Distribuição de dados

Predefinição:Mais notas Na teoria da complexidade computacionalPredefinição:Ill, uma suposição de dificuldade computacional é a hipótese de que um problema específico não pode ser resolvido de forma eficiente (onde eficiência normalmente significa "em tempo polinomial"). Não se sabe como provar a dificuldade (incondicional) para essencialmente qualquer problema útil. Em vez disso, os cientistas da computação contam com reduções para relacionar formalmente a dificuldade de um problema novo ou complicado à uma suposição de dificuldade computacional sobre um problema que é mais bem compreendido.

As suposições de dificuldade computacional são de particular importância na criptografia. Um dos principais objetivos da criptografia é criar primitivas criptográficasPredefinição:Ill com segurança comprovadaPredefinição:Ill. Em alguns casos, os protocolos criptográficos apresentam segurança teórica da informação; a chave (ou cifra) de uso único é um exemplo comum. No entanto, a segurança teórica da informação nem sempre pode ser alcançada; nesses casos, os criptógrafos recorrem à segurança computacional. Em termos gerais, isso significa que esses sistemas são seguros assumindo que quaisquer adversários são limitados computacionalmente, como todos os adversários são na prática.

As suposições de dificuldade computacional também são úteis para orientar projetistas de algoritmos: um algoritmo simples provavelmente não refutará uma suposição de dificuldade computacional bem estudada, como P ≠ NP.

Os cientistas da computação têm diferentes maneiras de avaliar quais suposições de dificuldade são mais confiáveis.

Dizemos que a suposição ${\displaystyle A}$ é mais forte do que a suposição ${\displaystyle B}$ quando ${\displaystyle A}$ implica ${\displaystyle B}$ (e o inverso é falso ou desconhecido). Em outras palavras, mesmo que a suposição ${\displaystyle A}$ fosse falsa, a suposição ${\displaystyle B}$ ainda poderia ser verdadeira, e os protocolos criptográficos baseados na suposição ${\displaystyle B}$ ainda podem ser seguros para uso. Assim, ao desenvolver protocolos criptográficos, se espera poder provar a segurança usando as suposições mais fracas possíveis.

Predefinição:VT Uma suposição de caso médio diz que um problema específico é difícil na maioria das instâncias de alguma distribuição explícita, enquanto uma suposição de pior caso apenas diz que o problema é difícil em algumas instâncias. Para um determinado problema, a dificuldade de caso médio implica a dificuldade de pior caso, portanto, uma suposição de dificuldade de caso médio é mais forte do que uma suposição de dificuldade de pior caso para o mesmo problema. Além disso, mesmo para problemas incomparáveis, uma suposição como a hipótese de tempo exponencial é frequentemente considerada preferível a uma suposição de caso médio como a conjectura de clique ocultoPredefinição:Ill.^[1] Observe, no entanto, que na maioria das aplicações criptográficas, saber que um problema tem alguma instância difícil (ou seja, um problema é difícil no pior caso) é inútil porque não nos fornece uma maneira de gerar instâncias difíceis.^[2] Felizmente, muitas suposições de caso médio usadas em criptografia (incluindo RSA, logaritmo discreto e alguns problemas de rede) podem ser baseadas em suposições de pior caso por meio de reduções de pior caso a caso médio.^[3]

Uma característica desejada de uma suposição de dificuldade computacional é a falseabilidade, ou seja, se a suposição fosse falsa, então seria possível a provar. Em particular, Predefinição:Harvtxt introduziu uma noção formal de falseabilidade criptográfica.^[4] Grosso modo, uma suposição de dificuldade computacional é considerada falseável se puder ser formulada em termos de um desafio: um protocolo interativo entre um adversário e um verificador eficiente, onde um adversário eficiente pode convencer o verificador a aceitar se e somente se a suposição for falsa.

Existem muitas suposições de dificuldade criptográfica em uso. Esta é uma lista de algumas das mais comuns e de alguns protocolos criptográficos que os utilizam.

Predefinição:Artigo principal Dado um número composto ${\displaystyle n}$, e em particular aquele que é o produto de dois primos grandes ${\displaystyle n=p\cdot q}$, o problema de fatoração de inteiros é encontrar ${\displaystyle p}$ e ${\displaystyle q}$ (mais geralmente, encontrar primos ${\displaystyle p_1,\dots ,p_k}$ de modo que ${\displaystyle n=\prod _i{p}_i}$). É um grande problema em aberto encontrar um algoritmo para fatoração de inteiros que execute em tempo polinomial no tamanho da representação (${\displaystyle \log (n)}$). A segurança de muitos protocolos criptográficos se baseia na suposição de que a fatoração de inteiros é difícil (ou seja, não pode ser resolvida em tempo polinomial). Os criptosistemas cuja segurança é equivalente a esta suposição incluem o criptosistema Rabin e o criptosistema Okamoto-UchiyamaPredefinição:Ill. Muitos outros criptosistemas dependem de suposições mais fortes, como RSA, problemas de residuosidade e ocultação de Phi.

Predefinição:Artigo principal Dado um número composto ${\displaystyle n}$, expoente ${\displaystyle e}$ e número${\displaystyle c:=m^e(\mathrm{m}\mathrm{o}\mathrm{d}n)}$, o problema RSA é encontrar ${\displaystyle m}$. O problema é considerado difícil, mas se torna fácil devido à fatoração de ${\displaystyle n}$. No criptosistema RSA, ${\displaystyle (n,e)}$ é a chave pública, ${\displaystyle c}$ é a criptografia da mensagem ${\displaystyle m}$ e a fatoração de ${\displaystyle n}$ é a chave secreta usada para descriptografia.

Dado um número composto ${\displaystyle n}$ e inteiros ${\displaystyle y,d}$, o problema de residuosidade é determinar se existe (alternativamente, encontre um) ${\displaystyle x}$ tal que

${\displaystyle x^d\equiv y(\mathrm{mod}n).}$

Casos especiais importantes incluem o problema de residuosidade quadráticaPredefinição:Ill e o problema de residuosidade composta de decisãoPredefinição:Ill. Como no caso do RSA, este problema (e seus casos especiais) são considerados difíceis, mas se tornam fáceis devido à fatoração de${\displaystyle n}$. Alguns criptosistemas que dependem da dificuldade dos problemas de residuidade incluem:

• Criptosistema Goldwasser–MicaliPredefinição:Ill (problema de residuosidade quadrática)
• Gerador Blum Blum Shub (problema de residuosidade quadrática)
• Criptosistema PaillierPredefinição:Ill (problema de residuosidade composta de decisão)
• Criptosistema BenalohPredefinição:Ill (problema de maior residuosidade)
• Criptosistema Naccache-SternPredefinição:Ill (problema de maior residuosidade)

Para um número composto ${\displaystyle m}$, não se sabe como calcular eficientemente sua função totiente de Euler ${\displaystyle \varphi (m)}$. A suposição de ocultação de Phi postula que é difícil calcular ${\displaystyle \varphi (m)}$ e, além disso, mesmo computar quaisquer fatores primos de ${\displaystyle \varphi (m)}$ é difícil. Essa suposição é usada no protocolo PIR Cachin–Micali–Stadler.^[5]

Predefinição:Artigo principal Dados os elementos ${\displaystyle a}$ e ${\displaystyle b}$ de um grupo ${\displaystyle G}$, o problema de logaritmo discreto pede um inteiro ${\displaystyle k}$ tal que ${\displaystyle a=b^k}$. O problema de logaritmo discreto não é conhecido por ser comparável à fatoração de inteiros, mas suas complexidades computacionais estão intimamente relacionadas.

A maioria dos protocolos criptográficos relacionados ao problema de log discreto, na verdade, dependem da suposição de Diffie–HellmanPredefinição:Ill mais forte: determinados elementos de grupo ${\displaystyle g,g^a,g^b}$, onde ${\displaystyle g}$ é um gerador e ${\displaystyle a,b}$ são inteiros aleatórios, é difícil encontrar ${\displaystyle g^{a\cdot b}}$. Exemplos de protocolos que usam essa suposição incluem a troca de chaves de Diffie–Hellman original, bem como a criptografia ElGamal (que depende da variante decisória de Diffie–HellmanPredefinição:Ill (D.D.H.) ainda mais forte).

Um mapa multilinear é uma função ${\displaystyle e:G_1,\dots ,G_n\to G_T}$ (onde ${\displaystyle G_1,\dots ,G_n,G_T}$ são grupos) tais que para qualquer ${\displaystyle g_1,\dots ,g_n\in G_1,\dots G_n}$ e ${\displaystyle a_1,\dots ,a_n}$,

${\displaystyle e(g_1^{a_1},\dots ,g_n^{a_n})=e(g_1,\dots ,g_n{)}^{a_1\cdots a_n}}$

Para aplicações criptográficas, gostaríamos de construir grupos ${\displaystyle G_1,\dots ,G_n,G_T}$ e um mapa ${\displaystyle e}$ de modo que o mapa e as operações de grupo em ${\displaystyle G_1,\dots ,G_n,G_T}$ possam ser calculados de forma eficiente, mas o problema de logaritmo discreto em ${\displaystyle G_1,\dots ,G_n}$ ainda é difícil.^[6] Algumas aplicações requerem suposições mais fortes, por exemplo, análogos multilineares das suposições de Diffie-Hellman.

Para o caso especial de ${\displaystyle n=2}$, mapas bilinearesPredefinição:Ill com segurança confiável foram construídos usando emparelhamento WeilPredefinição:Ill e emparelhamento TatePredefinição:Ill.^[7] Para ${\displaystyle n>2}$ muitas construções foram propostas nos últimos anos, mas muitas delas também foram quebradas e, atualmente, não há consenso sobre um candidato seguro.^[8] Alguns criptosistemas que dependem de suposições de dificuldade multilinear incluem:

• Esquema Boneh–FranklinPredefinição:Ill (bilinear Diffie–Hellman)
• Boneh–Lynn–ShachamPredefinição:Ill (bilinear Diffie-Hellman)
• Garg-Gentry-Halevi-Raykova-Sahai-Waters candidato para ofuscação indistinguívelPredefinição:Ill e criptografia funcionalPredefinição:Ill (quebra cabeças multilinear)^[9]

O problema computacional mais fundamental nas redes diagonais é o problema de vetor mais curtoPredefinição:Ill (P.V.M.C.): dada uma rede ${\displaystyle L}$, encontrar o menor vetor ${\displaystyle v\in L}$ diferente de zero. A maioria dos criptosistemas requer suposições mais fortes sobre as variantes do problema de vetor mais curto (P.V.M.C.), como o problema de vetores independentes mais curtosPredefinição:Ill (P.V.I.M.C.), o GapSVPPredefinição:Ill^[10] ou o Unique-SVP.^[11]

A suposição de dificuldade de rede mais útil em criptografia é para o problema de aprendizado com erros (A.C.E.): amostras fornecidas para ${\displaystyle (x,y)}$, onde ${\displaystyle y=f(x)}$ para alguma função linear ${\displaystyle f(\cdot )}$, é fácil aprender ${\displaystyle f(\cdot )}$ usando álgebra linear. No problema de aprendizado com erros (A.C.E.), a entrada para o algoritmo tem erros, ou seja, para cada par ${\displaystyle y\ne f(x)}$ com alguma pequena probabilidade. Se acredita que os erros tornam o problema intratável (para parâmetros apropriados); em particular, existem reduções conhecidas de pior caso a caso médio de variantes do problema de vetor mais curto.^[12]

​​​Para computadores quânticos, os problemas de fatoração e logaritimo discreto são fáceis, mas os problemas de rede são considerados difíceis.^[13] Isso torna alguns criptosistemas baseados em rede candidatos para criptografia pós-quântica.

Alguns criptosistemas que dependem da dificuldade dos problemas de rede incluem:

• NTRU (NTRUEncryptPredefinição:Ill e NTRUSignPredefinição:Ill)
• A maioria dos candidatos para criptografia totalmente homomórfica

Assim como suas aplicações criptográficas, as suposições de dificuldade são usadas na teoria da complexidade computacionalPredefinição:Ill para fornecer evidências para afirmações matemáticas que são difíceis de provar incondicionalmente. Nessas aplicações, prova-se que a suposição de dificuldade implica alguma afirmação teórica da complexidade desejada, em vez de provar que a afirmação em si é verdadeira. A suposição mais conhecida desse tipo é a suposição de que P ≠ NP,^[14] mas outras incluem a hipótese de tempo exponencial,^[15] a conjectura clique plantadoPredefinição:Ill e a conjectura de jogos únicos.^[16]

Muitos problemas computacionais de pior caso são conhecidos por serem difíceis ou mesmo completos para alguma classe de complexidade ${\displaystyle C}$, em particular difícil de NP (mas frequentemente também difícil de PSPACEPredefinição:Ill, difícil de PPADPredefinição:Ill, etc.). Isso significa que eles são pelo menos tão difíceis quanto qualquer problema na classe ${\displaystyle C}$. Se um problema é ${\displaystyle C}$-difícil (com respeito às reduções de tempo polinomial), então não pode ser resolvido por um algoritmo de tempo polinomial, a menos que a suposição de dificuldade computacional ${\displaystyle P\ne C}$ seja falsa.

Predefinição:Artigo principal A hipótese de tempo exponencial (eth) é um reforço da suposição de dificuldade ${\displaystyle P\ne NP}$, que conjectura que não apenas o problema de satisfatibilidade booleana não tem um algoritmo de tempo polinomial, mas também requer tempo exponencial (${\displaystyle 2^{\mathrm{\Omega }(n)}}$).^[17] Uma suposição ainda mais forte, conhecida como hipótese de tempo exponencial forte (H.T.E.F.) conjectura que SAT de ${\displaystyle k}$ requer tempo ${\displaystyle 2^{(1-{\epsilon }_k)n}}$, onde ${\displaystyle \underset{k\to \mathrm{\infty }}{\lim }{\epsilon }_k=0}$. Hipótese de tempo exponencial (H.T.E.), hipótese de tempo exponencial forte (H.T.E.F.) e pressupostos de dificuldade computacional relacionados permitem a dedução de resultados de complexidade refinados, por exemplo, resultados que distinguem o tempo polinomial e o tempo quase polinomialPredefinição:Ill,^[1] ou mesmo ${\displaystyle n^{1.99}}$ versus ${\displaystyle n^2}$.^[18] Essas suposições também são úteis na complexidade parametrizada.^[19]

Predefinição:Artigo principal Alguns problemas computacionais são considerados difíceis em média em uma distribuição particular de instâncias. Por exemplo, no problema do clique plantadoPredefinição:Ill, a entrada é um grafo aleatório amostrado, amostrando um grafo aleatório Erdős–Rényi e então "plantando" um clique ${\displaystyle k}$ aleatório, ou seja, conectando nós ${\displaystyle k}$ uniformemente aleatórios (onde ${\displaystyle 2{\log }_{2}n\ll k\ll \sqrt{n}}$), e o objetivo é encontrar o clique ${\displaystyle k}$ plantado (que é, com alta probabilidade, único).^[20] Outro exemplo importante é a hipótese de Feige, que é uma suposição de dificuldade computacional sobre instâncias aleatórias de SAT de 3 (amostradas para manter uma proporção específica de cláusulas para variáveis).^[21] As suposições de dificuldade computacional de caso médio são úteis para provar a dificuldade de caso médio em aplicações como estatísticas, onde há uma distribuição natural sobre as entradas.^[22] Além disso, a suposição de dificuldade do clique plantado também foi usada para distinguir entre a complexidade de tempo de pior caso polinomial e quase polinomial de outros problemas,^[23] de forma semelhante à hipótese de tempo exponencial.

Predefinição:Artigo principal O problema de cobertura de rótulo exclusivo é um problema de satisfação de restrição, onde cada restrição ${\displaystyle C}$ envolve duas variáveis ${\displaystyle x,y}$, e para cada valor de ${\displaystyle x}$ há um valor único de ${\displaystyle y}$ que satisfaz ${\displaystyle C}$. Determinar se todas as restrições podem ser satisfeitas é fácil, mas a conjectura de jogos únicos (C.J.U.) postula que determinar se quase todas as restrições (fração ${\displaystyle (1-\epsilon )}$, para qualquer constante ${\displaystyle \epsilon >0}$) podem ser satisfeitas ou quase nenhuma delas (fração ${\displaystyle \epsilon }$) podem ser satisfeitas é difícil de NP'.^[16] Os problemas de aproximação são frequentemente conhecidos como difíceis de NP assumindo conjectura de jogos únicos (C.J.U.); tais problemas são chamados de difícil de jogos únicos (J.U.). Em particular, assumindo conjectura de jogos únicos (C.J.U.), há um algoritmo de programação semidefinidaPredefinição:Ill que atinge garantias de aproximação ótimas para muitos problemas importantes.^[24]

Intimamente relacionado ao problema de cobertura de rótulo único está o problema de expansão de conjunto pequeno (E.C.P.): Dado um gráfico ${\displaystyle G=(V,E)}$, encontrar um conjunto pequeno de vértices (de tamanho ${\displaystyle n/\log (n)}$) cuja expansão de bordaPredefinição:Ill é mínima. Se sabe que, se a expansão de conjunto pequeno é difícil de estimar, o mesmo ocorre com a cobertura de rótulo único. Consequentemente, a hipótese de expansão de conjunto pequeno, que postula que a expansão de conjunto pequeno é difícil de se aproximar, é uma suposição mais forte (mas intimamente relacionada) do que a conjectura de jogo único.^[25] Alguns problemas de aproximação são conhecidos por serem difíceis de expansão de conjunto pequeno (E.C.P.)^[26] (ou seja, pelo menos tão difíceis quanto aproximar a expansão de conjunto pequeno).

Dado um conjunto de ${\displaystyle n}$ números, o problema 3SUM pergunta se existe um trio de números cuja soma é zero. Há um algoritmo de tempo quadrático para 3SUM, e foi conjecturado que nenhum algoritmo pode resolver 3SUM em "tempo verdadeiramente subquadrático": a conjectura 3SUM é a suposição de dificuldade computacional de que não há algoritmos de tempo ${\displaystyle O(n^{2-\epsilon })}$ para 3SUM (para qualquer constante ${\displaystyle \epsilon >0}$). Esta conjectura é útil para provar limites inferiores quase quadráticos para vários problemas, principalmente de geometria computacional.^[27]

• Nível de segurançaPredefinição:Ill

Predefinição:Referências