Quelles langues ont été trafiquées avec succès par cryptographie?

13

Une observation associée à la cryptographie asymétrique est que certaines fonctions sont (supposées être) faciles à exécuter dans une direction mais difficiles à inverser. De plus, s'il existe des informations de «trappe» qui permettent de calculer rapidement l'opération inverse, le problème devient un candidat pour un schéma de cryptographie à clé publique.

Les problèmes de trappe classiques, rendus célèbres par RSA, incluent le problème de factorisation et le problème de journal discret. À peu près au moment où RSA a été publié, Rabin a inventé un cryptosystème à clé publique fondé sur la recherche de racines carrées discrètes (cela s'est avéré plus tard au moins aussi difficile que l'affacturage).

D'autres candidats ont surgi au fil des ans. KNAPSACK (peu après RSA), les "Logarithmes" à courbe elliptique avec des paramètres spécifiques et les problèmes de base les plus courts en treillis sont des exemples de problèmes dont les problèmes de trappe sont utilisés dans d'autres schémas publiés. Il est également facile de voir que ces problèmes doivent résider quelque part dans NP.

Cela épuise ma connaissance des fonctions de trappe. Cela semble également épuiser la liste sur Wikipédia .

J'espère que nous pourrons obtenir une liste wiki communautaire des langues qui admettent les trappes et la littérature pertinente. La liste sera utile. L'évolution des exigences de la cryptographie change également les fonctions de trappe qui peuvent être à la base des cryptosystèmes. L'explosion du stockage sur les ordinateurs permet des schémas avec de grandes tailles de clés. Le spectre perpétuel de l'informatique quantique invalide les schémas qui peuvent être brisés avec un oracle pour trouver des sous-groupes abéliens cachés. Le cryptosystème entièrement homomorphe de Gentry ne fonctionne que parce que nous avons découvert des fonctions de trappe qui respectent les homomorphismes.

Je suis particulièrement intéressé par les problèmes qui ne sont pas NP-Complete.

Ross Snider
la source
Je ne trouve pas le bouton pour faire cette CW. Un modérateur peut-il faire cela?
Ross Snider
1
AFAIK, personne n'a jamais prouvé une trappe pour un problème de journal discret. DLP est une permutation à sens unique, qui n'admet apparemment aucune trappe. Voir également ce post .
MS Dousti
@Sadeq: Peikert et Waters montrent comment obtenir une fonction de trappe avec perte basée sur DDH (voir ma réponse pour la référence). Donc, dans un certain sens, nous savons comment obtenir des trappes à partir d'une hypothèse liée au DLP.
Alon Rosen,
1
@Alon: Commentaire précieux, comme toujours!
MS Dousti

Réponses:

18

Il est important de faire la distinction entre les fonctions de trappe et le chiffrement à clé publique. Bien que les fonctions de trappe produisent des schémas de cryptage à clé publique, certains des candidats que vous avez mentionnés ne sont connus que pour impliquer un cryptage à clé publique et ne vous offrent pas nécessairement des fonctions de trappe. En fait, Gertner, Malkin et Reingold montrent qu'il n'y a pas de construction de boîte noire d'une fonction de trappe à partir d'un "prédicat de trappe" (qui peut être considéré comme un schéma de cryptage à clé publique d'un bit).

Des exemples classiques de fonctions de trappe sont les fonctions RSA et Rabin. Un exemple classique d'un prédicat de trappe consiste à décider du module de résidu quadratique d'un composite, dû à Goldwasser et Micali. Les constructions à base de journaux discrets et de réseaux que vous mentionnez fournissent directement un chiffrement à clé publique, sans passer par des fonctions de trappe.

Vous trouverez ci-dessous une liste (non exhaustive) de constructions de schémas de chiffrement à clé publique, dont la plupart ne sont pas connus pour passer par des fonctions de trappe.

  • Système de cryptographie à clé publique El Gamal (y compris les variantes de courbe elliptique). La sécurité est basée sur l'hypothèse décisionnelle Diffie Hellman. Ne passe pas par les fonctions de trappe (mais voir l'article Peikert-Waters ci-dessous pour une fonction de trappe dont la sécurité est basée sur la sécurité sémantique d'El Gamal).

    [Taher El Gamal: Un cryptosystème à clé publique et un schéma de signature basé sur des logarithmes discrets. CRYPTO 1984: 10-18]

  • Ajtai-Dwork, Regev. La sécurité est basée sur un SVP unique dans les réseaux. Non connu pour impliquer des fonctions de trappe.

    [Miklós Ajtai, Cynthia Dwork: Un cryptosystème à clé publique avec une équivalence pire-cas / moyenne-cas. STOC 1997: 284-293]

    [Oded Regev: Nouvelles constructions cryptographiques sur réseau. STOC 2003: 407-416]

  • Regev, Peikert. La sécurité est basée sur la dureté de l'apprentissage avec des erreurs (cela inclut une réduction de SVP). Non connu pour impliquer des fonctions de trappe.

    [Oded Regev: sur les réseaux, apprentissage avec erreurs, codes linéaires aléatoires et cryptographie. STOC 2005: 84-93]

    [Chris Peikert: Cryptosystèmes à clé publique du pire problème de vecteur le plus court: résumé étendu. STOC 2009: 333-342]

  • Peikert, Waters. La sécurité est basée sur Diffie Hellman décisionnel et sur des problèmes de réseau. Connu pour impliquer des fonctions de trappe (grâce à des fonctions de trappe avec perte).

    [Chris Peikert, Brent Waters: Fonctions de trappe avec perte et leurs applications. STOC 2008: 187-196]

  • Lyubashevsky, Palacio, Segev. La sécurité est basée sur Subset-Sum. Non connu pour impliquer des fonctions de trappe.

    [Vadim Lyubashevsky, Adriana Palacio, Gil Segev: des primitives cryptographiques à clé publique aussi sûres que la somme des sous-ensembles. TCC 2010: 382-400]

  • Stehlé, Steinfeld, Tanaka, Xagawa et Lyubashevsky, Peikert, Regev. La sécurité est basée sur la dureté de l'anneau LWE. L'avantage de ces solutions par rapport aux propositions précédentes est leur taille de clé plus petite. Non connu pour impliquer des fonctions de trappe.

    [Damien Stehlé, Ron Steinfeld, Keisuke Tanaka, Keita Xagawa: Chiffrement de clé publique efficace basé sur des réseaux idéaux. ASIACRYPT 2009: 617-635]

    [Vadim Lyubashevsky, Chris Peikert, Oded Regev: Sur les réseaux idéaux et l'apprentissage avec des erreurs sur les anneaux. EUROCRYPT 2010: 1-23]

Alon Rosen
la source
Alon, c'est une excellente réponse. Le cryptosystème PK de Regev et Peikert est particulièrement intéressant pour moi. Merci également d'être doux avec mon erreur d'assimiler la cryptographie à clé publique aux fonctions de trappe.
Ross Snider
@ Ross: J'ai ajouté une autre référence que vous pourriez trouver intéressante. Il s'agit des variantes Ring LWE des cryptosystèmes Regev et Peikert.
Alon Rosen