Quali lingue sono state bucate crittograficamente con successo?

Un'osservazione associata alla crittografia asimmetrica è che alcune funzioni (si ritiene siano) facili da eseguire in una direzione ma difficili da invertire. Inoltre, se esistono informazioni "botola" che consentono di calcolare rapidamente l'operazione inversa, il problema diventa un candidato per uno schema di crittografia a chiave pubblica.

I classici problemi della botola, resi famosi da RSA, includono il problema del factoring e il problema del log discreto. Più o meno nello stesso periodo in cui RSA fu pubblicato, Rabin inventò un sistema crittografico a chiave pubblica basato sulla ricerca di radici quadrate discrete (che in seguito si dimostrò difficile almeno quanto il factoring).

Altri candidati sono spuntati nel corso degli anni. ZAINO (subito dopo RSA), "Logarithms" con curva ellittica con parametri specifici e Lattice Shortest Basis Problems sono esempi di problemi i cui problemi di botola utilizzati in altri schemi pubblicati. È anche facile vedere che tali problemi devono risiedere da qualche parte in NP.

Questo esaurisce la mia conoscenza delle funzioni della botola. Sembra anche esaurire l'elenco su Wikipedia .

Spero che possiamo ottenere un elenco wiki di comunità di lingue che ammettono botole e letteratura pertinente. L'elenco sarà utile. Le esigenze in evoluzione della crittografia cambiano anche quali funzioni della botola possono essere la base dei sistemi crittografici. L'esplosione dell'archiviazione sui computer rende possibili schemi con grandi dimensioni delle chiavi. Lo spettro perpetuo e incombente del calcolo quantistico invalida gli schemi che possono essere infranti con un oracolo per la ricerca di sottogruppi nascosti abeliani. Il sistema crittografico completamente omomorfo di Gentry funziona solo perché abbiamo scoperto funzioni botola che rispettano gli omomorfismi.

Sono particolarmente interessato a problemi che non sono NP-Complete.

È importante distinguere tra funzioni botola e crittografia a chiave pubblica. Sebbene le funzioni trapdoor producano schemi di crittografia a chiave pubblica, alcuni dei candidati citati implicano solo la crittografia a chiave pubblica e non forniscono necessariamente funzioni trapdoor. In effetti, Gertner, Malkin e Reingold dimostrano che non esiste una costruzione black box di una funzione botola da un "predicato botola" (che può essere considerato uno schema di crittografia a chiave pubblica a un bit).

Esempi classici di funzioni botola sono le funzioni RSA e Rabin. Un classico esempio di predicato di una botola è la decisione della Residuosità quadratica modulo a composito, dovuta a Goldwasser e Micali. Le costruzioni basate su log discreti e reticolari citate producono direttamente la crittografia a chiave pubblica, senza passare attraverso le funzioni di botola.

Di seguito è riportato un elenco (non completo) di costruzioni di schemi di crittografia a chiave pubblica, molti dei quali non sono noti per passare attraverso le funzioni di botola.

• Sistema di crittografia a chiave pubblica El Gamal (comprese le varianti della curva ellittica). La sicurezza si basa sul presupposto decisionale di Diffie Hellman. Non passa attraverso le funzioni della botola (ma vedi sotto l'elemento Peikert-Waters per una funzione della botola la cui sicurezza si basa sulla sicurezza semantica di El Gamal).

  [Taher El Gamal: un sistema crittografico a chiave pubblica e uno schema di firma basato su logaritmi discreti. CRYPTO 1984: 10-18]

• Ajtai-Dwork, Regev. La sicurezza si basa su SVP univoco in reticoli. Non è noto implicare funzioni botola.

  [Miklós Ajtai, Cynthia Dwork: un sistema crittografico a chiave pubblica con equivalenza di casi peggiori / casi medi. STOC 1997: 284-293]

  [Oded Regev: nuove costruzioni crittografiche basate su reticolo. STOC 2003: 407-416]

• Regev, Peikert. La sicurezza si basa sulla durezza dell'apprendimento con errori (ciò include una riduzione da SVP). Non è noto implicare funzioni botola.

  [Oded Regev: su reticoli, apprendimento con errori, codici lineari casuali e crittografia. STOC 2005: 84-93]

  [Chris Peikert: cryptosystems a chiave pubblica dal problema vettoriale più breve nel caso peggiore: abstract esteso. STOC 2009: 333-342]

• Peikert, Waters. La sicurezza si basa sul Diffie Hellman decisionale e sui problemi reticolari. Noto per implicare funzioni botola (attraverso funzioni botola persa).

  [Chris Peikert, Brent Waters: funzioni di botola a perdita e loro applicazioni. STOC 2008: 187-196]

• Lyubashevsky, Palacio, Segev. La sicurezza si basa sul sottoinsieme-somma. Non è noto implicare funzioni botola.

  [Vadim Lyubashevsky, Adriana Palacio, Gil Segev: primitivi crittografici a chiave pubblica sicuri come la somma del sottoinsieme. TCC 2010: 382-400]

• Stehlé, Steinfeld, Tanaka, Xagawa e Lyubashevsky, Peikert, Regev. La sicurezza si basa sulla durezza dell'anello LWE. Il vantaggio di queste rispetto alle proposte precedenti è la dimensione ridotta delle chiavi. Non è noto implicare funzioni botola.

  [Damien Stehlé, Ron Steinfeld, Keisuke Tanaka, Keita Xagawa: efficiente crittografia a chiave pubblica basata su reticoli ideali. ASIACRYPT 2009: 617-635]

  [Vadim Lyubashevsky, Chris Peikert, Oded Regev: su reticoli ideali e apprendimento con errori sugli anelli. EUROCRYPT 2010: 1-23]