Status światów Impagliazzo?

33

W 1995 r. Russell Impagliazzo zaproponował pięć światów złożoności:

1- Algorytmika: ze wszystkimi niesamowitymi konsekwencjami.P.=N.P.

2- Heuristica: problemy kompletne są trudne w najgorszym przypadku ( ), ale można je skutecznie rozwiązać w przeciętnym przypadku.N.P.P.N.P.

3- Pessiland: Występują problemy z niepełną średniej wielkości przypadków , ale funkcje jednokierunkowe nie istnieją. Oznacza to, że nie możemy wygenerować trudnych wystąpień problemu z zakończonym znanym rozwiązaniem. N.P.N.P.

4- Minikrypt: istnieją jednokierunkowe funkcje, ale systemy kryptograficzne z kluczem publicznym są niemożliwe

5- Cryptomania: Istnieją systemy kryptograficzne z kluczem publicznym i możliwa jest bezpieczna komunikacja.

Który świat jest faworyzowany przez ostatnie postępy w złożoności obliczeniowej? Jaki jest najlepszy dowód na wybór?

Russell Impagliazzo, Osobiste spojrzenie na złożoność średnich przypadków , 1995

Impagliazzo's Five Worlds, blog The Computational Complexity

Mohammad Al-Turkistany
źródło
2
Nie jestem wystarczającym ekspertem, aby odpowiedzieć, ale pomyślałem, że możesz chcieć wiedzieć, że na pierwszych warsztatach Bariery w złożoności Impagliazzo wezwał do opracowania programu badawczego zgodnego z twoim pytaniem. Nazwijcie wyroczniami „podobnymi do Ziemi”, w których utrzymują się te same twierdzenia o złożoności, które obowiązują w „prawdziwym” nierelatywizowanym świecie, w którym żyjemy. Następnie zbadaj właściwości tych wyroczni, które są trochę jak prawdziwa Ziemia. Zatem w tych ramach twoje pytanie brzmi: „Co wyrocznia musi zadowolić, aby być podobna do Ziemi?”
Aaron Sterling

Odpowiedzi:

26

Mniej więcej rok temu współorganizowałem warsztaty na temat złożoności i kryptografii: status światów Impagliazzo , a slajdy i filmy na stronie internetowej mogą być interesujące.

Krótka odpowiedź jest taka, że ​​niewiele się zmieniło w tym sensie, że większość badaczy wciąż wierzy, że żyjemy w „Kryptomanii” i wciąż mamy mniej więcej takie same dowody na to, a także niewielki postęp w zawaleniu jednego ze światów dla siebie nawzajem.

Być może najbardziej znaczącą częścią nowych informacji jest algorytm Shora, który pokazuje, że przynajmniej po zamianie P na BQP najczęściej używane kryptosystemy klucza publicznego są niepewne. Jednak ze względu na kryptosystemy oparte na kratach domyślnym założeniem jest to, że nawet w tym przypadku żyjemy w kryptomanii, choć być może konsensus jest nieco słabszy niż w przypadku klasycznym. Nawet w klasycznym przypadku wydaje się, że istnieje o wiele więcej dowodów na istnienie funkcji jednokierunkowych („Minicrypt”) niż na istnienie szyfrowania kluczem publicznym („Cryptomania”). Mimo to, biorąc pod uwagę wysiłek, jaki ludzie włożyli w próbę złamania różnych kryptosystemów klucza publicznego, istnieją również istotne dowody na to drugie.

Boaz Barak
źródło
Ten link może działać lepiej: archive.dimacs.rutgers.edu/Workshops/Cryptography/program.html
Timothy Chow
18

Dobre pytanie, ale naukowcom nie udało się nawet oddzielić „Algorytmiki” od pozostałych przypadków, nie mówiąc już o określeniu dokładnego świata, w którym żyjemy.

To powiedziawszy, istnieje kilka prac badawczych na ten temat. Patrz na przykład: na temat możliwości oparcia kryptografii na założeniu, że P! = NP Goldreicha i Goldwassera, oraz ich referencje.

Zobacz także O oparciu funkcji jednokierunkowych na twardości NP Adi Akavia i in.

Ponadto dobrze wiadomo, że dekodowanie niektórych kryptosystemów jest trudne dla NP (patrz na przykład kryptosystem McEliece lub kryptografia oparta na sieci ). Nie wiem, dlaczego NIE rozwiązuje to problemu, ponieważ nie znam takich kryptosystemów. Zobacz komentarze Petera Shora poniżej.

Proponuję również rzucić okiem na dyskusję w Stackoverflow . Przegląd literatury, która cytuje prace Impagliazzo, może być również pouczający.

EDYCJA: Interesujące mogą być następujące wyniki:

Feigenbaum i Fortnow. Losowa samoredukowalność kompletnych zestawów. SIAM Journal on Computing, 22: 994–1005, 1993.

Bogdanov i Trevisan. Redukcje od najgorszych do średnich przypadków dla problemów NP. W materiałach z 44. dorocznego sympozjum IEEE na temat podstaw informatyki, strony 308–317, 2003.

Akavia, Goldreich, Goldwasser i Moshkovitz. Na podstawie funkcji jednokierunkowych opartych na twardości NP

Gutfreund i Ta-Shma. Nowe związki między derandomizacją, złożonością najgorszego przypadku i złożonością średniego przypadku. Tech. Rep. TR06-108, Electronic Colloquium on Computational Complexity, 2006.

Bogdanov i Trevisan. Średnia złożoność przypadków. Uznany. Teoria trendów. Comput. Sci. 2, 1 (październik 2006), 1-106. DOI = http://dx.doi.org/10.1561/0400000004

MS Dousti
źródło
5
Kryptosystem McEliece nie jest kryptosystemem; jest to cała rodzina kryptosystemów, w zależności od używanej w niej klasy kodów korygujących błędy. Jeśli używasz dowolnych kodów korygujących błędy, trudno jest je przerwać NP, ale trudno jest również zdekodować komunikat. Jeśli użyjesz klasy kodów korygujących błędy, które mają algorytm dekodowania w czasie wielomianowym, to rzeczywiście jest czas wielomianowy na zdekodowanie komunikatu, ale nie mamy już dowodu, że złamanie kryptosystemu jest NP trudne. Sytuacja z kryptografią opartą na sieci jest lepsza, ale nadal nie jest trudna do złamania.
Peter Shor,
@Peter: Wielkie dzięki! Rozwiązałeś zagadkę intrygującą mnie przez długi czas!
MS Dousti,
W rzeczywistości wydaje się, że w przypadku niektórych rodzin kodów korygujących błędy kryptosystem McEliece został uszkodzony, choć nie w przypadku kodów Goppa, które były w oryginalnej propozycji McEliece.
Peter Shor,