Questions tagged «cr.crypto-security»

众所周知，模幂运算（RSA操作的主要部分）在计算上很昂贵，据我所知，蒙哥马利模幂运算技术是首选方法。模幂运算在量子分解算法中也很突出，在那也很昂贵。 那么：为什么在量子分解的当前详细子例程中显然没有出现蒙哥马利模幂呢？ 我只能想象的是，出于某些非显而易见的原因，量子比特的开销很高。 通过Google学术搜索运行蒙哥马利量子“模幂”运算不会产生有用的结果。我知道Van Meter和其他人在量子加法和模幂运算方面的工作，但是检查他们的参考文献（我尚未阅读此工作）表明，没有迹象表明在那里考虑了蒙哥马利方法。 我发现似乎在讨论此问题的唯一参考文献是日语，可悲的是我看不懂，尽管显然是从2002年的会议记录看的。机器翻译会在下面附加提示，表示可能存在有用的内容。但是，我找不到任何迹象表明已进行了跟进，这使我认为已经将该想法a）考虑了，然后b）放弃了。 进行算术邦弘的量子电路 ...在这项研究中，但需要相对较大的量子位，我们提出了一种模幂电路的量子计算时间较短。蒙哥马利约简[8]和右二元法[9]结合起来，它们构成了回路Ru。通过运算将还原蒙哥马利m随机选择为自然数，mod 2m，执行余数运算If，在消除中进行mod n运算。这将减少计算时间... 3.2 Montgomery Reduction的应用Montgomery Reduction [8]的公式如下...该算法可以返回正确的值，可以很容易地确认。MR（Y）他要求定律2m拥有2m点的多项式很重要，只需要除以即可。另外，在蒙哥马利约简中，有不同的计算方法。...通常，蒙哥马利约简不是一对一的功能... ...所提出的方法使用正确的二元方法，蒙哥马利还原剂具有被采用的功能。比起传统方法，其特点是电路的元件很小。可以以更少的计算时间Be来计算需要具有很高期望的qubit故障。未来，蒙哥马利的还原和控制电路，尤其是量子比特未真正描述的真正需要的评估数，预计将评估计算时间。此外，每个人都利用研究成果，在有效量子电路的计划配置方面，不仅采用了模幂非算术（欧几里德互除法，等等）。 ... [8] 蒙哥马利（PL Montgomery），“不进行模除的模乘”，计算数学，44，170，pp。519-521，1985 ...

20 cr.crypto-security  quantum-computing  factoring 

今天在纽约及世界各地，克里斯托斯·帕帕迪米特里乌（Christos Papadimitriou）都在庆祝生日。这是一个很好的机会，可以询问Christos的复杂度类PPAD（和他的其他相关类）与量子计算机之间的关系。Papadimitriou 在1994年发表的著名论文中，介绍并系统地研究了一些重要的复杂性类，例如PLS，PPAD等。（Papadimitriou的论文引用了之前的一些论文，特别是正如Aviad所指出的那样，PLS是Johnson-Papadimitriou-Yannakakis在1988年提出的。） 我的主要问题是： 量子计算机是否为PPADPPADPPAD问题提供了某些优势？或以 PLSPLSPLS？或在PLS∩ PP一dPLS∩PPADPLS \cap PPAD？等等... 另一个问题是是否存在PLS和PPAD以及Christos其他类别的量子类似物。 我注意到，PPAD的密码学近期显着连接在这些论文中发现：找到一个纳什均衡的加密硬度用N Bitansky，O-潘氏，罗森和灿PPAD硬度是基于标准加密的假设？作者：阿罗森（R Rosen），G·塞杰夫（G Segev），“我·沙哈夫（Shahaf）”和找到纳什均衡比打破菲亚特·沙米尔简直容易得多。我还注意到，我认为Christos的课程非常接近数学和数学证明。 更新： Ron Rothblum评论（在FB上），Choudhuri，Huaacek，Kamath，Pietrzak，Rosen和G. Rothblum的结果暗示PPAD似乎超出了量子计算机的能力。（我很高兴看到详细的解释来解释它。） 还有一个评论：一个相关的不错的问题是，以ñnn立方的唯一单向定位找到汇点是否具有有效的量子算法。（我认为此任务比P大号小号PLSPLS容易，但我不确定它与PP一dPPADPPAD。）这与寻找大号PLPLP量子优势有关，请参阅https://cstheory.stackexchange.com / a / 767/712。 克里斯托斯，生日快乐！

20 cc.complexity-theory  complexity-classes  quantum-computing  cr.crypto-security  nash-equilibrium 

可逆计算是仅允许热力学可逆操作的计算模型。根据Landauer的原理，该原理指出，擦除一点信息会释放焦耳热，这排除了不是一对一的转换函数（例如，布尔AND和OR运算符）。众所周知，量子计算本质上是可逆的，因为量子计算中允许的运算由unit矩阵表示。ķ Ťln（2 ）kTln⁡(2)kT \ln(2) 这个问题是关于密码学的。非正式地，“可逆性”的概念似乎对密码学的基本目标是一种厌恶，因此提出了一个问题：“密码学是否具有固有的热力学成本？” 我相信这是一个与“可以用量子完成一切吗？”不同的问题。 Preskill博士在演讲稿中指出：“有一种在可逆计算机上模拟不可逆计算的通用策略。每个不可逆门都可以由Toffoli门通过固定输入并忽略输出来模拟。我们累积并保存所有'垃圾' '输出反转计算步骤所需的位。” 这表明不可逆操作的这些可逆量子模拟需要输入以及一些“临时”空间。然后，该操作生成输出以及一些“脏”暂存位。这些操作相对于输出加上垃圾位都是可逆的，但是在某些时候，垃圾位被“扔掉了”，不再进一步考虑。 由于加密技术依赖于陷门单向功能的存在，因此该问题的另一种说法可能是：“是否有任何陷门单向功能可以仅使用可逆逻辑操作来实现，而没有额外的暂存空间？” 如果是这样，是否还可以仅使用可逆操作（并且没有暂存空间）来计算任意陷门单向功能？

19 cr.crypto-security  quantum-computing  big-picture  physics  quantum-information 

是否有任何参考文献提供有关密码学中出现的特定硬问题的电路下限的详细信息，例如整数分解，素数/复合离散对数问题及其在椭圆曲线的点组上的变体（及其较高维的阿贝尔变体）和一般隐藏的子组问题？ 特别是，这些问题中是否有任何一个问题超出了线性复杂度的下限？

19 cc.complexity-theory  complexity-classes  cr.crypto-security  circuit-complexity 

是否可以通过算法测试可计算数是有理数还是整数？换句话说，将有可能为图书馆实现可计算数提供的功能isInteger还是isRational？ 我猜测这是不可能的，并且这在某种程度上与以下事实有关：无法测试两个数字是否相等，但是我看不出如何证明这一点。 编辑：可计算的数字xxx由函数给出，该函数fx(ϵ)fx(ϵ)f_x(\epsilon)可以返回精度为ϵ的的有理近似值：| x − f x（ϵ ）| ≤ ε，对于任何ε > 0。鉴于这样的功能，就是可以测试，如果X ∈ Q或X ∈ ž？xxxϵϵ\epsilon|x−fx(ϵ)|≤ϵ|x−fx(ϵ)|≤ϵ|x - f_x(\epsilon)| \leq \epsilonϵ>0ϵ>0\epsilon > 0x∈Qx∈Qx \in \mathrm{Q}x∈Zx∈Zx \in \mathrm{Z}

18 computability  computing-over-reals  lambda-calculus  graph-theory  co.combinatorics  cc.complexity-theory  reference-request  graph-theory  proofs  np-complete  cc.complexity-theory  machine-learning  boolean-functions  combinatory-logic  boolean-formulas  reference-request  approximation-algorithms  optimization  cc.complexity-theory  co.combinatorics  permutations  cc.complexity-theory  cc.complexity-theory  ai.artificial-intel  p-vs-np  relativization  co.combinatorics  permutations  ds.algorithms  algebra  automata-theory  dfa  lo.logic  temporal-logic  linear-temporal-logic  circuit-complexity  lower-bounds  permanent  arithmetic-circuits  determinant  dc.parallel-comp  asymptotics  ds.algorithms  graph-theory  planar-graphs  physics  max-flow  max-flow-min-cut  fl.formal-languages  automata-theory  finite-model-theory  dfa  language-design  soft-question  machine-learning  linear-algebra  db.databases  arithmetic-circuits  ds.algorithms  machine-learning  ds.data-structures  tree  soft-question  security  project-topic  approximation-algorithms  linear-programming  primal-dual  reference-request  graph-theory  graph-algorithms  cr.crypto-security  quantum-computing  gr.group-theory  graph-theory  time-complexity  lower-bounds  matrices  sorting  asymptotics  approximation-algorithms  linear-algebra  matrices  max-cut  graph-theory  graph-algorithms  time-complexity  circuit-complexity  regular-language  graph-algorithms  approximation-algorithms  set-cover  clique  graph-theory  graph-algorithms  approximation-algorithms  clustering  partition-problem  time-complexity  turing-machines  term-rewriting-systems  cc.complexity-theory  time-complexity  nondeterminism 

最近一种创建去中心化在线货币（称为比特币）的方法引起了人们的兴趣。目的是要有一种无需中央权力机构，没有双重支出或伪造货币的转移货币的方式。他们的方法是让网络中的所有节点都尝试通过工作量证明计算来验证交易，然后将验证最多的交易视为正式交易。如果攻击者想要伪造官方记录（以扭转他们的第一笔支出并再次使用硬币），那么他们必须拥有网络中的大部分计算能力。最大的缺点是，在此方案中，所有交易的记录必须是公开的，作者认为这是必须的： 确认没有事务的唯一方法是知道所有事务。在基于造币厂的模型中，造币厂知道所有交易，并确定哪个先到。要在没有受信任方的情况下完成此任务，必须公开宣布交易 很明显，所有交易都必须以任何这样的方案来公开吗？更广泛地说：是否有关于分散式数字货币或相关思想的理论/密码学研究？ 笔记 经过元讨论之后，我交叉发布到crypto.SE。

18 reference-request  cr.crypto-security 

是否有可能一个CNF转换CC\mathcal C到另一个CNF Ψ(C)Ψ(C)\Psi(\mathcal C)，使得 该函数ΨΨ\Psi可以在多项式时间从一些秘密随机参数来计算rrr。 Ψ(C)Ψ(C)\Psi(\mathcal C)具有当且仅当溶液CC\mathcal C有一个解决方案。 任何溶液xxx的Ψ(C)Ψ(C)\Psi(\mathcal C)可以有效地转换成的溶液CC\mathcal C使用rrr。 没有rrr，解xxx（或任何其他性质Ψ(C)Ψ(C)\Psi(\mathcal C)）对求解毫无帮助。CC\mathcal C 如果存在这样的，那么它可以用来使其他人为我们解决计算难题（可能用其他问题代替解决CNF的方法-我选择CNF是因为我想使问题更具体）即使他们知道我们已经使用他们解决了什么问题，他们也无法从可能的解决方案中获利。例如，我们可以将分解问题嵌入计算机游戏中，从而使玩家仅在他们在后台处理我们的问题时才能玩，并时不时地发回计算证明。甚至可以通过这种方式使软件“免费”，其中“免费”在您父母的电费中隐藏了（可能更高）的成本。ΨΨ\Psi

17 cc.complexity-theory  cr.crypto-security  one-way-function  cryptojacking 

据我所知，实践中大多数伪随机数生成的实现都使用诸如线性移位反馈寄存器（LSFR）或这些“ Mersenne Twister”算法之类的方法。尽管它们通过了大量（启发式）统计检验，但是并没有理论上的保证，它们看起来对所有可有效计算的统计检验都是伪随机的。然而，从加密协议到科学计算再到银行业务，这些方法在各种应用中都被不加选择地使用。我感到有些令人担忧的是，我们几乎无法保证这些应用程序是否按预期工作（因为任何类型的分析都可能假定输入是真正的随机性）。 另一方面，复杂性理论和密码学提供了非常丰富的伪随机性理论，我们甚至拥有伪随机数生成器的候选构造，该构造会欺骗使用候选单向函数的任何有效统计测试。 我的问题是：这种理论是否已付诸实践？我希望对于密码学或科学计算等随机性的重要用途，使用理论上合理的PRG。 顺便说一句，对于使用LSFR作为随机性来源时，快速排序等流行算法的工作情况，我可以找到一些有限的分析，显然它们可以很好地工作。参见Karloff和Raghavan的“随机化算法和伪随机数”。

17 cr.crypto-security  randomized-algorithms  pseudorandomness  pseudorandom-generators 

如今，常用的密码哈希算法的工作方式如下：对密码加盐并将其输入到KDF中。例如，使用PBKDF2-HMAC-SHA1，密码哈希处理为DK = PBKDF2(HMAC, Password, Salt, ...)。因为HMAC是带有填充键的2轮哈希，而SHA1是一系列的排列，移位，旋转和按位运算，所以从根本上讲，整个过程是以某种方式组织的一些基本运算。从根本上说，它们的计算难度实际上并不明显。这可能就是为什么单向函数仍然是一种信念的原因，并且我们已经看到一些历史上重要的加密哈希函数变得不安全并且已被弃用。 我想知道是否有可能以全新的方式利用NP完全问题来哈希密码，以期为它提供更坚实的理论基础。关键思想是，假设P！= NP（如果P == NP则没有OWF，那么当前的方案也将失效），作为NPC问题意味着答案很容易验证但很难计算。此属性非常适合密码哈希的要求。如果我们将密码视为解决NPC问题的答案，则可以将NPC问题存储为密码的哈希值，以应对离线攻击：验证密码很容易，但很难破解。 需要注意的是，相同的密码可能会映射到NPC问题的多个实例，可能不是所有的实例都很难解决。作为这项研究的第一步，我试图将二进制字符串解释为3-SAT问题的答案，并构造一个可以解决二进制字符串的3-SAT问题的实例。以最简单的形式，二进制字符串具有3位：x_0，x_1，x_2。然后有2 ^ 3 == 8个子句： 000 ( (x_0) v (x_1) v (x_2) ) -------------------------------------- 001 ( (x_0) v (x_1) v NOT(x_2) ) 010 ( (x_0) v NOT(x_1) v (x_2) ) 011 ( (x_0) v NOT(x_1) v NOT(x_2) ) 100 ( …

16 np-hardness  cr.crypto-security  np-complete  security 

格雷格·库珀伯格（Greg Kuperberg）问我一个问题时，我想知道是否有任何论文可以定义和研究承认各种知识证明的语言的复杂性类别。从复杂性的角度来看，即使我们完全忘记了零知识，而只是根据它们的完全承诺问题对其进行了定义，从复杂性的角度来看，诸如SZK和NISZK之类的类还是非常自然的。相比之下，在使用谷歌搜索“知识证明”时，我很惊讶地发现没有任何论文或讲义就复杂性类别讨论了这个可爱的概念。 举个例子：关于SZK∩MA∩coMA的子类，由所有接受L∈L或x∉L的统计零知识证明的语言L构成，这也是见证者证明x 的知识的证明，该怎么说呢？∈L或x∉L？当然，此类包含诸如离散对数之类的东西，但是如果不将GI放入coMA中，我们就无法证明它包含图同构。该课程是否涵盖所有SZK∩MA∩coMA？还会有人问：如果存在单向函数，那么每种语言L∈MA∩coMA都承认计算零知识证明，这也是证人证明x∈L或x∉L的知识证明吗？（我很抱歉，如果其中一个或两个都得到了平凡的答案，我只想说明一个人可以做的事情 问，一旦有人决定以复杂性理论的眼光看待PoK。）

16 complexity-classes  cr.crypto-security  zero-knowledge 

我试图了解可通过阈值门表达的功能的复杂性，这导致我得出。特别是，由于我不是该领域的专家，所以我对当前在T C 0内学习所感兴趣的东西很感兴趣。TC0TC0\mathsf{TC}^0TC0TC0\mathsf{TC}^0 到目前为止，我发现的是： 所有的 可以通过Linial-Mansour-Nisan在均匀分布下在准多项式时间内获知。AC0AC0\mathsf{AC}^0 他们的论文还指出，一个伪随机函数发生器防止存在学习，而这一点，加上的稍后结果NAOR-莱因戈尔德该坦承PRFGs，表明Ť Ç 0表示可学习的在PAC的限制（至少-感）TC0TC0\mathsf{TC}^0TC0TC0\mathsf{TC}^0 Jackson / Klivans / Servedio在2002年发表的一篇论文可以学习的片段（最多具有多对数多数门）。TC0TC0\mathsf{TC}^0 我已经完成了平常的Google学术研究，但是希望cstheory的集体智慧可能有一个更快的答案： 我对了解学习的复杂性（就哪些类将有效的学习者夹在中间）的理解是我所描述的最新技术？并且是否有一个很好的调查/参考可以勾勒出当前的景观状态？

16 cc.complexity-theory  reference-request  cr.crypto-security  lg.learning  boolean-functions 

我正在阅读尼桑（Nisan）和威格森（Wigderson）的经典著作《硬度与随机性》。令，并将函数。他们定义了一个函数族在大小为每个电路中都是伪随机的B={0,1}B={0,1}B=\{0,1\}l:N→Nl:N→Nl\colon \mathbb{N} \to \mathbb{N}G={Gn:Bl(n)→Bn}G={Gn:Bl(n)→Bn}G = \{G_n : B^{l(n)} \to B^n\}nnn我们已经 (∗) |P(C(x)=1)−P(C(G(y))=1)|&lt;1/n(∗) |P(C(x)=1)−P(C(G(y))=1)|&lt;1/n(*) \ \ | P(C(x) = 1) - P(C(G(y))=1) | < 1/n （其中是统一随机变量）。x∈Bn,y∈Bl(n)x∈Bn,y∈Bl(n)x \in B^{n},y \in B^{l(n)} 我知道我将和视为随机变量，并且我想将和之间的距离作为随机变量进行比较。我的直觉是，电路被用作某种“测试”，以查看是否可以将弄清楚。我真正挣扎的是为什么条件是正确的条件。是否有人对如何定义这个定义有任何建议？xxxyyyxxxG(y)G(y)G(y)GGG(∗)(∗)(*)

16 cr.crypto-security  pseudorandomness  pseudorandom-generators  security 

假设您有两个互不信任的任意强大参与者。他们可以使用位承诺（例如，密封的信封，其中包含一个玩家可以交给另一位玩家的数据，但是只有在第一个玩家给第二个玩家提供密钥后才能打开）。您可以使用它来构建一个遗忘的传输协议吗？即使玩家同意最后打开所有信封以检测作弊，这是否成立（例如，在玩扑克手之后，每个人都同意公开他们的牌）？ 我假设您不能从位承诺中获得遗忘的转移，因为遗忘的转移在密码学上是通用的，并且我找不到任何说位承诺的引用，但是是否有证据表明您无法做到这一点？ 最后，如果参与者是量子人物，有人看过这个问题吗？

16 reference-request  cr.crypto-security 

函数f:{0,1}∗→{0,1}∗f:{0,1}∗→{0,1}∗f \colon \{0, 1\}^* \to \{0, 1\}^*是单向的，如果fff可以通过多项式时间算法来计算，但对于每一个随机多项式时间算法AAA， Pr[f(A(f(x)))=f(x)]&lt;1/p(n)Pr[f(A(f(x)))=f(x)]&lt;1/p(n)\Pr[f(A(f(x))) = f(x)] < 1/p(n) 对于每个多项式和足够大的，假设从均匀选择。概率接管的选择和的随机性。p(n)p(n)p(n)nnnxxx{0,1}n{0,1}n\{ 0, 1 \}^nxxxAAA 那么...“单向函数”在密码学之外是否还有其他应用程序？如果是，那是什么？

16 cc.complexity-theory  cr.crypto-security  one-way-function 

人们常说，当使用MD5算法对某些任意信息进行签名时，共享密钥必须位于末尾。为什么？

16 hash-function  cr.crypto-security