タグ付けされた質問 「cr.crypto-security」

行列次元はn × n （n − 1 ）です。からまでの整数を使用してを埋めます。AAAn × n （n − 1 ）n×n(n−1)n \times n(n-1)1 nAAA111nnn 要件： 各列は、順列です。1 、… 、nAAA1 、… 、n1,…,n1, \dots, n 2行で形成される部分行列は、同じ列をことはできません。AAA 質問： 要件を満たすマトリックスを埋めることは可能ですか？ 暗号化との関係： 各行番号はプレーンテキストに対応しています。各列はキーに対応しています。キーはインジェクションを定義するため、各列は順列でなければなりません。2番目の要件は、2つのメッセージの完全な機密性です。

11 co.combinatorics  cr.crypto-security  coding-theory 

SHA-1セキュリティは、衝突を検出するためのアルゴリズムがCRYPTO 2004で最初に公開され、その後改善されて以来議論されてきました。 ウィキペディアにはいくつかの参考文献がリストされていますが、このテーマに関する公開された（そして後に取り下げられた）最新の研究は2009年に行われたようです（Cameron McDonald、Philip Hawkes、Josef Pieprzyk "Differential Path for SHA-1 with complex O（2 ^ 52）" ）。 それ以来、SHA-1に対するハッシュコリジョン攻撃の労力を削減する上で大きな進展がありましたか？ 短い要約を伴う特定の研究へのリンクをいただければ幸いです。

11 cr.crypto-security  hash-function  cryptographic-attack 

直線のシミュレーション可能性の意味について、適切なリファレンスを知っている人はいますか？私は現在、CanettiのUniversal Composability（UC）フレームワークに深く関わっていますが、直線的なシミュレーション可能性の意味に関する良い参考資料を見つけることができません。どんな助けも大歓迎です。

11 cr.crypto-security 

安全でないソフトウェアについて考えるとき、それは「あまりにも有用」であり、攻撃者に悪用される可能性があると思います。ある意味で、ソフトウェアを保護することは、ソフトウェアの有用性を低下させるプロセスです。理論的コンピューターサイエンスでは、現実の世界を操作していません。それでは、純粋な理論を扱う際にセキュリティ上の懸念はありますか？それとも、コインの反対側で、理論的コンピューターサイエンスは、ハッキングされる人々の現実の世界に影響を与えますか？もしそうなら、どのセキュリティトピックが理論的と見なされますか？

11 cr.crypto-security  big-picture 

してみましょう固定一定です。整数与えられた場合、次のような順列を作成します。N σ ∈ S Nk>0k>0k>0nnnσ∈Snσ∈Sn\sigma \in S_n 構築には一定の時間とスペースが使用されます（つまり、前処理には一定の時間とスペースがかかります）。ランダム化を使用できます。 所与、、一定時間と空間で計算することができます。σ （I ）i∈[n]i∈[n]i\in[n]σ(i)σ(i)\sigma(i) 順列は方向に独立しています。つまり、すべてのについて、確率変数は独立しており、に均一に分散されます。kはiが1、... 、iがkを σ （I 1）、... 、σ （I K）[ N ]σσ\sigmakkki1,…,iki1,…,iki_1, \ldots, i_kσ(i1),…,σ(ik)σ(i1),…,σ(ik)\sigma(i_1), \ldots, \sigma(i_k)[n][n][n] 私が現在知っている唯一のことは、擬似ランダムジェネレーターを使用して値ごとに対数空間と多項式計算時間を使用することです。σ(i)σ(i)\sigma(i) バックグラウンド 最近の作業には上記のようなものが必要でしたが、結局もっと弱いものを使用することになりました。繰り返し入力を許可し、必要なすべての数がカバーされていることを確認しました（つまり、混乱）。具体的には、時間で計算でき、定数空間を使用して方向の独立したシーケンスを取得しました。もっと単純なものを持っているか、知られていることを知っているだけでいいでしょう。O （1 ）kkkO(1)O(1)O(1) 仮定 単価RAMモデルを想定しています。メモリ/レジスタのすべてのワードのサイズはであり、すべての基本的な算術演算には時間かかります。私は、合理的な暗号化の仮定（一方向関数、離散ログなど）を想定します。O （1 ）O(logn)O(log⁡n)O(\log n)O(1)O(1)O(1) 現在のもの Kavehが提案したように、これは私が現在持っている「簡単な」ハックです（これはかなり標準的です）：ましょう素数多項式である（をと考えてください）。ここで、各はから均一かつランダムにサンプリングされます。それことを確認することは容易である反復を有する配列であるが、それは独立-wise、及びおおよその数のがこのシーケンスに表示されます。ただし、数値はこの順序で繰り返されるため、順列ではないことに注意してください。P P N I [ P ] σ （1 ）、σ （2 ）、... 、σ （N …

10 cc.complexity-theory  ds.algorithms  cr.crypto-security  derandomization  k-wise-independence 

OWFが存在する場合、統計的に拘束力のあるビットコミットメントが可能です。[1] OWFが存在する場合、完全に拘束力のあるビットコミットメントが可能であることは知られていますか？ いいえの場合、それらの間には既知のブラックボックス分離がありますか？ [1] http://en.wikipedia.org/wiki/Pseudorandom_generator_theoremおよび http://en.wikipedia.org/wiki/Commitment_scheme#Bit-commitment_from_a_pseudo-random_generator

10 cr.crypto-security  one-way-function 

KatzとLindellは彼らの本の中でLFSRが疑似ランダムジェネレーターの基礎としてひどいものであり、もう使用されていないことを主張しています（まあ、彼らは人々がストリーム暗号の代わりにブロック暗号を使用することも推奨しています）。しかし、たとえば、estreamポートフォリオ（ハードウェアを対象とするGrain）の暗号の1つがLFSRを使用しているため、LFSRが適切でないという意見はコンセンサスではありません。 LFSR（およびストリーム暗号）に関するKatzとLindellの意見を共有する多くの暗号学者がいるかどうか知りたいですか？

10 soft-question  cr.crypto-security  pseudorandom-generators 

私の質問は、因数分解の難易度に基づいて構築できるさまざまな一方向関数の候補のセキュリティの同等性についてです。 の問題を想定して FACTORING：[考えるランダム素数のためにP 、Q &lt; 2 N、検索P、Qを。]N=PQN=PQN = PQP,Q&lt;2nP,Q&lt;2nP, Q < 2^nPPPQQQ 無視できない確率で多項式時間で解くことができない場合、関数 PRIME-MULT：[ビット文字列を入力として与え、xをシードとして使用して2つのランダムな素数PおよびQを生成します（ここで、P、Qの長さは、xの長さよりも多項的に短いだけです）。次に、P Qを出力します。]xxxxxxPPPQQQPPPQQQxxxPQPQPQ 一方向であることを示すことができます。 別の候補一方向関数は INTEGER-MULT：[ 入力としてランダムな整数を指定、出力A B。 ]A,B&lt;2nA,B&lt;2nA, B < 2^nABABA B INTEGER-MULTには、PRIME-MULTに比べて定義が簡単であるという利点があります。（特に、PRIME-MULTでは、シードが素数であるP 、Qを生成できない可能性があります（幸い無視できます）。）xxxP,QP,QP, Q 少なくとも2つの異なる場所（Arora-Barak、計算の複雑さ、ページ177、脚注2）と（Vadhanの暗号解読入門講義ノート）では、INTEGER-MULTは因数分解の平均的な硬度を仮定する一方通行であると述べられています。ただし、これら2つはどちらも、この事実の理由も参照もありません。 だから問題は： 無視できない確率の多項式時間因数分解で、無視できない確率のINTEGER-MULTを反転させるにはどうすればよいでしょうか。N=PQN=PQN = PQ 考える：ここでは可能なアプローチ（！私たちが見るようにする作業をしないこと）である乗算、N（多項式が）はるかに長いランダムな整数でA "を取得するためにA = N Aは、"。アイデアは、A ’が非常に大きく、P 、Qにほぼ等しいサイズの素因数がたくさんあるため、P 、QがAの素因数の中で「際立って」いないということです。次に、Aは、指定された範囲でほぼ一様にランダムな整数の分布を持ちます（[ 0N=PQN=PQN = PQNNNA′A′A'A=NA′A=NA′A = NA'A′A′A'P,QP,QP, QP,QP,QP, QAAAAAA）です。次は、整数選択 Bが同じ範囲からランダム [ …

10 reference-request  cr.crypto-security  nt.number-theory  average-case-complexity  one-way-function 

この質問は、高校一年生のための感動的な話と同じ要領です。私の博士号 顧問は、与えることを私に尋ねた感動の話新しい修士のために 学生。主題は暗号の基礎であり、Goldreichの本に最もよく示されています。講演には約1時間かかります。主な構成（一方向関数/置換、疑似ランダムジェネレーター、ゼロ知識証明、暗号化/署名方式など）を学生に理解してもらい、解決し、フィールドで未解決の問題。 とてもやる気のある話にしていきたいです。主な問題は2つあります。 暗号化の基礎には、計算量の理論を非常によく理解する必要があります。悲しいかな、修士号 学生はこの理論に関連するコースを通過していません。 修士課程のトピックとして、いくつかの問題を提示する必要があります。定説。フィールドには未解決の問題がたくさんありますが、それらのほとんどはM.Scにとって難しすぎます。学生。 提案は大歓迎です。さらに、私は同様の話へのポインターに非常に興味があります。 編集：ゴールドライヒの学生のリストは非常に刺激的であることがわかりました。他のそのようなリストを検索しますが、同様のリストを知っている場合は私を助けてください。参照：一般的な修士論文と研究の謎を解く：いくつかの修士論文の物語。

10 reference-request  soft-question  cr.crypto-security  teaching 

ましょう置換です。しながら、という注意πは無限のドメインに作用し、その説明は有限であるかもしれません。記述、私が記述したプログラムを意味πの機能を。（コルモゴロフの複雑さのように。）以下の説明を参照してください。π:{0,1}∗→{0,1}∗π:{0,1}∗→{0,1}∗\pi \colon \{0,1\}^* \to \{0,1\}^*ππ\piππ\pi たとえば、NOT関数はそのような順列の1つです。 関数NOT（x） y = xとする i = 1〜| x |の場合 yのi番目のビットを反転 yを返す πk(⋅)πk(⋅)\pi_k(\cdot)以下に定義は、別のケースです。 関数pi_k（x） x + kを返す（mod 2 ^ | x |） 私の質問は、一方向置換と呼ばれる特別な種類の置換についてです。非公式に言えば、これらは順列であり、計算は簡単ですが、（BPPBPP\rm{BPP}マシンの場合）反転することは困難です。一方向の順列の単なる存在は、暗号化と複雑性理論における長年のオープンな問題ですが、残りの部分では、それらが存在すると仮定します。 n=pqn=pqn = pqe=65537e=65537e = 65537πn(x)=xemodnπn(x)=xemodn\pi_n(x) = x^e \bmod n RSAは有限領域定義されていることに注意してください。実際、無限ドメイン置換を取得するには、RSA置換の ファミリーがあります。ここで、はBlum整数の無限セットです。ことに注意してください家族の説明である、と定義することによって、それは無限です。ZnZn\mathbb{Z}_n{πn}n∈D{πn}n∈D\{\pi_n\}_{n\in D}DDDDDD 私の質問は（一方向の順列の存在を想定）です。 無限ドメインで有限記述一方向置換が存在しますか？ その答えは変更される場合があります：それは（ポジティブ、ネガティブ、または開くことができる可能性が陽性であること、または可能性が否定されるように）。 バックグラウンド この質問は、ASIACRYPT 2009の論文を読んでいたときに起こりました。そこで、著者は暗黙のうちに（そしていくつかの証明の文脈において）そのような一方向の置換が存在すると仮定しました。 証明が見つからなかったとしても、これが事実であるなら私は幸福です。

10 cc.complexity-theory  co.combinatorics  cr.crypto-security  descriptive-complexity  one-way-function 

ユニバーサルブラインド量子計算 autorsはほとんど古典的なユーザは、計算の内容についてはほとんど何も明らかにすることなく量子サーバー上の任意の計算を実行することを可能にする測定ベースのプロトコルを記載しています。 プロトコルの説明では、著者は、各キュービットに関連付けられた「依存関係セット」に言及しています。これらは、一方向モデルの決定論で説明されているいくつかの方法で計算されることになっています。 ただし、これらのセットがどのように計算されるかについては、紙を読んでもはっきりしません。 誰かがこの問題を明確にするのを手伝ってくれる？

10 quantum-computing  cr.crypto-security 

不死身のジェネレータは次のように定義されています。 ましょう NPの関係であること、及び受け入れマシンで。非公式には、プログラムは、入力でインスタンスウィットネスペア、場合、不死身のジェネレーターです、与えられた任意の多項式時間の攻撃その下分布に応じて証人を見つけることができない無限に多くの長さについて顕著確率を、。M L （R ）1 、N（X 、W ）∈ R | x | = N 、X 、X ∈ S NRRRMMML(R)L(R)L(R)1n1n1^n(x,w)∈R(x,w)∈R(x, w) \in R|x|=n|x|=n|x| = nxxxx∈Sx∈Sx \in Snnn Abadi らによって最初に定義された不死身のジェネレーター。、暗号化で多くのアプリケーションが見つかりました。 不死身のジェネレーターの存在は、であるという仮定に基づいていますが、これはおそらく十分ではありません（関連トピックも参照）。P≠NPP≠NP\mathbf{P} \neq \mathbf{NP} アバディらの定理3 。上で引用した論文は、不死身のジェネレータの存在の証拠は相対化しないことを示しています： 定理3.ようなオラクルがあり、に対して不死身のジェネレーターは存在しない。P B ≠ N P BBBBPB≠NPBPB≠NPB\mathbf{P}^B \neq \mathbf{NP}^B この定理の証明の一部がわかりません。結合演算を表すとしましょう。してみましょう充足可能で定量化された論理式のPSPACE完全言語とすること、および聞かせて最大コルモゴロフ複雑性の文字列の非常にまばらなセットで。具体的には、それぞれ長さの1つのストリング含ま配列、によって定義される、 IS 三重指数で、のために。もしと、次にQ B F K K N …

10 cc.complexity-theory  cr.crypto-security  oracles  relativization  kolmogorov-complexity 

この質問を暗号で 見たときから、次の質問についていろいろ考えています 。 質問 ましょRRRなりTFNPの関係。ランダムなオラクルは、無視できない確率でR を破るためにP / poly を助けることができます か？より正式には、 RRR \newcommand{\Pr}{\operatorname{Pr}} \newcommand{\E}{\operatorname{\mathbb{E}}} \newcommand{\O}{\mathcal{O}} \newcommand{\Good}{\mathsf{Good}} する すべてのP / polyアルゴリズム、 は無視できますAAAPrx[R(x,A(x))]Prx⁡[R(x,A(x))]\Pr_x [R(x, A(x))] 必ずしもそれを意味します 以下のために、ほとんどすべての O racles 、アルゴリズムオラクル全てP /ポリ、無視できますOO\OAAAPrx[R(x,AO(x))]Prx⁡[R(x,AO(x))]\Pr_x [R(x, A^\O(x))] ？ 代替処方 関連するオラクルのセットは（したがって測定可能）であるため、対比を取り、コルモゴロフのゼロワン法則を適用すると、次の公式は元の公式と同等になります。GδσGδσG_{\delta\sigma} する 以下のためのほぼすべてのO racles 、 存在するP /ポリオラクルアルゴリズムよう ではない無視できるが A Pr x [ R （x 、A O（x ））]OO\OAAAPrx[R(x,AO(x))]Prx⁡[R(x,AO(x))]\Pr_x [R(x,A^\O(x))] …

9 cr.crypto-security  relativization  advice-and-nonuniformity  search-problem  random-oracles 

現在のほとんどの暗号化方法は、2つの大きな素数の積である数を因数分解する困難さに依存しています。私が理解しているように、大きな素数を生成するために使用される方法が、結果として得られる合成数を因数分解するためのショートカットとして使用できない限り（そして大きな数自体を因数分解すること自体が困難である限り）困難です。 数学者は時々より良いショートカットを見つけるようで、暗号化システムは結果として定期的にアップグレードされなければなりません。（また、量子コンピューティングが最終的に因数分解をはるかに簡単な問題にする可能性もありますが、テクノロジーが理論に追いついたとしても、それは誰にも意外なことにはなりません。） 他のいくつかの問題は困難であることが証明されています。頭に浮かぶ2つの例は、ナップザック問題のバリエーションと巡回セールスマン問題です。 マークル・ヘルマンが破られたこと、ナサコ・村上が安全なままであること、そしてナップザック問題が量子計算に耐性があるかもしれないことを知っています。（ありがとう、Wikipedia。）巡回セールスマン問題を暗号化に使用することについては何も見つかりませんでした。 では、なぜ大きな素数のペアが暗号を支配しているように見えるのでしょうか？ それは単に、乗算が簡単で因数分解が難しい大きな素数のペアを生成するのが現在簡単なためですか？ これは、大きな素数のペアを因数分解することが、予測可能な程度に十分であり十分に困難であることが証明されているためですか？ 大きな素数のペアは、暗号化と暗号化署名の両方で機能するという特性など、困難以外の方法でも役立ちますか？ 暗号化の目的自体にとって十分に困難な他の問題タイプごとに問題セットを生成する問題は、実用的ではありませんか？ 他の問題タイプの特性は、信頼できるほど十分に研究されていませんか？ その他。

9 cr.crypto-security  primes 

一方向関数の存在が暗号化の多く（デジタル署名、疑似ランダムジェネレーター、秘密鍵暗号化など）に必要かつ十分であることはよく知られています。私の質問は：どのようなものがあり、複雑理論一方向関数の存在の結果は？たとえば、OWFは、、および意味し。他に既知の結果はありますか？特に、OWFは多項式階層が無限であることを意味しますか？N P ≠ PNP≠P\mathsf{NP}\ne\mathsf{P}B P P = PBPP=P\mathsf{BPP}=\mathsf{P}C Z K = I PCZK=IP\mathsf{CZK}=\mathsf{IP} 最悪の場合と平均的な場合の硬度の関係をよりよく理解したいと思っています。また、逆の結果（つまり、OWFを意味する複雑さの理論的な結果）にも興味があります。

9 cc.complexity-theory  reference-request  complexity-classes  cr.crypto-security  one-way-function