Konsekwencje faktoringu w P?

34

Faktoring nie jest znany jako NP-zupełny. To pytanie dotyczyło konsekwencji faktoringu jako NP-zupełnego. Co ciekawe, nikt nie pytał o konsekwencje faktoringu w P (być może dlatego, że takie pytanie jest banalne).

Więc moje pytania to:

  1. Jakie byłyby teoretyczne konsekwencje faktoringu w P? Jak taki fakt wpłynie na ogólny obraz klas złożoności?
  2. Jakie byłyby praktyczne konsekwencje faktoringu w P? Nie mów, że transakcje bankowe mogą być zagrożone, już znam tę banalną konsekwencję.
Giorgio Camerani
źródło
5
Kilka dni temu zadałem podobne pytanie: „Jaka jest moc P przy wyroczni faktoryzacji liczb całkowitych?” cstheory.stackexchange.com/questions/4765/…
Marzio De Biasi
3
@Kaveh, pytanie już prowadzi do tego pytania.
Peter Taylor

Odpowiedzi:

34

Nie ma praktycznie żadnych teoretycznych konsekwencji złożoności faktoringu w P. Oznacza to, że nie ma dobrych uzasadnień dla faktoryzacji trudnych, poza tym, że do tej pory nikt nie był w stanie go złamać.

Faktoring w czasie wielomianowym umożliwiłby przejmowanie pierwiastków kwadratowych nad (a także o wiele bardziej ogólną klasę pierścieni) i dałby algorytmy czasu wielomianowego dla szeregu innych problemów teoretycznych, dla których wąskie gardło algorytm jest obecnie faktoring.Zn

Jeśli chodzi o praktyczne konsekwencje, transakcje bankowe prawdopodobnie nie stanowią większego problemu - gdy tylko wiadomo było, że faktoring był w P, banki przełączyły się na inny system, prawdopodobnie powodując jedynie krótki okres opóźnień zaimplementowano. Dekodowanie przeszłych transakcji bankowych prawdopodobnie nie spowodowałoby poważnych problemów dla banków. Znacznie poważniejszym problemem jest to, że cała komunikacja, która wcześniej była chroniona przez RSA, byłaby teraz zagrożona odczytaniem.

Peter Shor
źródło
41
Trochę nie na temat, ale w as soon as it was known that factoring was in P, the banks would switch to some other systemwiększości jest to pobożne życzenie. W grudniu odkryłem, że firma, która nie robi nic oprócz przetwarzania danych karty kredytowej, używa wariantu Vigenère z kluczem krótszym niż niektóre serie znanego zwykłego tekstu. Co gorsza, dyrektor techniczny firmy nie uwierzyłby mi, że był niepewny, dopóki nie wysłałem mu kodu ataku. MD5, mimo że jest powszechnie uważany za zepsuty, jest nadal szeroko stosowany w bankowości.
Peter Taylor,
2
@PeterTaylor, gdy tylko wiadomo, że faktoring był w P, banki przestawiłyby się na inny system, który jest w dużej mierze życzeniem ”. Przy obecnej niskiej cenie pamięci Flash całkowicie możliwe jest stworzenie rozwiązania One Time Pad dla w bankowości użytkownicy od czasu do czasu przechodzą do bankomatu, aby pobierać dodatkowe losowe bajty. RSA jest po prostu tańszy i prostszy
Flávio Botelho
2
Posiadanie silnych szyfrów symetrycznych nie zastąpi szyfrów asymetrycznych, choć wystarcza do niektórych określonych zadań. Występuje problem braku możliwości korzystania z podpisów cyfrowych itp.
Joe Fitzsimons
W rzeczywistości możesz mieć podpisy cyfrowe z symetrycznymi szyframi! Jest to po prostu o wiele bardziej kłopotliwe i potrzebujesz znacznie większego zaufania do zaufanej strony trzeciej. Spójrz na rozdziały 11.6 i 11.7 Podręcznika kryptografii stosowanej.
Flávio Botelho
@Flavio: Ale niezaprzeczalność nie działa w ten sam sposób, prawda?
Joe Fitzsimons,
8

RSA jest jednym z najważniejszych schematów szyfrowania / podpisów, które psują się, jeśli FACTORING znajduje się w P. Jednak jest ich o wiele więcej. Kilka (ale nie wszystkie) z nich opiera się na założeniu, że rozróżnianie kwadratów i modułów innych niż kwadraty w liczbie złożonej jest trudne :

  1. Schemat podpisu Rabina
  2. Nieświadomy transfer Rabina
  3. Semantycznie bezpieczny kryptosystem Goldwasser – Micali
  4. Generator pseudolosowy Blum-Blum-Shub
  5. Schemat identyfikacji Feige-Fiat-Shamir

I wiele innych programów. Należy jednak pamiętać, że schematy oparte na twardości dyskretnego dziennika (powiedzmy, protokół Diffie-Helmann lub schemat szyfrowania / podpisu Elgamal ) będą nadal bezpieczne.

MS Dousti
źródło
3
Wydaje mi się bardzo prawdopodobne, że jeśli faktoring jest w P, to problem z logiem dyskretnym również. Z pewnością odwrotność jest prawdziwa.
Joe Fitzsimons,
@Joe: Mam takie same odczucia, ale czy jest jakiś dowód lub dowód matematyczny?
MS Dousti
3
zapqzap+q-1 (mod pq)doza=logN.(zaN.mod N.)p=x+yq=x-yx=doza+12)y=x2)-N.
5
@Joe: Bardzo interesujące! Twój komentarz zmotywował mnie do
głębszego wniknięcia w ten temat i doszedł
Miejmy nadzieję, że kryptowaluty oparte na kratach pozostaną bezpieczne.
Antimony