Score:1

กุญแจสาธารณะอยู่ใน conNP หมายความว่าอย่างไร

ธง in

ฉันกำลังอ่าน กระดาษแผ่นนี้.

และในหน้า 2 มีการอ้างสิทธิ์ดังต่อไปนี้: พิจารณาโครงร่างการเข้ารหัสคีย์สาธารณะด้วยการเข้ารหัสที่กำหนดขึ้น อัลกอริทึมและสมมติว่าชุดของคีย์สาธารณะที่ถูกต้องอยู่ใน coNP แล้วถ้าดึงข้อความธรรมดา จากคู่ (ciphertext, public-key) คือ NP-Hard จากนั้น NP = coNP

ฉันเดาว่าสิ่งที่ฉันไม่เข้าใจอย่างสมบูรณ์คือการที่ชุดของคีย์สาธารณะอยู่ใน co-NP หมายความว่าอย่างไร อาจมีตัวอย่างที่เข้าใจง่ายหรือไม่?

Score:3
ธง ng
  • เอ็น.พี คือชุดของปัญหาการตัดสินใจที่มี ตรวจสอบได้อย่างมีประสิทธิภาพ. ให้ตัวอย่าง $x$ ของปัญหาการตัดสินใจ มี "ข้อพิสูจน์" สั้นๆ $w$ ที่ให้ทั้งคู่ $(x, w)$หนึ่งสามารถตรวจสอบได้อย่างมีประสิทธิภาพว่า $x$ เป็นความจริง.

  • คอป คือชุดของปัญหาการตัดสินใจที่มี หักล้างได้อย่างมีประสิทธิภาพ. ให้ตัวอย่าง $x$ ของปัญหาการตัดสินใจ มีคำว่า "dis-proof" สั้นๆ $w$ ที่ให้ทั้งคู่ $(x, w)$หนึ่งสามารถตรวจสอบได้อย่างมีประสิทธิภาพว่า $x$ เป็นเท็จ

สำหรับโครงร่างการเข้ารหัสคีย์สาธารณะที่รู้จักทั้งหมด คีย์สาธารณะจะสร้างชุด NP สิ่งนี้หมายความว่า? ให้รหัสสาธารณะบางส่วน $pk$มีข้อมูลเพิ่มเติมบางอย่าง $sk$ (รหัสลับ) เพื่อให้สามารถตรวจสอบได้อย่างมีประสิทธิภาพ $pk$ เป็นกุญแจสาธารณะที่เกี่ยวกับรหัสลับ $sk$. ตัวอย่างเช่น

  1. สำหรับ RSA $N = pq$. ให้บางส่วน $N'$ ซึ่งจะใช้แบบฟอร์มนี้หรือไม่ก็ได้ เราสามารถตรวจสอบได้อย่างมีประสิทธิภาพผ่านพยาน $(พี, คิว)$.

  2. สำหรับสมมติฐานประเภท DLOG ให้บางส่วน $(g, g^s)$เราสามารถตรวจสอบได้อย่างมีประสิทธิภาพในทำนองเดียวกัน $g^s$ ใช้แบบฟอร์มนี้ผ่านทางพยาน $s$

  3. สำหรับโครงร่างขัดแตะ/โค้ด ให้บางส่วน $(ก, เป็น + จ)$เราสามารถตรวจสอบได้อย่างมีประสิทธิภาพ $(เป็น + e)$ ใช้แบบฟอร์มนี้ผ่านทางพยาน $(s, อี)$.

ทั้งหมดนี้หมายความว่า ด้วยคีย์ลับของ PKE บางตัว การตรวจสอบคีย์สาธารณะนั้นมีโครงสร้างถูกต้องนั้นค่อนข้างง่าย (และไม่ใช่แค่องค์ประกอบแบบสุ่ม)

ตอนนี้รหัสสาธารณะจะอยู่ในชุด conNP หากกำหนด "$pk$" นั่นคือ ไม่ กุญแจสาธารณะ (และแทนที่จะเป็นเพียง "องค์ประกอบสุ่ม") เราสามารถตรวจสอบสิ่งนี้ได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น สำหรับ RSA ถ้ามีคนให้บางอย่างแก่คุณ $N$ นั่น ไม่ได้ เขียนเป็น $N = pq$คุณสามารถตรวจสอบสิ่งนี้ได้อย่างมีประสิทธิภาพผ่านการแยกตัวประกอบที่สมบูรณ์ของ $N = \prod_i p_i^{e_i}$. $((p_1, e_1),\dots,(p_k,e_k))$ จึงทำหน้าที่เป็นพยานให้ $N$ ไม่ เป็นคีย์สาธารณะ RSA และในแง่นี้คีย์สาธารณะ RSA เป็นทั้งชุด NP และชุด conNP

การอ้างสิทธิ์ในส่วนนั้นของกระดาษคือเงื่อนไขเบื้องต้น

การเข้ารหัสถูกกำหนดขึ้นและชุดของคีย์สาธารณะสร้างชุด conNP

มีข้อจำกัด โดยส่วนตัวแล้วฉันมองว่าส่วนแรกของสิ่งนี้มีข้อ จำกัด มากกว่าส่วนที่สอง ตัวอย่างเช่น สำหรับฉันแล้ว ดูเหมือนว่าในทั้งสามตัวอย่างที่ฉันกล่าวถึงข้างต้น คีย์สาธารณะสร้างชุด conNP ในสองตัวอย่างแรกนั้นชัดเจน และในตัวอย่างที่สาม ฉันคิดว่าการลดพื้นฐานที่แข็งแกร่งเพียงพอสามารถ/ควรทำงานเป็นพยานได้ โดยเฉพาะอย่างยิ่งถ้า $B$ เป็นพื้นฐานที่สั้นพอสำหรับคู่ของ $\mathcal{L}(A)$, แล้ว $(BAs + Be)$ จะเป็นเวกเตอร์ที่สั้นผิดปกติสำหรับตัวอย่าง "true LWE" แต่จะสุ่มอย่างสม่ำเสมอสำหรับตัวอย่างแบบสุ่ม เช่น จะไปเป็นพยานให้

poncho avatar
my flag
"โดยพื้นฐานแล้วรูปแบบการเข้ารหัสคีย์สาธารณะที่รู้จักทั้งหมด คีย์สาธารณะจะสร้างชุด NP"; วิธีเดียวที่รูปแบบการเข้ารหัสคีย์สาธารณะจะหลีกเลี่ยงปัญหานี้ได้คือต้องมีขั้นตอนการสร้างคีย์สาธารณะ/ส่วนตัวที่ไม่สามารถทำได้ นั่นคือขั้นตอนที่ใช้เวลาหลายโพลิโนเมียลมาก มิฉะนั้น จะเห็นได้ชัดว่าจะใช้ขั้นตอนการสร้างคีย์นั้นเป็นตัวตรวจสอบที่มีประสิทธิภาพได้อย่างไร (โดยที่เมล็ดเป็นอินพุตที่ไม่ได้กำหนด)
Mark avatar
ng flag
@poncho มีวิธี "ปฏิบัติ" ที่คุณสามารถทำให้คีย์สาธารณะของโครงร่างล้มเหลวในการสร้างชุด NP เช่น หากการสร้างคีย์ต้องมีการโต้ตอบ ในขณะที่การเข้ารหัสเป็นเรื่องงี่เง่า แต่ในทางเทคนิคแล้วสามารถทำได้ และยังมีวิธีดั้งเดิมอื่นๆ (หลายฝ่าย) ที่มันโง่น้อยกว่า
poncho avatar
my flag
ฉันไม่เห็นด้วยกับตัวอย่างหลายฝ่าย การคำนวณแบบหลายฝ่ายทั้งหมด (และการโต้ตอบทั้งหมด) สามารถจำลองได้ในโพลีไทม์ (ซึ่งจะเกิดขึ้นหากแต่ละฝ่ายคำนวณในโพลีไทม์ และมีจำนวนฝ่ายพหุนามเท่านั้น) การจำลองนั้นสามารถใช้เป็นตัวตรวจสอบได้
Mark avatar
ng flag
@poncho หากมีการจำลองรูปแบบที่คุณอ้างสิทธิ์ แสดงว่ามีโปรโตคอลแบบโต้ตอบสำหรับผู้เล่น 2 คน (พูดด้วยจำนวนรอบคงที่เพื่อความง่าย) อยู่ใน NP เช่น ค่า PH ลดลงเหลือ $coNP = NP$ ซึ่งไม่คิดว่าจะคงอยู่ มีความแตกต่างบางประการกับการใช้การสุ่ม (ตัวอย่างที่ไม่ดึงดูดการโต้ตอบของคีย์สาธารณะที่ไม่ใช่ชุด NP จะเป็นสถานการณ์ที่การตรวจสอบถูกสุ่ม ซึ่งฉันคิดว่าจะเป็นชุด MA) แต่ถึงแม้จะไม่ใช่ ' ไม่เพียงพอที่จะบันทึกข้อโต้แย้งของคุณ --- นักทฤษฎีความซับซ้อนส่วนใหญ่คิดว่า P = BPP และ PH ไม่ยุบ iirc พร้อมกัน
bagheera avatar
in flag
เฮ้ มาร์ค ขอบคุณ!!. ฉันอ่านกระดาษต้นฉบับของ Brassard ซึ่งเขาแสดงให้เห็นว่า f เป็น OWF โดยที่โดเมน NP และ Range Co-NP ภายใต้สมมติฐานของ P != NP หากคุณต้องการพิสูจน์ว่า f^-1 คือ NP-hard จะส่งผลให้ NP =โคเอ็นพี ฉันคิดว่าการพิสูจน์นั้นค่อนข้างง่าย แต่ฉันไม่ได้ติดตามการกล่าวซ้ำในบทความนี้อย่างสมบูรณ์ ข้อความต่อไปนี้เป็นจริงหรือไม่: ชุดข้อความ (ชุด NP) ชุดคีย์สาธารณะ (ชุด ConP) [เช่น RSA, DL, LWE] ฉันเดาว่าหลักฐานที่จะดำเนินการต่อไปฉันต้องการ (Enc_pk(m), pk) ให้อยู่ใน coNP ด้วย แต่ฉันจะยืนยันได้อย่างไรว่า Enc_pk(m) เป็นการเข้ารหัสที่ไม่ถูกต้อง
Mark avatar
ng flag
@bagheera ฉันต้องการอ่าน Brassard เพื่อตอบและไม่พบสำเนา ดูเหมือนว่า Goldreich+Goldwasser ระบุว่าคุณควรอ่านทฤษฎีบท 2 ข้อ 2ii อย่างรอบคอบ ฉันจะแปลกใจถ้าการกล่าวซ้ำครั้งสุดท้ายเกี่ยวข้องกับ "ชุดข้อความ" ด้วย เนื่องจากโดยปกติแล้วไม่มีปัญหาหนักที่สันนิษฐานว่าเกี่ยวข้องกับสิ่งเหล่านี้ ดูเหมือนว่าเป็นไปได้ว่าพวกเขากำลังดู $m\mapsto (Enc_pk(m), pk)$ เป็น OWF แปลก ๆ และดึงดูดให้ Brassard แก้ไขปัญหาในการกลับด้าน ถึงกระนั้น ฉันไม่สามารถพูดอะไรที่เป็นรูปธรรมได้หากไม่มีสำเนาของบราสซาร์ด
bagheera avatar
in flag
ไม่มีปัญหา พบสำเนาใน ieee ผ่านโรงเรียน ขอบคุณสำหรับคำตอบของคุณ พวกเขามีประโยชน์อย่างมาก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา