรับว่าฉันไม่ได้ศึกษาทฤษฎีความซับซ้อนเป็นเวลา 25 ปี แต่ฉันเข้าใจแนวคิดพื้นฐานมากมาย ต้องดูบางส่วนของการอ้างอิงการเชื่อมโยงมันก็ดูเหมือนว่า characterizations ซับซ้อนที่ใช้เป็น asymptoticดังนั้นฉันยังคงไม่สามารถคิดออกว่าพวกเขาสามารถให้การค้ำประกันที่ใช้งานได้มากกว่าจำกัดชั้นเรียนของอินสแตนซ์

— คาห์เบค