タグ付けされた質問 「cr.crypto-security」

暗号化と情報セキュリティの理論的側面。

2
なぜモンゴメリーのモジュラーべき乗は、量子因数分解での使用が考慮されないのですか?
モジュラー累乗法(RSA操作の主要部分)は計算コストが高いことはよく知られており、私が理解している限り、モンゴメリーのモジュラー累乗法の手法が好ましい方法です。モジュラーべき乗も量子因数分解アルゴリズムで顕著に取り上げられており、同様に高価です。 それでは、なぜ、量子因数分解のための現在の詳細なサブルーチンに、モンゴメリのモジュラー累乗法が明らかに存在しないのですか? 私が想像できる唯一のことは、何らかの明白でない理由のために高いキュービットのオーバーヘッドがあるということです。 Google Scholarでモンゴメリー量子「モジュラーべき乗」を実行しても、有用な結果は得られません。Van Meterなどによる量子加算とモジュラーべき乗に関する研究は承知していますが、それらの参考文献(この研究はまだ読んでいません)を調べると、Montgomeryの手法がそこで検討されていることを示していません。 これを議論しているように見える私が見つけた唯一の参考文献は日本語であり、残念ながら私は読むことができませんが、明らかに2002年の会議議事録からです。機械翻訳では、何か有用な可能性があることを示すナゲットが以下に追加されます。しかし、私はこれがフォローアップされたという兆候を見つけることができません。それは、アイデアがa)考慮され、次にb)廃棄されたと思うようにします。 算術演算における量子回路国広昇 ...この研究では、比較的大きなキュービットを必要としますが、量子計算時間が短いモジュラーべき乗回路を提案します。モンゴメリー削減[8]と右バイナリ法[9]を組み合わせて、回路Ruを構成します。縮約モンゴメリーは、自然数としてmがランダムに選択され、演算によって2mをmodし、剰余演算を実行します。これにより、計算時間が短縮されます... 3.2モンゴメリー削減の適用モンゴメリー削減[8]は次のように定式化されます...このアルゴリズムは正しい値を返すことができ、簡単に確認できます。MR(Y)彼は法則を求めます。2mポイントの2m多項式は重要であり、除算のみが必要です。さらに、モンゴメリー削減には、さまざまな計算方法があります。...一般に、削減モンゴメリーは1対1の関数ではありません... ...提案された方法は正しいバイナリ法を使用し、Montgomery Reductonは採用された機能を持っています。従来の方法よりも、回路の小さな部品が特徴です。多くの期待をするために必要なキュービットフォールトは、より短い計算時間で計算できます。将来的には、モンゴメリ削減と制御回路は、特に必要とされる量子ビットによって具体的に説明されていません。また、それぞれが効率的な量子回路の計画された構成に関しても、モジュラーべき乗以外の研究結果を利用して非算術(ユークリッド相互除算など)を行います。 ... [8] PL Montgomery、「試行分割のないモジュラー乗算」、計算の数学、44、170、pp。519-521、1985 ...

2
PPADと量子
今日ニューヨークと世界中で、クリストスパパディミトリウの誕生日が祝われます。これは、Christosの複雑性クラスPPAD(およびその他の関連クラス)と量子コンピューターの関係について尋ねる良い機会です。彼の有名な1994年の論文で、 Papadimitriouは、PLS、PPADなどのいくつかの重要な複雑性クラスを紹介し、体系的に研究しました。(Papadimitriouの論文は以前のいくつかの論文に依存しており、特にAviadが述べたように、PLSは1988年にJohnson-Papadimitriou-Yannakakisによって紹介されました。) 私の主な質問は: 量子コンピューターは問題にいくつかの利点をもたらしますか?または ?または?等...PPA DPPADPPADPL SPLSPLSPL S∩ PPA DPLS∩PPADPLS \cap PPAD 別の質問は、PLSとPPADのいくつかの量子類似体、およびChristosの他のクラスがあるかどうかです。 私は、暗号化にPPADの最近の顕著接続はこれらの論文で発見されたことに注意してください:ナッシュ均衡を見つけるの暗号硬度に N Bitansky、Oパネート、A・ローゼンとによって缶PPAD硬度標準の暗号化の前提に基づいていますか?Aローゼン、Gセゲフ、Iシャハフ、そしてナッシュ均衡を見つけることは、アルカライチョドゥーリ、パベルフバセク、チェサンカマス、クルジストフピエトルザク、アロンローゼン、ガイロスブラムによるフィアット-シャミルの破れほど簡単ではありません。また、私の意見では、Christosのクラスは特に数学と数学の証明に近いことにも注意してください。 更新: Ron Rothblumは(FBを介して)Choudhuri、Hubacek、Kamath、Pietrzak、Rosen、およびG. Rothblumの結果はPPADが量子コンピューターの能力をはるかに超えていることを示唆しているとコメントしました。(私はそれを説明する精巧な答えを見て喜んでいます。) もう1つのコメント:関連する素晴らしい質問は、立方体の一意の単一方向でシンクを見つけるのに効率的な量子アルゴリズムがあるかどうかです。(このタスクはよりも簡単だと思いますが、とどのように関連しているかはわかりません。)これは、量子的利点を見つけるための探求に関連していますhttps://cstheory.stackexchange.com/a/767/712。 んnnPL SPLSPLSPPA DPPADPPADL PLPLP お誕生日おめでとう、クリストス!


1
暗号化には固有の熱力学的コストがありますか?
リバーシブルコンピューティングは、熱力学的にリバーシブルな操作のみを許可する計算モデルです。少しの情報を消去するとジュールの熱が放出されると述べているランダウアーの原理によれば、これは1対1ではない遷移関数(たとえば、ブールANDおよびOR演算子)を排除します。量子計算で許可される演算はユニタリ行列で表されるため、量子計算は本質的に可逆であることはよく知られています。k Tln(2 )kTln⁡(2)kT \ln(2) この質問は暗号に関するものです。非公式には、「可逆性」という概念は暗号化の基本的な目標に対する嫌悪感のようであり、「暗号化には固有の熱力学的コストがあるのか​​?」という質問を示唆しています。 これは、「すべてを量子で行うことができますか?」とは異なる質問だと思います。 彼には講義ノート、博士Preskillは述べ、「可逆コンピュータ上で不可逆的な計算をシミュレートするための一般的な戦略があります。それぞれの不可逆的なゲートは入力を固定し、出力を無視することによってトフォリゲートによってシミュレートすることができます。私たちは、蓄積し、すべての「ごみのセーブ'計算のステップを逆にするために必要な出力ビット。 " これは、不可逆操作のこれらの可逆量子シミュレーションが入力と「スクラッチ」スペースをとることを示唆しています。次に、操作はいくつかの「ダーティ」スクラッチビットとともに出力を生成します。演算はすべて、出力とガベージビットに関して可逆的ですが、ある時点で、ガベージビットは「破棄」され、それ以上考慮されません。 暗号化はトラップドア一方向関数の存在に依存するため、「スクラッチスペースを追加せずに、可逆論理演算のみを使用して実装できるトラップドア一方向関数はありますか?」もしそうなら、リバーシブル操作のみを使用して、スクラッチスペースなしで任意のトラップドア一方向関数を計算することも可能ですか?

5
計算可能な数が有理数か整数かをテストすることはできますか?
計算可能な数が有理数か整数かをアルゴリズムでテストすることはできますか?言い換えれば、それは道具計算数字は機能を提供するために、そのライブラリは可能でしょうisIntegerかisRational? 私はそれが不可能であると推測し、これは何らかの形で2つの数値が等しいかどうかをテストすることができないという事実に関連していると推測していますが、それを証明する方法はわかりません。 編集:計算数はxxxの関数で与えられるfx(ϵ)fx(ϵ)f_x(\epsilon)の合理的な近似値を返すことができxxx高精度でϵϵ\epsilon:|x−fx(ϵ)|≤ϵ|x−fx(ϵ)|≤ϵ|x - f_x(\epsilon)| \leq \epsilonいずれについても、ϵ>0ϵ>0\epsilon > 0。このような関数を考えると、それがあれば、テストすることが可能であるx∈Qx∈Qx \in \mathrm{Q}またはx∈Zx∈Zx \in \mathrm{Z}?
18 computability  computing-over-reals  lambda-calculus  graph-theory  co.combinatorics  cc.complexity-theory  reference-request  graph-theory  proofs  np-complete  cc.complexity-theory  machine-learning  boolean-functions  combinatory-logic  boolean-formulas  reference-request  approximation-algorithms  optimization  cc.complexity-theory  co.combinatorics  permutations  cc.complexity-theory  cc.complexity-theory  ai.artificial-intel  p-vs-np  relativization  co.combinatorics  permutations  ds.algorithms  algebra  automata-theory  dfa  lo.logic  temporal-logic  linear-temporal-logic  circuit-complexity  lower-bounds  permanent  arithmetic-circuits  determinant  dc.parallel-comp  asymptotics  ds.algorithms  graph-theory  planar-graphs  physics  max-flow  max-flow-min-cut  fl.formal-languages  automata-theory  finite-model-theory  dfa  language-design  soft-question  machine-learning  linear-algebra  db.databases  arithmetic-circuits  ds.algorithms  machine-learning  ds.data-structures  tree  soft-question  security  project-topic  approximation-algorithms  linear-programming  primal-dual  reference-request  graph-theory  graph-algorithms  cr.crypto-security  quantum-computing  gr.group-theory  graph-theory  time-complexity  lower-bounds  matrices  sorting  asymptotics  approximation-algorithms  linear-algebra  matrices  max-cut  graph-theory  graph-algorithms  time-complexity  circuit-complexity  regular-language  graph-algorithms  approximation-algorithms  set-cover  clique  graph-theory  graph-algorithms  approximation-algorithms  clustering  partition-problem  time-complexity  turing-machines  term-rewriting-systems  cc.complexity-theory  time-complexity  nondeterminism 

1
ビットコインと分散型デジタル通貨での二重支出の防止
Bitcoinと呼ばれる分散型オンライン通貨を作成するための最近のアプローチは、ある程度の関心を集めています。目標は、中央当局や二重の支出や偽造なしで通貨を転送する方法を持つことです。彼らのアプローチは、ネットワーク内のすべてのノードに、Proof-of-Work計算を実行してトランザクションの検証を試行させ、その後、最も検証の多いトランザクションを公式と見なすことです。攻撃者が公式記録を偽造したい場合(最初の支出を元に戻し、コインを再び使用するため)、ネットワークのコンピューティング能力の大部分を持っている必要があります。最大の欠点は、このスキームでは、すべてのトランザクションの記録が公開されている必要があることです。これは、著者が必須と想定しています。 トランザクションが存在しないことを確認する唯一の方法は、すべてのトランザクションを認識することです。ミントベースのモデルでは、ミントはすべてのトランザクションを認識し、最初に到着したトランザクションを決定しました。信頼できる当事者なしでこれを達成するには、取引を公表する必要があります そのようなスキームでは、すべてのトランザクションが公に知られている必要があることは明らかですか?より広く:分散型デジタル通貨または関連するアイデアに関するcstheory / crypto研究はありますか? ノート メタディスカッションの後、crypto.SEにクロスポストしました。

2
CNFを暗号化することは可能ですか?
CNF変換することが可能である別のCNFにΨ (C)となるようCC\mathcal CΨ(C)Ψ(C)\Psi(\mathcal C) 関数は、秘密のランダムパラメーターrから多項式時間で計算できます。ΨΨ\Psirrr 場合に解を有する場合にのみ Cは解を有します。Ψ(C)Ψ(C)\Psi(\mathcal C)CC\mathcal C Ψ (C)の解は、rを使用してCの解に効率的に変換できます。xxxΨ(C)Ψ(C)\Psi(\mathcal C)CC\mathcal Crrr なければ、解x(またはΨ (C)のその他のプロパティ)はCを解くのに役立ちません。rrrxxxΨ(C)Ψ(C)\Psi(\mathcal C)CC\mathcal C このようながある場合、それを使用して他の計算の課題を解決するために使用できます(CNFの解決を他の問題に置き換える可能性があります-問題をより具体的にしたかったのでCNFを選択しました)解決に使用した問題を知っていても、可能な解決策から利益を得ることはできません。たとえば、コンピューターゲームに因数分解の問題を埋め込むと、プレーヤーはバックグラウンドで問題に取り組んでいる場合にのみプレイできるようになり、計算の証明を時々送信することができます。この方法でソフトウェアを「無料」にすることもできます。「無料」では、両親の電気代に(おそらくより高い)コストが隠れます。ΨΨ\Psi

2
理論的に健全な擬似乱数ジェネレータは実際に使用されていますか?
私の知る限り、実際の擬似乱数生成の実装のほとんどは、線形シフトフィードバックレジスタ(LSFR)、またはこれらの「Mersenne Twister」アルゴリズムなどの方法を使用しています。多くの(ヒューリスティック)統計テストに合格する一方で、たとえば、すべての効率的に計算可能な統計テストに対して疑似ランダムに見えるという理論的な保証はありません。しかし、これらの方法は、暗号化プロトコルから科学計算、銀行業(おそらく)まで、あらゆる種類のアプリケーションで無差別に使用されます。これらのアプリケーションが意図したとおりに動作するかどうかについて、ほとんど、またはまったく保証がないということは、少し心配です(何らかの分析は、入力として真のランダム性を想定しているためです)。 一方、複雑性理論と暗号化は、疑似乱数性の非常に豊富な理論を提供し、一方向関数の候補を使用して、思いつく可能性のある効率的な統計テストをだます疑似乱数ジェネレーターの候補構成さえあります。 私の質問は次のとおりです。この理論は実用化されましたか?暗号化や科学計算などのランダム性の重要な用途には、理論的には正しいPRGが使用されることを願っています。 余談ですが、LSFRをランダム性のソースとして使用する場合、クイックソートなどの一般的なアルゴリズムがどれだけうまく機能するかについての限られた分析を見つけることができました。KarloffとRaghavanの「ランダム化されたアルゴリズムと擬似乱数」を参照してください。

1
NP完全問題を使用したパスワードハッシュ
一般的に使用されるパスワードハッシュアルゴリズムは、今日このように機能します。パスワードをソルトし、KDFにフィードします。たとえば、PBKDF2-HMAC-SHA1を使用すると、パスワードハッシュプロセスはになりDK = PBKDF2(HMAC, Password, Salt, ...)ます。HMACは埋め込みキーを使用した2ラウンドハッシュであり、SHA1は一連の置換、シフト、回転、ビット単位の操作であるため、プロセス全体は基本的に特定の方法で編成された基本的な操作です。基本的に、彼らが実際に計算するのがどれほど難しいかは明らかではありません。これがおそらく一方向関数が依然として信念である理由であり、歴史的に重要な暗号化ハッシュ関数のいくつかが安全ではなく非推奨になっているのを見てきました。 NPの完全な問題を活用して、パスワードをまったく新しい方法でハッシュすることが可能かどうか疑問に思い、より強固な理論的基礎を提供したいと考えました。重要な考え方は、P!= NP(P == NPの場合OWFがない場合、現在のスキームも壊れる)と仮定すると、NPCの問題であるということは、答えは検証しやすいが計算が難しいことを意味します。このプロパティは、パスワードハッシュの要件に適しています。パスワードをNPCの問題に対する答えと見なすと、NPCの問題をパスワードのハッシュとして保存して、オフライン攻撃に対抗できます。パスワードを確認するのは簡単ですが、解読するのは困難です。 警告は、同じパスワードがNPC問題の複数のインスタンスにマッピングされる場合があり、おそらくすべてを解決するのが難しいわけではありません。この研究の最初のステップとして、私はバイナリ文字列を3-SAT問題への答えとして解釈し、バイナリ文字列が解決策である3-SAT問題のインスタンスを構築しようとしていました。最も単純な形式では、バイナリ文字列にはx_0、x_1、x_2の3ビットがあります。次に、2 ^ 3 == 8句があります。 000 ( (x_0) v (x_1) v (x_2) ) -------------------------------------- 001 ( (x_0) v (x_1) v NOT(x_2) ) 010 ( (x_0) v NOT(x_1) v (x_2) ) 011 ( (x_0) v NOT(x_1) v NOT(x_2) ) 100 ( …

1
知識証明のための複雑性クラス
グレッグ・クーパーバーグが私に尋ねた質問に促されて、さまざまな種類の知識の証明を認める言語の複雑さのクラスを定義および研究する論文があるかどうか疑問に思っています。SZKやNISZKのようなクラスは、完全にゼロの知識を忘れて完全な約束問題の観点から定義したとしても、複雑さの観点から非常に自然です。対照的に、グーグルの「知識の証明」では、複雑なクラスの観点からこの素敵な概念を議論している論文や講義ノートを見つけられないことに驚いた。 例を挙げます:x∈Lまたはx∉Lの統計的ゼロ知識証明を認めるすべての言語Lで構成されるSZK∩MA∩coMAのサブクラスについて言えることは、xを証明する証人の知識の証明でもあります∈Lまたはx∉L?確かにこのクラスには離散対数のようなものが含まれていますが、GIをcoMAに入れずにグラフ同型を含むことを証明できませんでした。クラスにはSZK∩MA∩coMAがすべて含まれますか?また、一方向関数が存在する場合、すべての言語L∈MA∩coMAが計算ゼロ知識証明を認めますか?それは、x∈Lまたはx∉Lを証明する証人の知識の証明でもありますか?(これらのいずれかまたは両方に些細な答えがある場合、私の謝罪---私はただ、私ができることを説明しようとしています PoKを複雑性理論の観点から見ることに決めたら、質問してください。)

2
内の学習可能性のステータス
私は、しきい値ゲートを介して表現可能な関数の複雑さを理解しようとしていますが、これがつながりました。特に、私はこの分野の専門家ではないので、内部での学習について現在知られていることに興味があります。TC0TC0\mathsf{TC}^0TC0TC0\mathsf{TC}^0 私がこれまでに発見したことは: すべての は、Linial-Mansour-Nisanを介した一様分布下の準多項式時間で学習できます。AC0AC0\mathsf{AC}^0 彼らの論文はまた、擬似ランダム関数発生防止の存在を学習することを指摘し、この、それ以降の結果と結合Naor-Reingoldこと是認のPRFGsが、ことを示唆している限界を表します学習可能性の(少なくともPACの意味で)TC0TC0\mathsf{TC}^0TC0TC0\mathsf{TC}^0 Jackson / Klivans / Servedioによる2002年の論文には、フラグメントを学習できる(せいぜい多対数の多数決ゲートがある)。TC0TC0\mathsf{TC}^0 私は通常のグーグルの学問をしましたが、cstheoryの集合的な知恵がより速い答えを持っているかもしれないことを望んでいます: 学習の複雑さを理解するために、どのクラスが効率的な学習者を挟んでいるかという点で、私が最新技術について説明したことはありますか?そして、風景の現在の状態をマップする良い調査/参照がありますか?

3
Nisan / Wigdersonの擬似ランダムの定義の背後にある動機は何ですか?
私は、NisanとWigdersonによる古典的な「Hardness vs Randomness」を読んでいます。LET 、及び修正関数L :N → N。彼らは、関数のファミリー定義G = { G N:BのL (N ) → Bのnは }であると疑似ランダムサイズのすべての回路の場合のN我々はB={0,1}B={0,1}B=\{0,1\}l:N→Nl:N→Nl\colon \mathbb{N} \to \mathbb{N}G={Gn:Bl(n)→Bn}G={Gn:Bl(n)→Bn}G = \{G_n : B^{l(n)} \to B^n\}nnn (∗) |P(C(x)=1)−P(C(G(y))=1)|&lt;1/n(∗) |P(C(x)=1)−P(C(G(y))=1)|&lt;1/n(*) \ \ | P(C(x) = 1) - P(C(G(y))=1) | < 1/n (ここで、一様ランダム変数です)。X ∈ Bn、y∈ Bl (n )バツ∈Bn、y∈Bl(n)x \in B^{n},y \in B^{l(n)} 私はとyを確率変数として考え、xとG …

5
「一方向関数」には暗号化以外のアプリケーションがありますか?
関数は、が多項式時間アルゴリズムによって計算できる場合、ただしすべてのランダム化多項式時間アルゴリズム一方向です。f:{0,1}∗→{0,1}∗f:{0,1}∗→{0,1}∗f \colon \{0, 1\}^* \to \{0, 1\}^*fffAAA Pr[f(A(f(x )))=f(x )] &lt; 1 / p (n )Pr[f(A(f(バツ)))=f(バツ)]&lt;1/p(n)\Pr[f(A(f(x))) = f(x)] < 1/p(n) すべての多項式のためにと十分に大きいN、と仮定Xをより均一に選択される{0,1 \} \ ^ N。確率は、xの選択とAのランダム性に基づいて取得されます。Np (n )p(n)p(n)nnnバツバツx{ 0 、1 }n{0、1}n\{ 0, 1 \}^nバツバツxAAA それで...「One Way Functions」には暗号化以外の用途がありますか?はいの場合、それらは何ですか?

2
情報理論的なセキュリティモデルでは、ビットコミットメントによって忘却的な転送が行われますか?
互いに信頼しない2人のarbitrarily意的に強力な参加者がいるとします。彼らはビットコミットメントにアクセスできます(たとえば、あるプレイヤーが他のプレイヤーに渡すことができるが、最初のプレイヤーが2番目のプレイヤーにキーを与えるまで開けられないデータを含む封筒)。これを使用して忘却型転送プロトコルを構築できますか。これは、プレーヤーが不正行為を検出するために最後にすべての封筒を開くことに同意した場合でも(たとえば、ポーカーハンドがプレイされた後、全員が自分のカードを公開することに同意します)? 忘却転送は暗号学的に普遍的であるため、ビットコミットメントから忘却転送を取得できないと仮定し、ビットコミットメントと言う参照を見つけることができませんが、それを行うことができない証拠はどこかにありますか? 最後に、プレイヤーがクオンタムである場合、誰も問題を見ていませんか?

1
Blum-Feldman-Micaliの方法の欠陥はどこにありますか
Blum、Micali、およびFeldman(BFM)は、すべての関係者(正直者または敵対者)が何らかの文字列にアクセスできる新しい(暗号化)モデルを提案しました。文字列は、信頼できる当事者による何らかの分布(通常は均一な分布)に従って選択されると想定されます。これは参照文字列と呼ばれ、モデルは適切な共通参照文字列(CSR)モデルと呼ばれます。 このモデルにより、多くの興味深いインタラクティブプロトコルを非インタラクティブに実行でき、クエリを参照文字列のビットで置き換えることができます。特に、NP言語のゼロ知識証明は非対話的に実行でき、非対話型ゼロ知識(NIZK)の概念が生じます。 NIZKには、(適応型)選択暗号文攻撃に対して安全な公開鍵暗号システムを実現する方法を提供するなど、多くのアプリケーションがあります。 BFMは、すべてのNP言語に対してNIZKの単一定理バージョンの存在を最初に証明しました。すなわち、参照文字列与えられ、および言語L ∈ N P、一つの形式のただ1つの定理を証明することができ、X ∈ Lを。さらに、定理の長さは|で区切られます。ρ | 。証明者が後の証明でρの一部を再利用しようとすると、知識の漏洩の危険があります(そして、証明はNIZKではなくなります)。ρρ\rhoL ∈ N PL∈NPL \in \bf{NP}X ∈ Lx∈Lx \in L| ρ ||ρ||\rho|ρρ\rho これを改善するために、BFMは単一定理NIZKに基づいたマルチ定理バージョンを使用しました。この目的のために、彼らはを展開するために擬似乱数発生器を使用し、次に展開されたビットを使用しました。他にもいくつかの詳細がありますが、掘り下げるつもりはありません。ρρ\rho Feige、Lapidot、およびShamir(彼らの論文の最初のページの最初の脚注)は次のように述べています。 この困難を克服するためにBFMで提案された方法には欠陥があることがわかりました。 (難しさとは、単一定理のものではなく、複数定理の証明を取得することです。) BFMの欠陥はどこにありますか?

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.