Лемма о невозможности существования вычислительно безопасных шифров в случае P = NP
Версия от 19:14, 4 сентября 2022; Maintenance script (обсуждение | вклад) (rollbackEdits.php mass rollback)
Формулировка
Имеется схема шифрования
с набором из ключей. Будем обозначать шифрующую функцию с ключом как , а функцию для расшифрования с тем же ключом как . Обе функции биективны. То есть при любом выполняется следующее: . На схему подаются слова длины , при этом .Тогда, если P
NP, то существует функция , вычислимая за полиномиальное время от входа, такая, что для нее в свою очередь существуют слова и такие, что вероятность по всем и всем .Если P
NP, то получается, что для любой схемы шифрования с количеством ключей меньше, чем длина шифруемых слов, найдется пара таких слов, которые можно различить с высокой вероятностью. С другой стороны, как будет видно из доказательства, эта пара слов неконструктивна.Доказательство
Рассмотрим язык
. Заметим, что этот язык лежит в NP. Сертификатом для слова является номер шифрующей функции такой, что . Так как NP P, то лежит в классе P. А тогда существует функция , равная нулю, если , и единице в противном случае.Оценим вероятность
при и некотором . Заметим, что так как равновероятно может быть и нулем, и единицей, то:.
лежит в при любом по определению и выбору . Таким образом .
Докажем теперь, что
такой, что . Так как каждая шифрующая функция биективна, а , то для любого . Тогда . Из этого неравенства следует, что не может быть для любого : . Следовательно, такой, что , а вероятность по всем .Таким образом
.