Зважаючи на RSA, чому ми не знаємо, чи можлива криптографія з відкритим ключем?

Я був у вікіпедії за списком невирішених проблем з інформатики і виявив таке: чи можлива криптографія з відкритим ключем?

Я думав, шифрування RSA - це форма криптографії з відкритим ключем? Чому це проблема?

Ми точно не знаємо, що RSA в безпеці. Можливо, RSA може бути порушена в поліноміальний час, наприклад, якщо факторинг можна зробити ефективно. Відкрито - існування надійно захищеної криптосистеми з відкритим ключем. Ми точно не знаємо, що така криптосистема взагалі існує; наскільки ми знаємо, кожна криптосистема може бути ефективно порушена.

Інша, не пов'язана з проблемою RSA, полягає в тому, що вона може бути зламана квантовими комп'ютерами. Це непов'язана проблема, оскільки визначення захищеної криптосистеми з відкритим ключем вимагає лише того, щоб криптосистема не була зламаною класичними (неквантними) комп'ютерами.

Практично кажучи, RSA здається безпечним, і він використовується весь час. Це пов’язано з розривом між теорією та практикою. Хоча теоретично ми не знаємо напевно, що RSA захищена, практично кажучи, ми повинні використовувати якусь криптосистему з відкритим ключем, і RSA є хорошим вибором, оскільки люди намагалися її зламати і не вдалося. Взагалі кажучи, відома криптосистема, про яку дбають люди, є більш безпечною, ніж малозрозумілою, оскільки вона чинила опір спробам криптографів. Це не є доказом того, що це надійно - це, можливо, не буде - але це найкраще, що ми можемо зробити.

Ось деякі інші кути / деталі цього питання, більш конкретні та загалом. Як пише YF у коментарі, незважаючи на виступи, RSA не виявляється настільки ж важким, як факторинг. Порушення RSA передбачає дискретну проблему журналу, яка, звичайно, тісно пов'язана з факторингом за складністю, але не виявляється такою ж складністю. Але (як вказувалося) навіть факторинг не виявився важким.

YF також згадує про квантові обчислення. Як відомо інсайдерам, RSA не захищений від квантових обчислень, які, як доведено, здатні враховувати час P за допомогою алгоритму Shors . Алгоритм Шорс у той час вважався проривом. І ще один прорив, який слід зазначити в "сусідній" області, - алгоритм первинності AKS, який довів, що тестування на первинність є в П. Теоретичні прориви в теорії складності рідкісні, але не є нечуваними.

YF не згадує, але завжди ховається на тлі цих питань, "велике питання" P =? NP все ще залишається відкритим. Як правило, вважається, що "алгоритмічна криптографія може бути неможливою" (за винятком одноразових колодок), якщо P = NP, що, як правило, не вірять фахівцям.

Чудовим способом наукового осмислення цього є Імпагліацос 5 світів , огляд Кабанець . помітно, що теоретики складності не знають, "в якому з 5 світів ми живемо", хоча існують непрямі докази, що нахиляються деякими способами. У якому світі ми живемо, залежить від гіпотез теорії відкритої складності. Вони також стосуються відкритих проблем, пов'язаних із наявністю функцій, і одному напрямку . (RSA є висловлено припущення , що обидва.) Був 2009 науково -практична конференція по Impagliazzos світів з останнім повідомили мислення.

Тут потрібно визначити одне - визначення можливого. Є два варіанти відповіді на це. По-перше, чи можна вважати криптосистему відкритого ключа інформаційно-теоретично безпечною? У широкому сенсі це вимагає, щоб алгоритм був захищений навіть під час атаки, що передбачає нескінченну обчислювальну силу. Існує одна відома система, яка досягла цього, одна часова колодка, однак це лише в теорії, оскільки ми не можемо створити потрібні справді випадкові числа, і це приватний ключ. Другий спосіб розгляду питання полягає в тому, чи можна вважати криптосистему відкритого ключа безумовно безпечною ?. Це друге визначення є більш розпусним. У випадку RSA, якщо хтось повинен довести, що ціла факторизація була такою ж складною, як ми вважаємо, це є, і довести, що інших припущень чи недоліків у системі не було, тоді RSA була б безумовно безпечною. Безумовна безпека знімає вимогу нескінченної обчислювальної сили та розслаблює її до неможливого у фізичному Всесвіті. Оскільки всі наші алгоритми відкритого ключа покладаються на масивні припущення щодо обчислюваності, вони не відповідають другому визначенню.