Обычно считается, что асимптотическая нижняя граница, такая как экспоненциальная жесткость, подразумевает, что проблема является «изначально сложной». Шифрование, которое «по своей сути трудно» взломать, считается безопасным.
Однако асимптотическая нижняя граница не исключает возможности того, что огромный, но конечный класс проблемных примеров прост (например, все экземпляры с размером менее ).
Есть ли основания полагать, что криптография, основанная на асимптотических нижних границах, обеспечит какой-либо определенный уровень безопасности? Рассматривают ли эксперты по безопасности такие возможности или их просто игнорируют?
Примером является использование функций-ловушек, основанных на разложении больших чисел на их основные факторы. В какой-то момент это считалось трудным по своей природе (я думаю, что экспонента была гипотезой), но теперь многие считают, что может существовать полиномиальный алгоритм (как и при тестировании на простоту). Кажется, никто не очень заботится об отсутствии экспоненциальной нижней границы.
Я полагаю, что были предложены другие функции люка, которые считаются NP-сложными (см. Связанный вопрос ), а некоторые могут даже иметь доказанную нижнюю границу. Мой вопрос более фундаментален: имеет ли значение асимптотическая нижняя граница? Если нет, то связана ли практическая безопасность любого криптографического кода с какой-либо асимптотической сложностью?
источник
Ответы:
Я постараюсь дать частичный ответ, так как я не полностью осознаю, как эта проблема рассматривается всем крипто-сообществом (может быть, репост на crypto.SE ?).
Я бы сказал, что есть два «вида» криптографов: теоретический и практический . Я не буду пытаться их различать (каждый практический криптограф тоже немного теоретик ...), но я скажу, что для теоретической криптографии - этот вопрос не имеет большого значения. Для любого параметра безопасности будет существовать размер экземпляра, который обеспечит этот уровень безопасности, и это, как правило, все, что нас волнует.
источник