I limiti inferiori asintotici sono rilevanti per la crittografia?

Un limite inferiore asintotico come la durezza esponenziale è generalmente pensato per implicare che un problema è "intrinsecamente difficile". Si ritiene che la crittografia "intrinsecamente difficile" da infrangere sia sicura.

Tuttavia, un limite inferiore asintotico non esclude la possibilità che una classe enorme ma finita di istanze problematiche sia facile (ad es. Tutte le istanze con dimensioni inferiori a ). $10^{1000}$

C'è qualche motivo per pensare che la crittografia basata su limiti inferiori asintotici conferirebbe un livello particolare di sicurezza? Gli esperti di sicurezza considerano tali possibilità o vengono semplicemente ignorati?

Un esempio è l'uso delle funzioni della botola basate sulla decomposizione di grandi numeri nei loro fattori primi. Questo a un certo punto era ritenuto intrinsecamente difficile (penso che l'esponenziale fosse la congettura), ma ora molti credono che potrebbe esserci un algoritmo polinomiale (come esiste per il test di primalità). Nessuno sembra preoccuparsi molto della mancanza di un limite inferiore esponenziale.

Credo che siano state proposte altre funzioni della botola che si ritiene siano NP-hard (vedi domanda correlata ), e alcune potrebbero anche avere un limite inferiore provato. La mia domanda è più fondamentale: importa qual è il limite inferiore asintotico? In caso contrario, la sicurezza pratica di qualsiasi codice crittografico è correlata a qualsiasi risultato di complessità asintotica?

complexity-theory cryptography asymptotics

— Micah Beck
fonte

Benvenuto! Non proprio un duplicato, ma molto correlato: questa domanda . Per migliorare la domanda, fornisci esempi concreti in cui pensi che il problema sia ignorato. Non vuoi combattere contro i mulini a vento!

— Raffaello

Proverò a dare una risposta parziale, dal momento che non sono pienamente consapevole di come questo problema è considerato da tutta la cripto-comunità (forse ripubblicare su crypto.SE ?).

Direi che ci sono due "tipi" di crittografi: teorici e pratico . Non proverò a distinguerli (ogni pratico crittografo è anche un po 'teorico ..) ma lo dirò per la crittografia teorica - questo problema non ha molta importanza. Per qualsiasi parametro di sicurezza, ci sarà una dimensione dell'istanza che fornirà quel livello di sicurezza, e di solito è tutto ciò che ci interessa.

I crittografi pratici si preoccupano molto del problema che menzioni. Per un dato parametro di sicurezza (diciamo ) i crittografi cercano di elaborare i protocolli più efficienti, radendo la costante il più possibile. Cerca ad esempio la competizione AES o SHA-3 del NIST . Gli algoritmi dovevano essere sicuri ed efficienti. Il problema qui è che la nozione di sicurezza è in qualche modo diversa da quella "teorica", e talvolta non è realmente asintotica. $2^{1024}$

Un esempio concreto che mi viene in mente è il registro discreto o l' assunto DDH (la sicurezza di molti schemi crittografici si basa su questi presupposti). Partiamo dal presupposto che per alcuni gruppi calcolo il log impieghi tempo . (Non possiamo esserne certi: potrebbe essere risolto e questo problema può essere risolto in ). I crittografi DO $G$ $O(|G|)$ $\text{P}=\text{NP}$ $O(\log |G|)$ $G$

— Suonò.
fonte

Questa risposta non è terribilmente soddisfacente per me, forse perché non sono abbastanza esperto da capire come affronta la mia domanda. Certo, non ho studiato la teoria della complessità per circa 25 anni, ma capisco molti dei concetti sottostanti. Dopo aver cercato alcuni dei riferimenti collegati, sembra che le caratterizzazioni di complessità utilizzate siano asintotiche , quindi non riesco ancora a capire come possano fornire garanzie utilizzabili su classi finite di istanze.

— Micah Beck,