Tham gia Đăng nhập
Điểm:1
bagheera avatar Crypto

Điều đó có nghĩa là gì đối với các khóa công khai trong coNP

lá cờ in
bagheera

lúc đó tôi đang đọc sách tờ giấy này.

Và trên Trang 2, tuyên bố sau đây đã được đưa ra: Xem xét sơ đồ mã hóa khóa công khai với mã hóa xác định thuật toán và giả sử rằng tập hợp các khóa công khai hợp lệ nằm trong coNP. Sau đó, nếu lấy bản rõ từ cặp (bản mã, khóa công khai) là NP-Hard thì NP = coNP.

Tôi đoán điều mà tôi hoàn toàn không hiểu là ý nghĩa của một bộ khóa công khai trong co-NP? Có thể có một ví dụ trực quan?

94
0 + 0
Điểm:3
Mark avatar Crypto
lá cờ ng
Mark

  • NP là tập các bài toán quyết định có thể kiểm chứng hiệu quả. Đưa ra một ví dụ $x$ của vấn đề quyết định, có một "chứng minh" ngắn $w$ rằng, đưa ra cặp $(x, w)$, người ta có thể xác minh một cách hiệu quả rằng $x$ là đúng.

  • coNP là tập các bài toán quyết định bác bỏ một cách hiệu quả. Đưa ra một ví dụ $x$ của vấn đề quyết định, có một "bằng chứng" ngắn $w$ rằng, đưa ra cặp $(x, w)$, người ta có thể xác minh một cách hiệu quả rằng $x$ là sai.

Về cơ bản, đối với tất cả các lược đồ mã hóa khóa công khai đã biết, các khóa công khai tạo thành một bộ NP. Điều đó có nghĩa là gì? Đưa ra một số khóa công khai $pk$, có một số thông tin bổ sung $sk$ (khóa bí mật) sao cho người ta có thể xác minh một cách hiệu quả rằng $pk$ là khóa công khai đối với khóa bí mật $sk$. Ví dụ

  1. cho RSA, $N = pq$. đưa ra một số $N'$ có thể có hoặc không có hình thức này, chúng tôi có thể xác minh một cách hiệu quả thông qua nhân chứng $(p, q)$.

  2. đối với các giả định loại DLOG, đưa ra một số $(g, g^s)$, chúng ta có thể xác minh một cách hiệu quả tương tự rằng $g^s$ lấy mẫu đơn này thông qua nhân chứng $s$

  3. đối với các sơ đồ mạng/dựa trên mã, được cung cấp một số $(A, Như + e)$, chúng tôi có thể xác minh một cách hiệu quả rằng $(As + e)$ lấy mẫu đơn này thông qua nhân chứng $(s, e)$.

Tất cả điều này để nói rằng, với khóa bí mật của một số PKE, thông thường khá dễ dàng để xác minh khóa chung được cấu trúc chính xác (và không chỉ đơn giản là một số yếu tố ngẫu nhiên).

Bây giờ, khóa công khai sẽ nằm trong bộ coNP nếu, được cung cấp một số "$pk$" đó là không phải một khóa công khai (và thay vào đó chỉ đơn giản là một số "yếu tố ngẫu nhiên"), người ta có thể xác minh điều này một cách hiệu quả. Ví dụ: đối với RSA, nếu ai đó đưa cho bạn một số $N$ điều đó không thể được viết như $N = pq$, bạn có thể xác minh điều này một cách hiệu quả thông qua một hệ số hoàn chỉnh của $N = \prod_i p_i^{e_i}$. $((p_1, e_1),\dots,(p_k,e_k))$ do đó đóng vai trò là nhân chứng cho $N$ không phải là khóa công khai RSA và theo nghĩa này, khóa công khai RSA vừa là tập hợp NP vừa là tập hợp coNP.

Yêu cầu của phần đó của bài báo là điều kiện tiên quyết

mã hóa là xác định và bộ khóa công khai tạo thành bộ coNP.

là hạn chế. Cá nhân tôi xem phần đầu tiên của điều này là hạn chế hơn phần thứ hai. Ví dụ, đối với tôi, có vẻ như trong cả ba ví dụ tôi đã đề cập ở trên, các khóa công khai tạo thành một bộ coNP. Trong hai ví dụ đầu tiên, điều đó là hiển nhiên và trong ví dụ thứ ba, tôi nghĩ rằng việc giảm cơ sở đủ mạnh có thể/nên hoạt động như một nhân chứng, đặc biệt nếu $B$ là một cơ sở đủ ngắn cho đối ngẫu của $\mathcal{L}(A)$, sau đó $(BA + Be)$ sẽ là một vectơ ngắn bất thường đối với mẫu "LWE thực", nhưng sẽ là ngẫu nhiên thống nhất đối với một mẫu ngẫu nhiên, ví dụ: sẽ là một nhân chứng coNP.

0 + 0
poncho avatar
lá cờ my
poncho
"Về cơ bản, đối với tất cả các sơ đồ mã hóa khóa công khai đã biết, các khóa chung tạo thành một bộ NP"; cách duy nhất để sơ đồ mã hóa khóa công khai tránh điều này là có một bước tạo khóa công khai/khóa riêng không thực tế - nghĩa là, một bước mất một lượng thời gian siêu đa thức. Mặt khác, rõ ràng là làm thế nào để sử dụng bước tạo khóa đó như một trình xác minh hiệu quả (với hạt giống là đầu vào không xác định)
0
Hồi đáp
Mark avatar
lá cờ ng
Mark
@poncho có những cách "thực tế" mà bạn có thể khiến các khóa sơ đồ công khai không thể tạo thành một bộ NP, ví dụ: nếu việc tạo khóa yêu cầu tương tác. Mặc dù đối với mã hóa, điều này thật ngớ ngẩn, nhưng về mặt kỹ thuật, nó có thể được thực hiện và có những nguyên thủy khác (nhiều bên khác nhau) nơi nó ít ngớ ngẩn hơn.
0
Hồi đáp
poncho avatar
lá cờ my
poncho
Tôi không đồng ý với ví dụ đa đảng; tất cả các phép tính của nhiều bên (và tất cả các tương tác) có thể được mô phỏng trong đa thời gian (điều này sẽ xảy ra nếu mỗi bên tính toán trong nhiều thời gian và chỉ có một số lượng đa thức các bên), thì mô phỏng đó có thể được sử dụng làm trình xác minh.
0
Hồi đáp
Mark avatar
lá cờ ng
Mark
@poncho nếu mô phỏng biểu mẫu bạn yêu cầu tồn tại, điều đó ngụ ý rằng bất kỳ giao thức tương tác 2 người chơi nào (giả sử với một số vòng không đổi để đơn giản) đều ở dạng NP, ví dụ: PH sụp đổ thành $coNP = NP$, được cho là không giữ được. Có một số sắc thái khi sử dụng tính ngẫu nhiên (một ví dụ không thu hút sự tương tác của các khóa công khai không phải là bộ NP sẽ là tình huống xác minh được chọn ngẫu nhiên, trong đó tôi nghĩ chúng sẽ là một bộ MA), nhưng ngay cả những điều đó cũng không phải là ' không đủ để cứu lập luận của bạn --- hầu hết các nhà lý thuyết về độ phức tạp đồng thời nghĩ rằng P = BPP và PH không sụp đổ iirc.
0
Hồi đáp
bagheera avatar
lá cờ in
bagheera
Này Mark, cảm ơn!!. Tôi đã đọc bài báo gốc của Brassards nơi anh ấy chỉ ra nếu f là OWF trong đó NP miền và Range Co-NP thì theo giả định P != NP, nếu bạn muốn chứng minh rằng f^-1 là NP-hard sẽ dẫn đến NP =coNP. Tôi nghĩ rằng bằng chứng đó thực sự khá đơn giản, nhưng tôi không hoàn toàn tuân theo phần trình bày lại trong bài báo này. Các câu sau đây có đúng không: tập thông báo (tập NP) Bộ khóa công khai (bộ CoNP) [ví dụ RSA, DL, LWE] Tôi đoán để có bằng chứng, tôi sẽ cần (Enc_pk(m), pk) cũng có trong coNP, nhưng làm cách nào để xác minh xem Enc_pk(m) có phải là mã hóa không hợp lệ hay không?
0
Hồi đáp
Mark avatar
lá cờ ng
Mark
@bagheera Tôi cần đọc Brassard để trả lời và không thể tìm thấy bản sao. Có vẻ như Goldreich+Goldwasser nói rằng bạn nên đọc kỹ định lý 2, mục 2ii. Mặc dù vậy, tôi sẽ ngạc nhiên nếu phần trình bày lại cuối cùng liên quan đến "tập hợp các thông báo", vì thường không có vấn đề khó khăn nào được cho là có liên quan đến những điều này. Có vẻ hợp lý là họ đang xem $m\mapsto (Enc_pk(m), pk)$ dưới dạng một loại OWF và kêu gọi Brassard về vấn đề đảo ngược nó. Điều đó đang được nói, tôi không thể nói bất cứ điều gì cụ thể mà không có một bản sao của Brassard.
0
Hồi đáp
bagheera avatar
lá cờ in
bagheera
Không vấn đề gì, đã tìm thấy một bản sao trên ieee ở trường. Cảm ơn câu trả lời của bạn, chúng cực kỳ hữu ích
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.