Предположение о вычислительной сложности

В теории сложности вычислений предположение о вычислительной сложности — это гипотеза о том, что конкретная проблема не может быть решена эффективно (где эффективно обычно означает «за полиномиальное время »). Неизвестно, как доказать (безусловную) сложность практически любой полезной задачи. Вместо этого ученые-компьютерщики полагаются на сокращения , чтобы формально связать сложность новой или сложной проблемы с предположением о вычислительной сложности проблемы, которая лучше понята.

Предположения о вычислительной стойкости имеют особое значение в криптографии . Основная цель криптографии — создание криптографических примитивов с доказуемой безопасностью . В некоторых случаях обнаруживается, что криптографические протоколы обладают теоретической безопасностью ; одноразовый блокнот является распространенным примером. Однако теоретическая информационная безопасность не всегда может быть достигнута; в таких случаях криптографы прибегают к вычислительной безопасности. Грубо говоря, это означает, что эти системы безопасны при условии, что любые злоумышленники ограничены в вычислительных возможностях , как и все злоумышленники на практике.

Предположения о вычислительной сложности также полезны для разработчиков алгоритмов : простой алгоритм вряд ли сможет опровергнуть хорошо изученное предположение о вычислительной сложности, такое как P ≠ NP .

Ученые-компьютерщики по-разному оценивают, какие предположения о твердости более надежны.

Мы говорим, что предположение ${\displaystyle A}$ сильнее ​ предположения ${\displaystyle B}$ когда ${\displaystyle A}$ подразумевает ${\displaystyle B}$ (и обратное неверно или неизвестно). Другими словами, даже если предположение ${\displaystyle A}$ были ложными, предположение ${\displaystyle B}$ все еще может быть правдой, и криптографические протоколы, основанные на предположении ${\displaystyle B}$ может все еще быть безопасным в использовании. Таким образом, при разработке криптографических протоколов надеются доказать безопасность, используя самые слабые предположения.

Допущение среднего случая говорит, что конкретная проблема сложна для большинства случаев из некоторого явного распределения, тогда как предположение наихудшего случая говорит, что проблема сложна только в некоторых случаях. Для данной задачи сложность в среднем случае подразумевает сложность в наихудшем случае, поэтому предположение о сложности в среднем случае является более сильным, чем предположение о сложности в наихудшем случае для той же задачи. такое предположение, как гипотеза экспоненциального времени. Более того, даже для несравнимых задач часто рассматривается предпочтительнее, чем предположение среднего случая , такое как гипотеза о посеваемой клике . ^{[ 1 ]} Однако для криптографических приложений знание того, что у проблемы есть какой-то сложный экземпляр (в худшем случае проблема сложна), бесполезно, поскольку не дает нам способа генерировать жесткие экземпляры. ^{[ 2 ]} К счастью, многие предположения среднего случая, используемые в криптографии (включая RSA , дискретный журнал и некоторые проблемы решетки ), могут быть основаны на предположениях наихудшего случая посредством приведения наихудшего случая к среднему случаю. ^{[ 3 ]}

Желаемой характеристикой предположения о вычислительной сложности является фальсифицируемость , т.е. если бы предположение было ложным, его можно было бы доказать. В частности, Наор (2003) ввел формальное понятие криптографической фальсифицируемости. ^{[ 4 ]} Грубо говоря, предположение о вычислительной сложности называется фальсифицируемым, если его можно сформулировать в терминах задачи: интерактивный протокол между злоумышленником и эффективным проверяющим, где эффективный противник может убедить проверяющего принять его тогда и только тогда, когда предположение неверно.

Существует множество предположений о криптографической стойкости. Это список некоторых наиболее распространенных из них и некоторых криптографических протоколов, которые их используют.

Учитывая составное целое число ${\displaystyle n}$, и в частности тот, который является произведением двух больших простых чисел ${\displaystyle n=p\cdot q}$, задача целочисленной факторизации состоит в том, чтобы найти ${\displaystyle p}$ и ${\displaystyle q}$ (в более общем смысле, найдите простые числа ${\displaystyle p_{1},\dots ,p_{k}}$ такой, что ${\displaystyle n=\prod _{i}p_{i}}$). Это основная открытая проблема — найти алгоритм факторизации целых чисел, который работает за время, полиномиальное по размеру представления ( ${\displaystyle \log n}$). Безопасность многих криптографических протоколов основана на предположении, что факторизация целых чисел сложна (т. е. не может быть решена за полиномиальное время). Криптосистемы, безопасность которых эквивалентна этому предположению, включают криптосистему Рабина и криптосистему Окамото-Утиямы . Многие другие криптосистемы полагаются на более сильные предположения, такие как RSA , проблемы остаточности и сокрытие Phi .

Учитывая составное число ${\displaystyle n}$, показатель ${\displaystyle e}$ и номер ${\displaystyle c:=m^{e}(\mathrm {mod} \;n)}$, задача RSA состоит в том, чтобы найти ${\displaystyle m}$. , что задача Предполагается сложна, но становится простой при факторизации ${\displaystyle n}$. В RSA криптосистеме ${\displaystyle (n,e)}$ это открытый ключ , ${\displaystyle c}$ это шифрование сообщения ${\displaystyle m}$и факторизация ${\displaystyle n}$ секретный ключ, используемый для дешифрования.

Учитывая составное число ${\displaystyle n}$ и целые числа ${\displaystyle y,d}$, проблема невязкости состоит в том, чтобы определить, существует ли (альтернативно найти) ${\displaystyle x}$ такой, что

${\displaystyle x^{d}\equiv y{\pmod {n}}.}$

Важные частные случаи включают проблему квадратичной невязки и сложную проблему невязкости по решению . Как и в случае с RSA, эта проблема (и ее частные случаи) предположительно сложна, но становится проще при факторизации ${\displaystyle n}$. Некоторые криптосистемы, которые полагаются на сложность проблем с остаточностью, включают:

• Криптосистема Гольдвассера – Микали (задача квадратичной невязки)
• Генератор Blum Blum Shub (задача квадратичного невязки)
• Криптосистема Пайе (решающая сложная задача невязкости)
• Криптосистема Бенало (проблема с более высокой остаточностью)
• Криптосистема Наккаша – Штерна (проблема с более высокой остаточностью)

Для составного числа ${\displaystyle m}$, неизвестно, как эффективно вычислить его функцию тотента Эйлера ${\displaystyle \phi (m)}$. Предположение о сокрытии Фи постулирует, что трудно вычислить ${\displaystyle \phi (m)}$, и более того, даже вычисляя любые простые множители ${\displaystyle \phi (m)}$ это тяжело. Это предположение используется в протоколе PIR Кашена-Микали-Штадлера . ^{[ 5 ]}

Данные элементы ${\displaystyle a}$ и ${\displaystyle b}$ из группы ${\displaystyle G}$, задача дискретного журнала требует целого числа ${\displaystyle k}$ такой, что ${\displaystyle a=b^{k}}$. Проблема дискретного журнала не может быть сравнима с факторизацией целых чисел, но их вычислительная сложность тесно связана .

Большинство криптографических протоколов, связанных с проблемой дискретного журнала, фактически полагаются на более сильное предположение Диффи-Хеллмана : заданные элементы группы ${\displaystyle g,g^{a},g^{b}}$, где ${\displaystyle g}$ это генератор и ${\displaystyle a,b}$ являются случайными целыми числами, их трудно найти ${\displaystyle g^{a\cdot b}}$. Примеры протоколов, использующих это предположение, включают исходный обмен ключами Диффи-Хеллмана , а также шифрование Эль-Гамаля (которое основано на еще более надежном варианте Диффи-Хеллмана (DDH) ).

— Полилинейная карта это функция ${\displaystyle e:G_{1},\dots ,G_{n}\rightarrow G_{T}}$ (где ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ являются группами ) такие, что для любого ${\displaystyle g_{1},\dots ,g_{n}\in G_{1},\dots G_{n}}$ и ${\displaystyle a_{1},\dots ,a_{n}}$,

${\displaystyle e(g_{1}^{a_{1}},\dots ,g_{n}^{a_{n}})=e(g_{1},\dots ,g_{n})^{a_{1}\cdots a_{n}}}$.

Для криптографических приложений хотелось бы создавать группы ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ и карта ${\displaystyle e}$ такие, что отображение и групповые операции на ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ можно эффективно вычислить, но проблема дискретного журнала на ${\displaystyle G_{1},\dots ,G_{n}}$ все еще тяжело. ^{[ 6 ]} Некоторые приложения требуют более сильных предположений, например, полилинейные аналоги предположений Диффи-Хеллмана.

Для частного случая ${\displaystyle n=2}$Билинейные карты с достоверной надежностью были построены с использованием спаривания Вейля и спаривания Тейта . ^{[ 7 ]} Для ${\displaystyle n>2}$ В последние годы было предложено множество конструкций, но многие из них также были сломаны, и в настоящее время нет единого мнения о безопасном кандидате. ^{[ 8 ]}

Некоторые криптосистемы, основанные на предположениях о полилинейной стойкости, включают:

• Схема Боне-Франклина (билинейная Диффи-Хеллмана)
• Бонех-Линн-Шахам (билинейный вариант Диффи-Хеллмана)
• Кандидат Гарга-Джентри-Халеви-Райкова-Сахаи-Уотерса на запутывание неразличимости и функциональное шифрование (многолинейные головоломки) ^{[ 9 ]}

Наиболее фундаментальной вычислительной проблемой на решетках является задача кратчайшего вектора (SVP) : для данной решетки ${\displaystyle L}$, найдите кратчайший ненулевой вектор ${\displaystyle v\in L}$. Большинство криптосистем требуют более строгих предположений о вариантах SVP, таких как проблема кратчайших независимых векторов (SIVP) , GapSVP , ^{[ 10 ]} или Уникальный-СВП. ^{[ 11 ]}

Наиболее полезное предположение о жесткости решетки в криптографии относится к задаче обучения с ошибками (LWE): даны выборки для ${\displaystyle (x,y)}$, где ${\displaystyle y=f(x)}$ для некоторой линейной функции ${\displaystyle f(\cdot )}$, этому легко научиться ${\displaystyle f(\cdot )}$ с помощью линейной алгебры . В задаче LWE входные данные алгоритма содержат ошибки, т.е. для каждой пары ${\displaystyle y\neq f(x)}$ с некоторой небольшой вероятностью . Считается, что ошибки делают проблему неразрешимой (при соответствующих параметрах); в частности, известно снижение показателей от наихудшего до среднего при вариантах СВП. ^{[ 12 ]}

Для квантовых компьютеров задачи факторинга и дискретного журнала несложны, но задачи решетки предполагаются сложными. ^{[ 13 ]} Это делает некоторые криптосистемы на основе решеток кандидатами на роль постквантовой криптографии .

Некоторые криптосистемы, основанные на сложности задач решетки, включают:

• NTRU (как NTRUEncrypt , так и NTRUSign )
• Большинство кандидатов на полностью гомоморфное шифрование

Помимо криптографических приложений, предположения о твердости используются в теории сложности вычислений для предоставления доказательств математических утверждений, которые трудно доказать безоговорочно. В этих приложениях доказывается, что предположение о жесткости подразумевает некоторое желаемое утверждение теории сложности, вместо того, чтобы доказывать, что это утверждение само по себе истинно. Самым известным предположением этого типа является предположение, что P ≠ NP , ^{[ 14 ]} но другие включают гипотезу экспоненциального времени , ^{[ 15 ]} гипотеза посаженной клики и гипотеза об уникальных играх . ^{[ 16 ]}

Известно, что многие вычислительные задачи наихудшего случая являются трудными или даже полными для некоторого класса сложности. ${\displaystyle C}$, в частности NP-hard (но часто также PSPACE-hard , PPAD-hard и т. д.). Это означает, что они по крайней мере так же сложны, как и любая задача в классе. ${\displaystyle C}$. Если проблема ${\displaystyle C}$-трудно (по отношению к полиномиальному сокращению времени), то она не может быть решена с помощью алгоритма с полиномиальным временем, если не выполнено предположение о вычислительной сложности. ${\displaystyle P\neq C}$ является ложным.

Гипотеза экспоненциального времени (ETH) – усиление это ${\displaystyle P\neq NP}$ (SAT) не только предположение твердости, которое предполагает, что булева проблема выполнимости не имеет алгоритма с полиномиальным временем, но, кроме того, требует экспоненциального времени ( ${\displaystyle 2^{\Omega (n)}}$). ^{[ 17 ]} Еще более сильное предположение, известное как Сильная экспоненциальная гипотеза времени (SETH), предполагает, что ${\displaystyle k}$ SAT -требуется ${\displaystyle 2^{(1-\varepsilon _{k})n}}$ время, где ${\displaystyle \lim _{k\rightarrow \infty }\varepsilon _{k}=0}$. ETH, SETH и связанные с ними предположения о вычислительной сложности позволяют получить более детальные результаты по сложности, например, результаты, которые различают полиномиальное время и квазиполиномиальное время . ^{[ 1 ]} или даже ${\displaystyle n^{1.99}}$ против ${\displaystyle n^{2}}$. ^{[ 18 ]} Такие предположения также полезны при параметризованной сложности . ^{[ 19 ]}

Предполагается, что некоторые вычислительные задачи в среднем сложны для определенного распределения экземпляров. Например, в задаче о посеваемой клике входными данными является случайный граф , выбранный путем выборки случайного графа Эрдеша – Реньи , а затем «подсадки» случайного графа. ${\displaystyle k}$-клика, т.е. соединяющая ${\displaystyle k}$ равномерно случайные узлы (где ${\displaystyle 2\log _{2}n\ll k\ll {\sqrt {n}}}$), а цель — найти посаженное ${\displaystyle k}$-clique (уникальный WhP). ^{[ 20 ]} Другим важным примером является гипотеза Файги , которая представляет собой предположение о вычислительной сложности случайных экземпляров 3-SAT (выборка осуществляется для поддержания определенного соотношения предложений и переменных). ^{[ 21 ]} Предположения о вычислительной сложности в среднем случае полезны для доказательства средней сложности в таких приложениях, как статистика, где существует естественное распределение по входным данным. ^{[ 22 ]} Кроме того, предположение о жесткости посаженной клики также использовалось для различения полиномиальной и квазиполиномиальной временной сложности в худшем случае других задач: ^{[ 23 ]} аналогично гипотезе экспоненциального времени .

Задача уникального покрытия меток — это задача удовлетворения ограничений, в которой каждое ограничение ${\displaystyle C}$ включает две переменные ${\displaystyle x,y}$, и для каждого значения ${\displaystyle x}$ существует уникальная ценность ${\displaystyle y}$ это удовлетворяет ${\displaystyle C}$. Определить, могут ли быть удовлетворены все ограничения, несложно, но гипотеза уникальной игры (UGC) постулирует, что определение почти всех ограничений ( ${\displaystyle (1-\varepsilon )}$-дробь, для любой константы ${\displaystyle \varepsilon >0}$) может быть удовлетворен или почти ни один из них ( ${\displaystyle \varepsilon }$-фракция) может быть удовлетворена, является NP-трудной. ^{[ 16 ]} Часто известно, что задачи аппроксимации являются NP-сложными, если принять во внимание UGC; такие проблемы называются UG-hard. В частности, если предположить, что UGC существует полуопределенный алгоритм программирования , который обеспечивает оптимальные гарантии аппроксимации для многих важных задач. ^{[ 24 ]}

С проблемой покрытия уникальных меток тесно связана проблема расширения малого набора (SSE) : задан граф ${\displaystyle G=(V,E)}$, найдите небольшой набор вершин (размера ${\displaystyle n/\log(n)}$ которого ), расширение ребер минимально. Известно, что если SSE сложно оценить, то и Unique Label Cover тоже. Следовательно, гипотеза расширения малого множества , которая постулирует, что SSE трудно аппроксимировать, является более сильным (но тесно связанным) предположением, чем гипотеза уникальной игры. ^{[ 25 ]} Известно, что некоторые задачи аппроксимации являются SSE-сложными. ^{[ 26 ]} (т.е. по крайней мере так же сложно, как аппроксимировать SSE).

Учитывая набор ${\displaystyle n}$ чисел, задача 3SUM спрашивает, существует ли тройка чисел, сумма которых равна нулю. Существует алгоритм квадратичного времени для 3SUM, и было высказано предположение, что ни один алгоритм не может решить 3SUM за «действительно субквадратичное время»: Гипотеза 3SUM — это предположение вычислительной сложности о том, что не существует ${\displaystyle O(n^{2-\varepsilon })}$-временные алгоритмы для 3SUM (для любой постоянной ${\displaystyle \varepsilon >0}$). Эта гипотеза полезна для доказательства почти квадратичных нижних оценок для нескольких задач, в основном из вычислительной геометрии . ^{[ 27 ]}

• Уровень безопасности