Les bornes inférieures asymptotiques sont-elles pertinentes pour la cryptographie?

16

On pense généralement qu'une limite inférieure asymptotique telle que la dureté exponentielle implique qu'un problème est "intrinsèquement difficile". Le cryptage qui est "intrinsèquement difficile" à casser est considéré comme sûr.

Cependant, une borne inférieure asymptotique n'exclut pas la possibilité qu'une classe énorme mais finie d'instances problématiques soit facile (par exemple, toutes les instances de taille inférieure à dix1000 ).

Y a-t-il une raison de penser que la cryptographie basée sur des bornes inférieures asymptotiques conférerait un niveau de sécurité particulier? Les experts en sécurité envisagent-ils ces possibilités ou sont-ils simplement ignorés?

Un exemple est l'utilisation de fonctions de trappe basées sur la décomposition de grands nombres en leurs facteurs premiers. Cela a été à un moment considéré comme intrinsèquement difficile (je pense que l'exponentielle était la conjecture), mais maintenant beaucoup pensent qu'il peut y avoir un algorithme polynomial (comme c'est le cas pour les tests de primalité). Personne ne semble se soucier beaucoup de l'absence d'une limite inférieure exponentielle.

Je crois que d'autres fonctions de trappe ont été proposées qui sont considérées comme NP-difficiles (voir la question connexe ), et certaines peuvent même avoir une limite inférieure prouvée. Ma question est plus fondamentale: importe la limite inférieure asymptotique? Sinon, la sécurité pratique d'un code cryptographique est-elle liée à une complexité asymptotique?

Micah Beck
la source
Bienvenue! Pas tout à fait un doublon, mais très lié: cette question . Afin d'améliorer la question, veuillez donner des exemples concrets où vous pensez que le problème est ignoré. Vous ne voulez pas lutter contre les éoliennes!
Raphael

Réponses:

2

Je vais essayer de donner une réponse partielle, car je ne suis pas pleinement conscient de la façon dont ce problème est considéré par l'ensemble de la communauté cryptographique (peut-être republier sur crypto.SE ?).

Je dirais qu'il existe deux "types" de cryptographes: théoriques et pratiques . Je n'essaierai pas de les différencier (chaque cryptographe pratique est aussi un peu théoricien ..) mais je dirai que pour la cryptographie théorique - ce problème n'a pas vraiment d'importance. Pour tout paramètre de sécurité, il y aura une taille d'instance qui fournira ce niveau de sécurité, et c'est généralement tout ce qui nous intéresse.

21024

gO(|g|)P=NPO(Journal|g|)g

A sonné.
la source
Cette réponse n'est pas très satisfaisante pour moi, peut-être parce que je ne suis pas assez expert pour comprendre comment elle répond à ma question. Certes, je n'ai pas étudié la théorie de la complexité depuis environ 25 ans, mais je comprends bon nombre des concepts sous-jacents. Après avoir recherché certaines des références liées, il semble que les caractérisations de complexité utilisées soient asymptotiques , donc je ne peux toujours pas comprendre comment elles peuvent donner des garanties utilisables sur des classes finies d'instances.
Micah Beck