Suposições de dificuldade computacional: diferenças entre revisões

Na teoria da complexidade computacional, uma suposição de dificuldade computacional é a hipótese de que um problema específico não pode ser resolvido de forma eficiente (onde eficiência normalmente significa "em tempo polinomial"). Não se sabe como provar a dificuldade (incondicional) para essencialmente qualquer problema útil. Em vez disso, os cientistas da computação contam com reduções para relacionar formalmente a dificuldade de um problema novo ou complicado à uma suposição de dificuldade computacional sobre um problema que é mais bem compreendido.

As suposições de dificuldade computacional são de particular importância na criptografia. Um dos principais objetivos da criptografia é criar primitivas criptográficas com segurança comprovada. Em alguns casos, os protocolos criptográficos apresentam segurança teórica da informação; a chave (ou cifra) de uso único é um exemplo comum. No entanto, a segurança teórica da informação nem sempre pode ser alcançada; nesses casos, os criptógrafos recorrem à segurança computacional. Em termos gerais, isso significa que esses sistemas são seguros assumindo que quaisquer adversários são limitados computacionalmente, como todos os adversários são na prática.

As suposições de dificuldade computacional também são úteis para orientar projetistas de algoritmos: um algoritmo simples provavelmente não refutará uma suposição de dificuldade computacional bem estudada, como P ≠ NP.

Comparando suposições de dificuldade

Os cientistas da computação têm diferentes maneiras de avaliar quais suposições de dificuldade são mais confiáveis.

Força das suposições de dificuldade

Dizemos que a suposição ${\displaystyle A}$ é mais forte do que a suposição ${\displaystyle B}$ quando ${\displaystyle A}$ implica ${\displaystyle B}$ (e o inverso é falso ou desconhecido). Em outras palavras, mesmo que a suposição ${\displaystyle A}$ fosse falsa, a suposição ${\displaystyle B}$ ainda poderia ser verdadeira, e os protocolos criptográficos baseados na suposição ${\displaystyle B}$ ainda podem ser seguros para uso. Assim, ao desenvolver protocolos criptográficos, se espera poder provar a segurança usando as suposições mais fracas possíveis.

Suposições de caso médio versus de pior caso

Uma suposição de caso médio diz que um problema específico é difícil na maioria das instâncias de alguma distribuição explícita, enquanto uma suposição de pior caso apenas diz que o problema é difícil em algumas instâncias. Para um determinado problema, a dificuldade de caso médio implica a dificuldade de pior caso, portanto, uma suposição de dificuldade de caso médio é mais forte do que uma suposição de dificuldade de pior caso para o mesmo problema. Além disso, mesmo para problemas incomparáveis, uma suposição como a hipótese de tempo exponencial é frequentemente considerada preferível a uma suposição de caso médio como a conjectura de clique oculto.^[1] Observe, no entanto, que na maioria das aplicações criptográficas, saber que um problema tem alguma instância difícil (ou seja, um problema é difícil no pior caso) é inútil porque não nos fornece uma maneira de gerar instâncias difíceis.^[2] Felizmente, muitas suposições de caso médio usadas em criptografia (incluindo RSA, log discreto e alguns problemas de rede) podem ser baseadas em suposições de pior caso por meio de reduções de pior caso a caso médio.^[3]

Falseabilidade

Uma característica desejada de uma suposição de dificuldade computacional é a falseabilidade, ou seja, se a suposição fosse falsa, então seria possível a provar. Em particular, Naor (2003) introduziu uma noção formal de falseabilidade criptográfica.^[4] Grosso modo, uma suposição de dificuldade computacional é considerada falseável se puder ser formulada em termos de um desafio: um protocolo interativo entre um adversário e um verificador eficiente, onde um adversário eficiente pode convencer o verificador a aceitar se e somente se a suposição for falsa.

Suposições comuns de dificuldade criptográfica

Existem muitas suposições de dificuldade criptográfica em uso. Esta é uma lista de algumas das mais comuns e de alguns protocolos criptográficos que os utilizam.

Fatoração de inteiros

Dado um número composto ${\displaystyle n}$, e em particular aquele que é o produto de dois primos grandes ${\displaystyle n=p\cdot q}$, o problema de fatoração de inteiros é encontrar ${\displaystyle p}$ e ${\displaystyle q}$ (mais geralmente, encontrar primos ${\displaystyle p_{1},\dots ,p_{k}}$ de modo que ${\displaystyle n=\prod _{i}p_{i}}$). É um grande problema em aberto encontrar um algoritmo para fatoração de inteiros que execute em tempo polinomial no tamanho da representação (${\displaystyle \log(n)}$). A segurança de muitos protocolos criptográficos se baseia na suposição de que a fatoração de inteiros é difícil (ou seja, não pode ser resolvida em tempo polinomial). Os criptosistemas cuja segurança é equivalente a esta suposição incluem o criptosistema Rabin e o criptosistema Okamoto-Uchiyama. Muitos outros criptosistemas dependem de suposições mais fortes, como RSA, problemas de residuosidade e ocultação de Phi.

Problema RSA

Dado um número composto ${\displaystyle n}$, expoente ${\displaystyle e}$ e número${\displaystyle c:=m^{e}(\mathrm {mod} \;n)}$, o problema RSA é encontrar ${\displaystyle m}$. O problema é considerado difícil, mas se torna fácil devido à fatoração de ${\displaystyle n}$. No criptosistema RSA, ${\displaystyle (n,e)}$ é a chave pública, ${\displaystyle c}$ é a criptografia da mensagem ${\displaystyle m}$ e a fatoração de ${\displaystyle n}$ é a chave secreta usada para descriptografia.

Problemas de residuosidade

Dado um número composto ${\displaystyle n}$ e inteiros ${\displaystyle y,d}$, o problema de residuosidade é determinar se existe (alternativamente, encontre um) ${\displaystyle x}$ tal que

${\displaystyle x^{d}\equiv y{\pmod {n}}.}$

Casos especiais importantes incluem o problema de residuosidade quadrática e o problema de residuosidade composta de decisão. Como no caso do RSA, este problema (e seus casos especiais) são considerados difíceis, mas se tornam fáceis devido à fatoração de${\displaystyle n}$. Alguns criptosistemas que dependem da dificuldade dos problemas de residuidade incluem:

• Criptosistema Goldwasser-Micali (problema de residuosidade quadrática)
• Gerador Blum Blum Shub (problema de residuosidade quadrática)
• Criptosistema Paillier (problema de residuosidade composta de decisão)
• Criptosistema Benaloh (problema de maior residuosidade)
• Criptosistema Naccache-Stern (problema de maior residuosidade)

Suposição de ocultamento de Phi

Para um número composto ${\displaystyle m}$, não se sabe como calcular eficientemente sua função totiente de Euler ${\displaystyle \phi (m)}$. A suposição de ocultação de Phi postula que é difícil calcular ${\displaystyle \phi (m)}$ e, além disso, mesmo computar quaisquer fatores primos de ${\displaystyle \phi (m)}$ é difícil. Essa suposição é usada no protocolo PIR Cachin–Micali–Stadler.^[5]

Problema de log discreto (DLP)

Dados os elementos ${\displaystyle a}$ e ${\displaystyle b}$ de um grupo ${\displaystyle G}$, o problema de log discreto pede um inteiro ${\displaystyle k}$ tal que ${\displaystyle a=b^{k}}$. O problema de log discreto não é conhecido por ser comparável à fatoração de inteiros, mas suas complexidades computacionais estão intimamente relacionadas.

A maioria dos protocolos criptográficos relacionados ao problema de log discreto, na verdade, dependem da suposição decisória de Diffie-Hellman (DDH) ainda mais forte).

Mapas multilineares

Um mapa multilinear é uma função ${\displaystyle e:G_{1},\dots ,G_{n}\rightarrow G_{T}}$ (onde ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ são grupos) tais que para qualquer ${\displaystyle g_{1},\dots ,g_{n}\in G_{1},\dots G_{n}}$ e ${\displaystyle a_{1},\dots ,a_{n}}$,

${\displaystyle e(g_{1}^{a_{1}},\dots ,g_{n}^{a_{n}})=e(g_{1},\dots ,g_{n})^{a_{1}\cdots a_{n}}}$

Para aplicações criptográficas, gostaríamos de construir grupos ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ e um mapa ${\displaystyle e}$ de modo que o mapa e as operações de grupo em ${\displaystyle G_{1},\dots ,G_{n},G_{T}}$ possam ser calculados de forma eficiente, mas o problema de log discreto em ${\displaystyle G_{1},\dots ,G_{n}}$ ainda é difícil.^[6] Algumas aplicações requerem suposições mais fortes, por exemplo, análogos multilineares das suposições de Diffie-Hellman.

Para o caso especial de ${\displaystyle n=2}$, mapas bilineares com segurança confiável foram construídos usando emparelhamento Weil e emparelhamento Tate.^[7] Para ${\displaystyle n>2}$ muitas construções foram propostas nos últimos anos, mas muitas delas também foram quebradas e, atualmente, não há consenso sobre um candidato seguro.^[8]

Alguns criptosistemas que dependem de suposições de dificuldade multilinear incluem:

• Esquema Boneh–Franklin (bilinear Diffie-Hellman)
• Boneh–Lynn–Shacham (bilinear Diffie-Hellman)
• Garg-Gentry-Halevi-Raykova-Sahai-Waters candidato para ofuscação indistinguível e criptografia funcional (quebra cabeças multilinear)^[9]

Problemas de rede

O problema computacional mais fundamental nas redes é o problema de vetor mais curto (SVP): dada uma rede ${\displaystyle L}$, encontre o menor vetor ${\displaystyle v\in L}$ diferente de zero. A maioria dos criptosistemas requer suposições mais fortes sobre as variantes do SVP, como o problema de vetores independentes mais curtos (SIVP), o GapSVP^[10] ou o Unique-SVP.^[11]

A suposição de dificuldade de rede mais útil em criptografia é para o problema de aprendizado com erros (LWE): amostras fornecidas para ${\displaystyle (x,y)}$, onde ${\displaystyle y=f(x)}$ para alguma função linear ${\displaystyle f(\cdot )}$, é fácil aprender ${\displaystyle f(\cdot )}$ usando álgebra linear. No problema LWE, a entrada para o algoritmo tem erros, ou seja, para cada par ${\displaystyle y\neq f(x)}$ com alguma pequena probabilidade. Se acredita que os erros tornam o problema intratável (para parâmetros apropriados); em particular, existem reduções conhecidas de pior caso a caso médio de variantes de SVP.^[12]

​​​Para computadores quânticos, os problemas de fatoração e log discreto são fáceis, mas os problemas de rede são considerados difíceis.^[13] Isso torna alguns criptosistemas baseados em rede candidatos para criptografia pós quântica.

Alguns criptosistemas que dependem da dificuldade dos problemas de rede incluem:

• NTRU (NTRUEncrypt e NTRUSign)
• A maioria dos candidatos para criptografia totalmente homomórfica

Suposições de dificuldade não criptográfica

Assim como suas aplicações criptográficas, as suposições de dificuldade são usadas na teoria da complexidade computacional para fornecer evidências para afirmações matemáticas que são difíceis de provar incondicionalmente. Nessas aplicações, prova-se que a suposição de dureza implica alguma afirmação teórica da complexidade desejada, em vez de provar que a afirmação em si é verdadeira. A suposição mais conhecida desse tipo é a suposição de que P ≠ NP,^[14] mas outras incluem a hipótese de tempo exponencial,^[15] a conjectura clique plantado e a Conjectura de jogos únicos.^[16]

Problemas ${\displaystyle C}$-difíceis

Muitos problemas computacionais de pior caso são conhecidos por serem difíceis ou mesmo completos para alguma classe de complexidade ${\displaystyle C}$, em particular NP-difícil (mas frequentemente também PSPACE-difícil, PPAD-difícil, etc.). Isso significa que eles são pelo menos tão difíceis quanto qualquer problema na classe ${\displaystyle C}$. Se um problema é ${\displaystyle C}$-difícil (com respeito às reduções de tempo polinomial), então não pode ser resolvido por um algoritmo de tempo polinomial, a menos que a suposição de dificuldade computacional ${\displaystyle P\neq C}$ seja falsa.

Hipótese de tempo exponencial (eth) e variantes

A hipótese de tempo exponencial (eth) é um reforço da suposição de dificuldade ${\displaystyle P\neq NP}$, que conjectura que não apenas o problema de satisfatibilidade booleana não tem um algoritmo de tempo polinomial, mas também requer tempo exponencial (${\displaystyle 2^{\Omega (n)}}$).^[17] Uma suposição ainda mais forte, conhecida como hipótese de tempo exponencial forte (SETH) conjectura que ${\displaystyle k}$-SAT requer tempo ${\displaystyle 2^{(1-\varepsilon _{k})n}}$, onde ${\displaystyle \lim _{k\rightarrow \infty }\varepsilon _{k}=0}$. ETH, SETH e pressupostos de dificuldade computacional relacionados permitem a dedução de resultados de complexidade refinados, por exemplo, resultados que distinguem o tempo polinomial e o tempo quase polinomial,^[1] ou mesmo ${\displaystyle n^{1.99}}$ versus ${\displaystyle n^{2}}$.^[18] Essas suposições também são úteis na complexidade parametrizada.^[19]

Suposições de dificuldade de caso médio

Alguns problemas computacionais são considerados difíceis em média em uma distribuição particular de instâncias. Por exemplo, no problema do clique plantado, a entrada é um grafo aleatório amostrado, amostrando um grafo aleatório Erdős–Rényi e então "plantando" um clique ${\displaystyle k}$ aleatório, ou seja, conectando nós ${\displaystyle k}$ uniformemente aleatórios (onde ${\displaystyle 2\log _{2}n\ll k\ll {\sqrt {n}}}$), e o objetivo é encontrar o clique ${\displaystyle k}$ plantado (que é único w.h.p.).^[20] Outro exemplo importante é a hipótese de Feige, que é uma suposição de dificuldade computacional sobre instâncias aleatórias de 3-SAT (amostradas para manter uma proporção específica de cláusulas para variáveis).^[21] As suposições de dificuldade computacional de caso médio são úteis para provar a dificuldade de caso médio em aplicações como estatísticas, onde há uma distribuição natural sobre as entradas.^[22] Além disso, a suposição de dificuldade do clique plantado também foi usada para distinguir entre a complexidade de tempo de pior caso polinomial e quase polinomial de outros problemas,^[23] de forma semelhante à hipótese de tempo exponencial.

Jogos únicos

O problema de cobertura de rótulo exclusivo é um problema de satisfação de restrição, onde cada restrição ${\displaystyle C}$ envolve duas variáveis ${\displaystyle x,y}$, e para cada valor de ${\displaystyle x}$ há um valor único de ${\displaystyle y}$ que satisfaz ${\displaystyle C}$. Determinar se todas as restrições podem ser satisfeitas é fácil, mas a conjectura de jogos únicos (UGC) postula que determinar se quase todas as restrições (fração ${\displaystyle (1-\varepsilon )}$, para qualquer constante ${\displaystyle \varepsilon >0}$) podem ser satisfeitas ou quase nenhuma delas (fração ${\displaystyle \varepsilon }$) podem ser satisfeitas é NP-difícil.^[16] Os problemas de aproximação são frequentemente conhecidos como NP-difíceis assumindo conjectura de jogos únicos (UGC); tais problemas são chamados de UG-difícil. Em particular, assumindo conjectura de jogos únicos (UGC), há um algoritmo de programação semidefinida que atinge garantias de aproximação ótimas para muitos problemas importantes.^[24]

Expansão de conjunto pequeno

Intimamente relacionado ao problema de cobertura de rótulo único está o problema de expansão de conjunto pequeno (SSE): Dado um gráfico${\displaystyle G=(V,E)}$, encontre um conjunto pequeno de vértices (de tamanho ${\displaystyle n/\log(n)}$) cuja expansão de borda é mínima. Se sabe que, se a SSE é difícil de estimar, o mesmo ocorre com a cobertura de rótulo único. Consequentemente, a hipótese de expansão de conjunto pequeno, que postula que a SSE é difícil de se aproximar, é uma suposição mais forte (mas intimamente relacionada) do que a conjectura de jogo único.^[25] Alguns problemas de aproximação são conhecidos por serem SSE-difíceis^[26] (ou seja, pelo menos tão difíceis quanto aproximar a SSE).

A conjectura 3SUM

Dado um conjunto de ${\displaystyle n}$ números, o problema 3SUM pergunta se existe um trio de números cuja soma é zero. Há um algoritmo de tempo quadrático para 3SUM, e foi conjecturado que nenhum algoritmo pode resolver 3SUM em "tempo verdadeiramente subquadrático": a conjectura 3SUM é a suposição de dificuldade computacional de que não há algoritmos de tempo ${\displaystyle O(n^{2-\varepsilon })}$ para 3SUM (para qualquer constante ${\displaystyle \varepsilon >0}$). Esta conjectura é útil para provar limites inferiores quase quadráticos para vários problemas, principalmente de geometria computacional.^[27]

Referências