Последствия факторинга в П?

34

Факторинг не известен как NP-полный. Этот вопрос задавался о последствиях факторинга, являющегося NP-полным. Любопытно, что никто не спрашивал о последствиях факторинга в P (возможно, потому что такой вопрос тривиален).

Итак, мои вопросы:

  1. Какими будут теоретические последствия факторинга в P? Как такой факт повлияет на общую картину классов сложности?
  2. Каковы будут практические последствия факторинга в P? Пожалуйста, не говорите, что банковские операции могут быть под угрозой, я уже знаю это тривиальное следствие.
Джорджо Камерани
источник
5
Я задал похожий вопрос несколько дней назад: «Какова сила P с оракулом целочисленной факторизации?» cstheory.stackexchange.com/questions/4765/…
Марцио де
3
@Kaveh, вопрос уже связан с этим.
Питер Тейлор

Ответы:

34

Теоретическая сложность последствий факторинга в P. практически не имеет следствий сложности. Это означает, что нет веских оснований для того, чтобы факторинг был сложным, кроме того, что до сих пор никто не смог его взломать.

Факторинг за полиномиальное время позволил бы получить квадратные корни над (а также над гораздо более общим классом колец) и дать алгоритмы за полиномиальное время для ряда других теоретико-числовых задач, для которых узкое место в алгоритм в настоящее время факторинг.Zn

Что касается практических последствий, банковские операции, вероятно, не представляют особой проблемы - как только стало известно, что факторинг был в P, банки переключились бы на какую-то другую систему, что, вероятно, вызывало лишь краткий период задержек, пока это происходило. реализованы. Расшифровка прошлых банковских транзакций, вероятно, не вызовет серьезных проблем для банков. Гораздо более серьезная проблема заключается в том, что все сообщения, которые ранее были защищены RSA, теперь могут быть прочитаны.

Питер Шор
источник
41
Немного не по теме, но as soon as it was known that factoring was in P, the banks would switch to some other systemво многом желаемое за действительное. В декабре я обнаружил, что компания, которая ничего не делает, кроме обработки кредитных карт, использует вариант Vigenère с ключом, который короче, чем некоторые прогоны известного открытого текста. Хуже того, технический директор компании не поверил мне, что это небезопасно, пока я не отправил ему код атаки. MD5, несмотря на то, что его широко считают сломанным, все еще активно используется в банковской сфере.
Питер Тейлор
2
@PeterTaylor, как только стало известно, что факторинг был в P, банки переключились бы на какую-то другую систему, во многом желаемое за действительное ». При нынешней дешевой цене флэш-памяти вполне выполнимо создать решение One Time Pad для банковские пользователи время от времени переходят в банкомат для загрузки дополнительных случайных байтов. RSA просто дешевле и проще
Flávio Botelho
2
Наличие сильных симметричных шифров не является заменой асимметричным шифрам, хотя этого достаточно для определенных конкретных задач. Вы сталкиваетесь с проблемой невозможности использования цифровых подписей и т. Д.
Джо Фитцзимонс
На самом деле вы можете иметь цифровые подписи с симметричными шифрами! Это просто намного более громоздко, и вам нужно гораздо больше уверенности в доверенной третьей стороне. Посмотрите на Руководства по прикладной криптографии в главах 11.6 и 11.7.
Флавио Ботельо
@Flavio: Но безотказность не работает так же, не так ли?
Джо Фитцзимонс
8

RSA является одной из наиболее важных схем шифрования / подписи, которая нарушается, если FACTORING находится в P. Однако есть еще много других. Некоторые (но не все) из них основаны на предположении о том, что различать квадраты и не квадраты по составному числу сложно :

  1. Схема подписи Рабина
  2. Забывчивый перевод Рабина
  3. Семантически защищенная криптосистема Goldwasser – Micali
  4. Псевдослучайный генератор Blum-Blum-Shub
  5. Схема идентификации Фейге-Фиат-Шамир

И много других схем. Однако обратите внимание, что схемы, основанные на жесткости дискретного журнала (скажем, протокол Диффи-Хелмана или схема шифрования / подписи Эльгамаля ), будут по-прежнему безопасными.

М.С. Дусти
источник
3
Мне кажется очень вероятным, что если факторинг находится в P, то проблема дискретного логарифма также существует. Конечно, обратное утверждение верно.
Джо Фицсимонс
@Joe: у меня те же чувства, но есть ли доказательства или математические доказательства?
MS Dousti
3
apqap+q1 (mod pq)ca=logN(aNmod N)p=x+yq=xyx=ca+12y=x2N
5
@Joe: очень интересно! Ваш комментарий побудил меня копаться больше в этом, и нашел результат Эрика Бах , который гласит , что « решение задачи дискретного логарифмирования для составного модуля точно так сложно , как факторинг и решая его по модулю простых чисел. »
MS Dousti
Надеемся, что шифрование на основе решетки должно оставаться безопасным.
Сурьма