Điểm:2

Câu hỏi về các kiểu chứng minh rút gọn

lá cờ tl

Bằng chứng bảo mật trong mật mã chủ yếu sử dụng kỹ thuật chứng minh rút gọn. Bây giờ tôi đã đọc rất nhiều bằng chứng về giảm thiểu và cũng đã tự làm một số và tôi nghĩ rằng tôi hiểu nó khá rõ. Trong khi đọc những bằng chứng đó, tôi nhận thấy hai phong cách chính của việc giảm thiểu như vậy.

Nói rằng chúng ta có kế hoạch $B$ dựa trên $A$. Chúng tôi biết $A$ an toàn. Nếu một người muốn chứng minh sự an toàn của $B$ bằng cách giảm nó xuống mức an toàn của $A$ anh ta có thể tiến hành như sau:

  1. Phong cách: Giả sử một đối thủ có thể phá vỡ $B$ $\Rightarrow$ Để giảm bớt, người ta có thể xây dựng một kẻ thù mới phá vỡ $A$ sử dụng sự phá vỡ đối thủ $B$ $\Rightarrow$ Kết quả là một mâu thuẫn cho thấy, không có đối thủ đáng kể chống lại $B$
  2. Phong cách: Giả sử một đối thủ ppt tùy ý chống lại $B$ $\Rightarrow$ Hiển thị (ví dụ: với phân tích thử nghiệm ngẫu nhiên) phá vỡ $B$ khó như phá vỡ $A$, do đó làm giảm sự phức tạp của việc phá vỡ $B$ đến sự phức tạp của việc phá vỡ $A$ $\Rightarrow$ Bởi vì chỉ có những đối thủ không đáng kể chống lại $A$ không có đối thủ không đáng kể chống lại $B$

Tất nhiên điều này được đơn giản hóa, nhưng tôi muốn cung cấp cho bạn ý tưởng về những gì tôi nhận thấy.

Những câu hỏi của tôi: Những phong cách này có thực sự tồn tại không? Liệu cả hai (được viết ra một cách chính xác) có thể chứng minh giống nhau không? Cả hai (đặc biệt là kiểu 1.) đã hoàn thành chưa? Đối với những bằng chứng nào người ta nên sử dụng phong cách nào?

Chỉnh sửa: Một định nghĩa chính xác hơn về phong cách 2.: Trong Giới thiệu về mật mã hiện đại chứng minh một hệ thống mật mã trên PRG: Trong phân tích ngẫu nhiên, họ tuyên bố rằng việc phá vỡ hệ thống mật mã cũng có khả năng phá vỡ PRG.Họ sử dụng điều này để ngụ ý rằng bất kỳ đối thủ tùy ý nào cũng phải không đáng kể theo kiểu: Bởi vì điều này là không đáng kể và chúng có cùng xác suất, nên đối thủ kia cũng phải không đáng kể.

(Lưu ý: Tóm lại, tôi sẽ mô tả 1. như: $B \rightarrow A \rightarrow \unicode{x21af} \rightarrow B$ và 2. như: $B \rightarrow A \rightarrow (B = A) \rightarrow B$)

lá cờ us
Ở #2: "Cho thấy rằng phá B cũng khó như phá A", nó khác với #1 như thế nào? Làm thế nào để bạn thể hiện điều này, ngoài việc sử dụng một đối thủ B thành công để xây dựng một đối thủ A thành công? Chính xác thì bạn có ý nghĩa gì khi "phân tích thử nghiệm ngẫu nhiên"? Bạn có ví dụ nào về ý nghĩa của # 2 không?
Titanlord avatar
lá cờ tl
Tôi nghĩ [Sách giáo khoa của Katz & Lindell (2nd edition)](https://www.cs.umd.edu/~jkatz/imc.html)) sử dụng kiểu 2, ví dụ: để chứng minh hệ thống tiền điện tử PRG mà họ đã xây dựng.
lá cờ cn
@Mikero Điều khác biệt ở chỗ bạn đang tránh sử dụng một lập luận mâu thuẫn một cách không cần thiết và gây nhầm lẫn. Kiểu 1 đưa ra tuyên bố "*A* và *không phải B* ngụ ý mâu thuẫn" từ đó bạn kết luận rằng *B*, bởi vì bạn giả sử *A*. Kiểu 2. mặt khác, trực tiếp đưa ra câu nói "*A* ngụ ý *B*" tránh đi đường vòng không cần thiết. Kết quả cuối cùng là như nhau trừ khi bạn có một số quan điểm kỳ lạ về logic.
lá cờ us
@Maeher, thật thú vị.Tôi không thấy phong cách số 1 nhất thiết phải đưa ra bằng chứng bằng sự mâu thuẫn. Tôi giải thích nó là "nếu A bị hỏng thì B cũng bị hỏng." Điều ngược lại là nếu B an toàn thì A an toàn. Có các phong cách chứng minh khác (mà tôi thực sự thích hơn) để tránh phải chuyển đổi qua lại giữa các cách hiểu trái ngược và hoàn toàn nằm trong thế giới "nếu B an toàn thì A an toàn", nhưng tôi không nhận ra #2 trong điều này câu hỏi như một mô tả của phong cách đó.
kelalaka avatar
lá cờ in
Thực tế là đôi khi $p \implies q$ không quá rõ ràng để thể hiện và điều ngược lại có thể dễ dàng thể hiện hơn. Đó là lý do tại sao chúng tôi chọn chúng. CS có một số câu hỏi về việc cắt giảm trong đó thuật ngữ này bắt nguồn từ đâu [1](https://cs.stackexchange.com/q/11209/94479) và thậm chí họ còn có thẻ [recductions](https://cs.stackexchange.com /câu hỏi/được gắn thẻ/giảm?tab=Bình chọn)
lá cờ cn
@Mikero Đây có lẽ không phải là một cuộc thảo luận tuyệt vời trong các nhận xét, nhưng tôi đang đọc kiểu 1 để đề cập đến các bằng chứng ở dạng "Giả sử tồn tại một máy PPT phá vỡ A với lợi thế không đáng kể. Sau đó, có tồn tại một máy PPT phá vỡ B với lợi thế không đáng kể. Điều này mâu thuẫn với giả định rằng B an toàn, do đó A không tồn tại." Trong khi kiểu 2 nói "Hãy xem xét một máy PPT tùy ý. Sau đó, giả sử B an toàn thì lợi thế của máy này là không đáng kể."
kelalaka avatar
lá cờ in
Phong cách thứ hai cần một văn bản tốt hơn từ Titanlord
Điểm:1
lá cờ ng

Sự khác biệt duy nhất mà tôi thấy giữa phong cách 1 và cách biên tập thích hợp của phong cách 2 là phong cách 1 thiếu những thứ rõ ràng trong 2 về đối thủ/thuật toán được giả thuyết tấn công B và kết quả là đối thủ/thuật toán sẽ tấn công A:

  1. Các thuật toán là Đa thức xác suất-Thời gian; có một đầu vào ẩn với các bit ngẫu nhiên và chạy trong một thời gian nhiều nhất là một số đa thức $P(n)$ cho tất cả các giá trị của tham số bảo mật $n$ (hoặc kích thước đầu vào của chúng) qua một số giới hạn dưới.
  2. Chúng có xác suất thành công không đáng kể (hoặc không biến mất), đó là: đối với một số đa thức $P'$, đối với mọi giới hạn cố định $N\in\mathbb{N}$ tồn tại các giá trị $n>N$ đối với tham số bảo mật (hoặc kích thước đầu vào của chúng), sao cho xác suất thành công ít nhất là $1/P'(n)>0$.

Một bằng chứng rằng âphá vỡ hệ thống mật mã cũng giống như phá vỡ PRGâ chứng minh rằng trong 2 chúng ta có thể sử dụng lại đa thức $P'$ và giá trị của $n$ cho một giới hạn nhất định $N$ phù hợp với cuộc tấn công giả định của B trong bằng chứng rằng cuộc tấn công của A là một cuộc tấn công có xác suất thành công không đáng kể.

Nói cách khác, phong cách 1 là sự đơn giản hóa của phong cách 2, thường phải trả giá bằng sự khắt khe. Đối với một số cách chứng minh ở kiểu 1, nó sẽ thành thạo kiểu 2 để tự tin cho biết liệu bằng chứng đó có đúng hay không.

Thậm chí còn có nhiều phong cách phức tạp hơn, ví dụ: trong đó xác suất thành công là định lượng.Trong trường hợp này, âphá vỡ hệ thống mật mã cũng giống như phá vỡ PRGâ là một cái gọi là bằng chứng chặt chẽ. Một số bằng chứng định lượng khác khó theo dõi hơn.

lá cờ cn
Máy PPT chạy trong thời gian đa thức *nghiêm ngặt*, *không* thời gian đa thức dự kiến.
lá cờ cn
Ngoài ra, trong 2. những gì bạn đang mô tả là một xác suất *đáng chú ý*. Điều này *không* đồng nghĩa với không đáng kể.
fgrieu avatar
lá cờ ng
@Maeher: Tôi tin lời bạn về định nghĩa PPT và tôi nghĩ rằng tôi đã hiểu và sửa lỗi của mình trong định nghĩa về không đáng kể. Cảm ơn các sửa chữa!
lá cờ cn
Tôi đã cố gắng làm cho điểm đó rõ ràng hơn. Chỉ cần quay lại chỉnh sửa nếu bạn không thích nó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.