他の問題とは対照的に、ほとんどの暗号は大きな素数のペアに依存しているのはなぜですか？

現在のほとんどの暗号化方法は、2つの大きな素数の積である数を因数分解する困難さに依存しています。私が理解しているように、大きな素数を生成するために使用される方法が、結果として得られる合成数を因数分解するためのショートカットとして使用できない限り（そして大きな数自体を因数分解すること自体が困難である限り）困難です。

数学者は時々より良いショートカットを見つけるようで、暗号化システムは結果として定期的にアップグレードされなければなりません。（また、量子コンピューティングが最終的に因数分解をはるかに簡単な問題にする可能性もありますが、テクノロジーが理論に追いついたとしても、それは誰にも意外なことにはなりません。）

他のいくつかの問題は困難であることが証明されています。頭に浮かぶ2つの例は、ナップザック問題のバリエーションと巡回セールスマン問題です。

マークル・ヘルマンが破られたこと、ナサコ・村上が安全なままであること、そしてナップザック問題が量子計算に耐性があるかもしれないことを知っています。（ありがとう、Wikipedia。）巡回セールスマン問題を暗号化に使用することについては何も見つかりませんでした。

では、なぜ大きな素数のペアが暗号を支配しているように見えるのでしょうか？

• それは単に、乗算が簡単で因数分解が難しい大きな素数のペアを生成するのが現在簡単なためですか？
• これは、大きな素数のペアを因数分解することが、予測可能な程度に十分であり十分に困難であることが証明されているためですか？
• 大きな素数のペアは、暗号化と暗号化署名の両方で機能するという特性など、困難以外の方法でも役立ちますか？
• 暗号化の目的自体にとって十分に困難な他の問題タイプごとに問題セットを生成する問題は、実用的ではありませんか？
• 他の問題タイプの特性は、信頼できるほど十分に研究されていませんか？
• その他。

Boaz Barakがブログ投稿でこれに対処しました

私の彼の投稿（大まかに言えば）からのテイクアウトは、ある程度の構造を持つ計算問題を使用して暗号プリミティブを設計する方法しか知らないということです。構造がないため、何をすべきかわかりません。構造が多すぎると、問題は効率的に計算可能になります（したがって、暗号化の目的には役に立たなくなります）。構造の量は丁度良い必要があるようです。

私が言おうとしていることはすべてよく知られています（すべてのリンクはWikipediaへのリンクです）が、ここでは次のようになります。

1. $\left(\mathbb{Z}/pq\mathbb{Z}\right)^{\times}$

2. 暗号化には他のアプローチがあります。特に、ラティスベースの暗号化（ラティスに小さなノルムのあるポイントを見つけるなど）の特定の難しい問題に依存して公開キー暗号化を実装します。興味深いことに、これらのシステムの一部は証明が難しい、つまり、格子理論の対応する困難な問題を解決できる場合にのみ壊れることがあります。これは、たとえば、同じ保証を提供しない RSAとは対照的です。格子ベースのアプローチはNP困難ではないと推測されていることに注意してください（ただし、今のところ、整数因数分解よりも難しいようです）。

3. 非常に興味深い複雑性理論の特性を持つ鍵の共有、つまり秘密の公開には別の懸念があります。私は詳細を知らないが、理論ゼロ知識プロトコルは、アリスがボブに明らかにすることができます彼女の知識 NPハード秘密明らかにすることなく（グラフハミルトニアン）を計算することである秘密の自身（この場合はパス）。

最後に、ポスト量子暗号のページをチェックして、難しい問題に依存する公開鍵暗号システムへのいくつかの代替アプローチを確認することができます。