Почему большая часть криптографии зависит от больших пар простых чисел, а не от других проблем?

9

Большинство современных методов криптографии зависят от сложности факторизации чисел, являющихся произведением двух больших простых чисел. Насколько я понимаю, это сложно только до тех пор, пока метод, использованный для генерации больших простых чисел, не может быть использован в качестве ярлыка для разложения на результирующее составное число (а само разложение на большие числа сложно).

Похоже, математики время от времени находят лучшие комбинации, и в результате системы шифрования должны периодически обновляться. (Существует также вероятность того, что квантовые вычисления в конечном итоге сделают факторизацию гораздо более легкой проблемой, но это никого не удивит, если технология догонит теорию.)

Некоторые другие проблемы оказались сложными. Два примера, которые приходят на ум, - это вариации проблемы рюкзака и проблемы коммивояжера.

Я знаю, что Меркл-Хеллман был сломан, что Насако-Мураками остается в безопасности, и что проблемы с ранцами могут быть устойчивы к квантовым вычислениям. (Спасибо, Википедия.) Я ничего не нашел об использовании задачи коммивояжера для криптографии.

Итак, почему пары больших простых чисел управляют криптографией?

Это просто потому, что в настоящее время легко генерировать пары больших простых чисел, которые легко умножить, но сложно разложить?
Не потому ли, что факторизация пар больших простых чисел оказывается достаточно предсказуемой и достаточно хорошей?
Являются ли пары больших простых чисел полезными не для трудностей, а для работы как для шифрования, так и для криптографического подписания?
Является ли проблема генерации наборов задач для каждого из других типов задач, которые достаточно сложны для самой криптографической цели, слишком сложна для практического применения?
Являются ли свойства других типов проблем недостаточно изученными, чтобы доверять им?
Другой.

cr.crypto-security primes

— Стив
источник

8

Во-первых, я уверен, что на практике используется криптография с эллиптическими кривыми, хотя я не могу вспомнить, в какой ситуации. Тем не менее, вы правы, что RSA используется гораздо чаще, чем другие криптосистемы. Я думаю, что причина в основном в том, что RSA-шифрование является неким стандартом на протяжении многих лет, с большим количеством (глючного, конечно!) Программного обеспечения, реализующего его, и с людьми, привыкшими к нему. Другие системы шифрования (основанные, например, на эллиптических кривых или решетках) иногда применимы, но для их приобретения требуются люди, а на это требуется время! Смена привычек ...

— Бруно

3

Например, @Bruno Bitcoin использует эллиптические кривые для подписания транзакций.

— Мартин Бергер

5

Связанный: Почему не было алгоритма шифрования, который основан на известных проблемах NP-Hard?

— Каве

9

Боаз Барак обратился к этому в блоге

Мой вывод из его поста (грубо говоря) состоит в том, что мы знаем только, как создавать криптографические примитивы, используя вычислительные задачи, которые имеют некоторую структуру, которую мы используем. Без структуры мы не знаем, что делать. При слишком большой структуре проблема становится эффективно вычисляемой (поэтому бесполезной для криптографических целей). Кажется, что структура должна быть правильной.

— Тайсон Уильямс
источник

Читая эту статью, я подумал о другой возможной причине, по которой факторизация пар больших простых чисел остается методом выбора для криптографии с открытым ключом: действительно трудно найти замену. Число математиков, которые понимают любую данную альтернативу, невелико, что (1) ограничивает количество людей, которые могут предлагать альтернативы, и (2) ограничивает количество людей, которые могут достоверно проанализировать предложения, чтобы определить, являются ли они работоспособными. Простые числа могут работать не вечно, но пока они работают, поэтому инерция поддерживает их в использовании.

— Стив

6

Все, что я собираюсь сказать, хорошо известно (все ссылки на Википедию), но здесь это идет:

Подход, используемый в RSA с использованием пар простых чисел, также может быть применен в более общей структуре циклических групп, особенно в протоколе Диффи-Хелмана , который обобщает $\left(\mathbb{Z}/pq\mathbb{Z}\right)^{\times}$ произвольной группе, особенно эллиптические кривые, которые менее восприимчивы к атакам, которые работают на целые числа. Были рассмотрены другие групповые структуры , которые могут быть некоммутативными, но ни одна из них широко не используется AFAIK.
Существуют и другие подходы к криптографии, в частности криптография на основе решетки, которая основывается на некоторых сложных задачах на решетках (например, нахождение точек с малой нормой на решетке) для реализации криптографии с открытым ключом. Интересно, что некоторые из этих систем доказуемо сложны , то есть могут быть сломаны тогда и только тогда, когда может быть решена соответствующая трудная задача в теории решеток. Это противоречит, скажем, RSA, который не предоставляет такую же гарантию . Обратите внимание, что подход на основе решетки предположительно не является NP-сложным (но пока кажется сложнее, чем целочисленный факторинг).
Особое внимание уделяется обмену ключами, а именно секретному раскрытию , которое обладает очень интересными свойствами теории сложности. Я не знаю подробностей, но теория протоколов с нулевым знанием позволяет Алисе , чтобы показать Бобу свое знание секрета , который является NP трудно вычислить (график гамильтониан) , не раскрывая секрет самого (путь в данном случае).

Наконец, вы можете проверить страницу постквантовой криптографии, чтобы увидеть некоторые альтернативные подходы к криптосистемам с открытым ключом, которые полагаются на сложные проблемы.

— Коди
источник