是否存在可证明 NP 难以击败的公钥密码算法？

Question

Closed. This question is off-topic. It is not currently accepting answers.

---

想要改进此问题吗？更新问题，使其关于- Stack Overflow 的主题。

11 年前已关闭。

Answer 1

谷歌搜索 NP 完全加密和公钥加密发现误报......实际上是不安全的。 这个卡通pdf似乎显示基于最小支配集问题的公钥加密算法。 进一步阅读，它承认撒谎说该算法是安全的……潜在的问题是 NP 完全的，但它在 PK 算法中的使用并没有保留难度。

另一个误报 Google 发现：来自 Crypto '97 的 Goldreich-Goldwasser-Halevi 密码系统的密码分析。 摘要：

在 Crypto '97 上，Goldreich、Goldwasser 和 Halevi 提出了一种基于格中最接近向量问题的公钥密码系统，该系统被称为 NP 难问题。 我们证明该方案的设计存在一个重大缺陷，它有两个含义：任何密文都会泄漏明文的信息，并且解密密文的问题可以简化为一个特殊的最接近向量问题，该问题比一般问题容易得多。

Answer 2

有一个网站可能与您的兴趣相关：后量子密码学。

Answer 3

这是我的推理。 如我错了请纠正我。

(i) “破解”密码系统必然是 NP 和 co-NP 中的一个问题。 （破解密码系统涉及反转加密函数，该函数是一对一且可在多项式时间内计算的。因此，给定密文，明文是可以在多项式时间内验证的证书。因此根据密文在 NP 和 co-NP 中。)

(ii) 如果 NP 和 co-NP 中存在 NP 难问题，则 NP = co-NP。 （这个问题将是 NP 完全且在 co-NP 中。由于任何 NP 语言都可以简化为该 co-NP 语言，因此 NP 是 co-NP 的子集。现在使用对称性：co-NP 中的任何语言 L 都有 -L （它的补语）在 NP 中，因此 -L 在 co-NP 中——即 L = --L 在 NP 中。）

(iii) 我认为人们普遍认为 NP ！ = co-NP，否则有多项式大小的证明表明布尔公式不可满足。

结论：复杂性理论猜想意味着 NP 难密码系统不存在。

（否则，您将在 NP 和 co-NP 中遇到 NP 难问题，因此 NP = co-NP——这被认为是错误的。）

Answer 4

虽然 RSA 和其他广泛使用的密码算法是基于整数分解的难度（不知道是否是 NP 完全问题），但也有一些公钥密码算法基于 NP 完全问题。 谷歌搜索“公钥”和“np-complete”将显示其中一些。

（我之前错误地说过，量子计算机会加速 NP 完全问题，但这不是事实。我纠正了。）

Answer 5

正如许多其他发帖者所指出的，密码学可以基于 NP 困难或 NP 完全问题。

然而，密码学的常用方法将基于困难的数学（即难以破解）。 事实是，将数字序列化为传统密钥比创建解决 NP 难题的标准化字符串更容易。 因此，实用的密码学是基于尚未被证明是 NP 困难或 NP 完全的数学问题（因此可以想象，其中一些问题在 P 中）。

在 ElGamal 或 RSA 加密中，破解它需要破解离散对数，因此请查看此 wikipedia文章。

尚无已知的计算一般离散对数 logbg 的有效算法。 简单的算法是将 b 提高到越来越高的 k 次幂，直到找到所需的 g； 这有时称为试乘。 该算法需要的运行时间与组 G 的大小呈线性关系，因此与组大小的位数呈指数关系。 然而，由于 Peter Shor，存在一种有效的量子算法（http://arxiv.org/abs/ Quant-ph/9508027）。

计算离散对数显然很困难。 不仅没有针对最坏情况的有效算法，而且使用随机自约简性可以证明平均情况的复杂性至少与最坏情况一样困难。

同时，离散求幂的逆问题则不然（例如，可以使用平方求幂来有效地计算它）。 这种不对称性类似于整数分解和整数乘法之间的不对称性。 这两种不对称性都在密码系统的构建中得到了利用。

人们普遍认为这些是 NP 完全的，但也许无法证明这一点。 请注意，量子计算机可以有效地破解密码！

Answer 6

由于没有人真正回答这个问题，我必须给你提示：“McEliece”。 对其进行一些搜索。 它是一种经过验证的 NP-Hard 加密算法。 加密和解密需要O(n^2)时间。 它也有一个大小为 O(n^2) 的公钥，这很糟糕。 但有一些改进可以降低所有这些界限。

Answer 7

我回应这个旧话题是因为这是一个非常常见且重要的问题，这里的所有答案都是不准确的。

对最初问题的简短回答是明确的“否”。 没有已知的加密方案（更不用说公钥方案）是基于 NP 完全问题（因此所有这些方案都在多项式时间约简下）。 不过，有些比其他“更接近”，所以让我详细说明一下。

这里有很多需要澄清的地方，所以让我们从“基于 NP 完全问题”的含义开始。 对此普遍同意的解释是：“假设对于 NP 完全问题不存在多项式时间算法，可以在特定的形式模型中证明安全”。 更准确地说，我们假设不存在总是解决 NP 完全问题的算法。 这是一个非常安全的假设，因为这对于算法来说是一件非常困难的事情 - 提出一种以良好的概率解决问题的随机实例的算法似乎要容易得多。

不过，没有任何加密方案有这样的证据。 如果您查看文献，除了极少数例外（见下文），安全定理如下所示：

定理：该加密方案可证明是安全的，假设没有
多项式时间算法存在于
解决某个问题 X 的随机实例。

请注意“随机实例”部分。 举一个具体的例子，我们可能假设不存在多项式时间算法来以一定的概率分解两个随机 n 位素数的乘积。 这与假设不存在用于始终因式分解两个随机 n 位素数的所有乘积的多项式时间算法有很大不同（不太安全）。

“随机实例”与“最坏情况实例”的问题是困扰上述几位响应者的问题。 McEliece 型加密方案基于解码线性码的非常特殊的随机版本，而不是基于 NP 完全的实际最坏情况版本。

超越这个“随机实例”问题需要在理论计算机科学方面进行一些深入而精彩的研究。 从 Miklós Ajtai 的工作开始，我们发现了密码算法，其中安全假设是“最坏情况”（更安全）假设，而不是随机情况假设。 不幸的是，最坏的情况假设是针对未知的 NP 完全问题，并且一些理论证据表明我们无法调整它们以使用 NP 完全问题。 对于感兴趣的人，请查找“基于格的密码学”。

Answer 8

一些基于NP难问题的密码系统已经被提出（例如Merkle-Hellman密码系统基于子集和问题，以及基于背包的 Naccache-Stern 背包密码系统问题），但它们都被破坏了。 为什么是这样？ Scott Aaronson 的第 16 讲理论计算机科学的伟大思想对此说了一些话，我认为你应该将其视为确定的。 它的内容如下：

理想情况下，我们希望构建一个[密码伪随机生成器]或密码系统，其安全性基于 NP 完全问题。 不幸的是，NP 完全问题总是最坏的情况。 在密码学中，这将翻译为“存在一条难以解码的消息”之类的陈述，这对于密码系统来说并不是一个很好的保证！ 一条消息应该很难以压倒性的概率被解密。 尽管经过数十年的努力，仍然没有发现任何方法可以将 NP 完全问题的最坏情况与平均情况联系起来。 这就是为什么，如果我们想要计算安全的密码系统，我们需要做出比 P≠NP 更强的假设。

Answer 9

这是 1998 年的一个悬而未决的问题：

关于密码学基于的可能性假设 P != NP
作者：Oded Goldreich、Rehovot Israel、Shafi Goldwasser

摘要：“我们的结论是，问题仍然存在”。

——我想知道过去十年这种情况是否发生了变化？

编辑：

据我所知，这个问题仍然悬而未决，最近在回答不存在这样的算法方面取得了进展。

Adi Akavia、Oded Goldreich、Shafi Goldwasser 和 Dana Moshkovitz 于 2006 年在 ACM 上发表了这篇论文：基于 NP 硬度的单向函数 “我们的主要发现是以下两个负面结果”

斯坦福大学网站 复杂性动物园有助于描述这两个负面结果的含义。

Answer 10

虽然许多形式已被破坏，但请查看 Merkle-Hellman，它基于以下形式： NP 完全的“背包问题”。

Answer 11

格密码学提供了（过度）概括的重要信息，即人们确实可以设计出打破平均情况与解决特定 NP 难题（通常是最短向量问题或最近向量问题）一样困难的密码系统。

我建议您阅读 http://eprint.iacr.org/2008/521 然后追踪对密码系统的引用。

另请参阅 http://www.cs.ucsd.edu/~ 上的讲义daniele/CSE207C/，如果需要的话还可以追踪一本书的链接。