Лемма о невозможности существования вычислительно безопасных шифров в случае P = NP — различия между версиями

Материал из Викиконспекты
Перейти к: навигация, поиск
(Формулировка)
(Доказательство)
Строка 8: Строка 8:
 
Оценим вероятность <tex>P(A(E_{i}(x_{b})) = b)</tex> при <tex>x_{0} = 0^{m}</tex> и некотором <tex>x_{1}</tex>. Заметим, что так как <tex>b</tex> равновероятно может быть и нулем, и единицей, то:  
 
Оценим вероятность <tex>P(A(E_{i}(x_{b})) = b)</tex> при <tex>x_{0} = 0^{m}</tex> и некотором <tex>x_{1}</tex>. Заметим, что так как <tex>b</tex> равновероятно может быть и нулем, и единицей, то:  
  
<tex>P(A(E_{i}(x_{b})) = b) = 0,5 * P(A(E_{i}(x_{0})) = 0) + 0,5 * P(A(E_{i}(x_{1})) = 1)</tex>.
+
<tex>P(A(E_{i}(x_{b})) = b) = 0.5 \cdot P(A(E_{i}(x_{0})) = 0) + 0.5 \cdot P(A(E_{i}(x_{1})) = 1)</tex>.
  
 
<tex>E_{i}(x_{0})</tex> лежит в <tex>S</tex> при любом <tex>i</tex> по определению <tex>S</tex> и выбору <tex>x_{0}</tex>. Таким образом <tex>P(A(E_{i}(x_{0})) = 0) = 1</tex>.
 
<tex>E_{i}(x_{0})</tex> лежит в <tex>S</tex> при любом <tex>i</tex> по определению <tex>S</tex> и выбору <tex>x_{0}</tex>. Таким образом <tex>P(A(E_{i}(x_{0})) = 0) = 1</tex>.
  
Докажем теперь, что <tex>\exists x_{1}</tex> такой, что <tex>P(A(E_{i}(x_{1})) = 1) \ge 0,5</tex>. Так как каждая шифрующая функция <tex>E_{i}</tex> биективна, а <tex>|S| \le 2^{n}</tex>, то <tex>\sum \limits_{x} A(E_{i}(x)) \ge 2^{m} - 2^{n}</tex> для любого <tex>i</tex>. Тогда <tex>\sum \limits_{i} \sum \limits_{x} A(E_{i}(x)) = \sum \limits_{x} \sum \limits_{i} A(E_{i}(x)) \ge 2^{n} (2^{m} - 2^{n})</tex>. Из этого неравенства следует, что не может быть для любого <tex>x</tex>: <tex>\sum \limits_{i} A(E_{i}(x)) < 2^{n} (1 - 2^{n-m})</tex>. Следовательно, <tex>\exists x_{1}</tex> такой, что <tex>\sum \limits_{i} A(E_{i}(x_{1})) \ge 2^{n} (1 - 2^{n-m}) \ge 2^{n-1}</tex>, а вероятность по всем <tex>i \in \{0,1\}^{n}</tex> <tex>P(A(E_{i}(x_{1})) = 1) \ge 0,5</tex>.
+
Докажем теперь, что <tex>\exists x_{1}</tex> такой, что <tex>P(A(E_{i}(x_{1})) = 1) \ge 0.5</tex>. Так как каждая шифрующая функция <tex>E_{i}</tex> биективна, а <tex>|S| \le 2^{n}</tex>, то <tex>\sum \limits_{x} A(E_{i}(x)) \ge 2^{m} - 2^{n}</tex> для любого <tex>i</tex>. Тогда <tex>\sum \limits_{i} \sum \limits_{x} A(E_{i}(x)) = \sum \limits_{x} \sum \limits_{i} A(E_{i}(x)) \ge 2^{n} (2^{m} - 2^{n})</tex>. Из этого неравенства следует, что не может быть для любого <tex>x</tex>: <tex>\sum \limits_{i} A(E_{i}(x)) < 2^{n} (1 - 2^{n-m})</tex>. Следовательно, <tex>\exists x_{1}</tex> такой, что <tex>\sum \limits_{i} A(E_{i}(x_{1})) \ge 2^{n} (1 - 2^{n-m}) \ge 2^{n-1}</tex>, а вероятность по всем <tex>i \in \{0,1\}^{n}</tex> <tex>P(A(E_{i}(x_{1})) = 1) \ge 0.5</tex>.
  
Таким образом <tex>P(A(E_{i}(x_{b})) = b) \ge 0,5 * 1 + 0,5 * 0,5 = 0,75</tex>.
+
Таким образом <tex>P(A(E_{i}(x_{b})) = b) \ge 0.5 \cdot 1 + 0.5 \cdot 0.5 = 0.75</tex>.

Версия 16:36, 27 мая 2010

Формулировка

Пусть P [math]=[/math] NP. Имеется набор схем шифрования [math]\{\langle E_{i}, D_{i}\rangle\}[/math], где [math]0 \le i \le k = 2^{n}[/math], [math]E_{i} \in P[/math], [math]D_{i} \in P[/math]. На схему подаются слова длины [math]m[/math], при этом [math]m \gt n[/math]. Тогда [math]\exists A: \{0,1\}^{m} \to \{0,1\}[/math], [math]A \in P[/math] такая, что для нее в свою очередь [math] \exists x_{0}, x_{1}[/math] такие, что вероятность [math]P(A(E_{i}(x_{b}))=b) \ge 0.75[/math] по всем [math]b \in \{0,1\}[/math] и всем [math]i \in \{0,1\}^{n}[/math].

Доказательство

Рассмотрим язык [math]S = \{ y | \exists i \in \{0,1\}^{n}: y = E_{i}(0^{m})\}[/math]. Заметим, что этот язык лежит в NP. Сертификатом для слова [math]y[/math] является номер [math]i[/math] шифрующей функции [math]E_{i}[/math] такой, что [math]y = E_{i}(0^{m})[/math]. Так как NP [math]=[/math] P, то [math]S[/math] лежит в классе P. А тогда существует функция [math]A(y) \in P[/math], равная нулю, если [math]y \in S[/math], и единице в противном случае.

Оценим вероятность [math]P(A(E_{i}(x_{b})) = b)[/math] при [math]x_{0} = 0^{m}[/math] и некотором [math]x_{1}[/math]. Заметим, что так как [math]b[/math] равновероятно может быть и нулем, и единицей, то:

[math]P(A(E_{i}(x_{b})) = b) = 0.5 \cdot P(A(E_{i}(x_{0})) = 0) + 0.5 \cdot P(A(E_{i}(x_{1})) = 1)[/math].

[math]E_{i}(x_{0})[/math] лежит в [math]S[/math] при любом [math]i[/math] по определению [math]S[/math] и выбору [math]x_{0}[/math]. Таким образом [math]P(A(E_{i}(x_{0})) = 0) = 1[/math].

Докажем теперь, что [math]\exists x_{1}[/math] такой, что [math]P(A(E_{i}(x_{1})) = 1) \ge 0.5[/math]. Так как каждая шифрующая функция [math]E_{i}[/math] биективна, а [math]|S| \le 2^{n}[/math], то [math]\sum \limits_{x} A(E_{i}(x)) \ge 2^{m} - 2^{n}[/math] для любого [math]i[/math]. Тогда [math]\sum \limits_{i} \sum \limits_{x} A(E_{i}(x)) = \sum \limits_{x} \sum \limits_{i} A(E_{i}(x)) \ge 2^{n} (2^{m} - 2^{n})[/math]. Из этого неравенства следует, что не может быть для любого [math]x[/math]: [math]\sum \limits_{i} A(E_{i}(x)) \lt 2^{n} (1 - 2^{n-m})[/math]. Следовательно, [math]\exists x_{1}[/math] такой, что [math]\sum \limits_{i} A(E_{i}(x_{1})) \ge 2^{n} (1 - 2^{n-m}) \ge 2^{n-1}[/math], а вероятность по всем [math]i \in \{0,1\}^{n}[/math] [math]P(A(E_{i}(x_{1})) = 1) \ge 0.5[/math].

Таким образом [math]P(A(E_{i}(x_{b})) = b) \ge 0.5 \cdot 1 + 0.5 \cdot 0.5 = 0.75[/math].

Источник — «http://neerc.ifmo.ru/wiki/index.php?title=Лемма_о_невозможности_существования_вычислительно_безопасных_шифров_в_случае_P_%3D_NP&oldid=1266»