Cryptography 是否存在可证明是NP难击败的公钥密码算法？

如果实用的量子计算成为现实，我想知道是否有基于NP完全问题的公钥密码算法，而不是整数分解或离散对数

编辑：

请查看“计算复杂性理论中的量子计算”部分 指出量子计算机能回答的问题（BQP）被认为比NP完全问题更容易

编辑2：

“基于NP完全”是表达我感兴趣的一种糟糕的方式

---

我想问的是一个公钥加密算法，它的特性是任何破坏加密的方法都可以用来破坏潜在的NP完全问题。这意味着破坏加密证明P=NP。

虽然RSA和其他广泛使用的加密算法基于整数分解的困难性（不知道是NP完全的），但也有一些基于NP完全问题的公钥加密算法。谷歌搜索“公钥”和“np完全”将发现其中一些

---

（我之前错误地说量子计算机会加速NP完全问题，但这不是真的。我站出来更正。）

虽然许多形式已经被打破，但请根据NP完全“背包问题”的一种形式进行检查。

谷歌搜索NP完全和公钥加密会发现误报。。。这实际上是不安全的。这似乎显示了基于的公钥加密算法。进一步阅读后，它承认撒谎说该算法是安全的。。。基本问题是NP完全问题，但它在PK算法中的使用并没有保留难度

另一个谷歌发现的误报：。摘自摘要：

---

在Crypto'97上，Goldreich、Goldwasser和Halevi提出了一种基于晶格中最近向量问题的公钥密码系统，该问题被称为NP难问题。我们表明，该方案的设计中存在一个主要缺陷，它有两个含义：任何密文都会泄漏明文上的信息，而解密密文的问题可以简化为一个特殊的最近向量问题，这比一般问题容易得多。

这是1998年的一个公开问题：

Oded Goldreich、以色列雷霍沃特、Shafi Goldwasser

摘自《文摘》：“我们的结论是，问题仍然悬而未决”

--我想知道这在过去十年里是否发生了变化

编辑：

据我所知，这个问题仍然悬而未决，因为最近的进展表明，没有这样的算法存在

Adi Akavia、Oded Goldreich、Shafi Goldwasser和Dana Moshkovitz于2006年在ACM上发表了这篇论文：“我们的主要发现是以下两个负面结果”

---

斯坦福网站有助于说明这两个负面结果的含义。

已经提出了一些基于NP难问题的密码系统（例如基于子集和问题的密码系统，以及基于背包问题的密码系统），但它们都被打破了。为什么会这样？斯科特·阿伦森的第16课谈到了这一点，我认为你们应该把它作为定论。它说的是：

---

理想情况下，我们希望构造一个[密码伪随机生成器]或密码系统，其安全性基于NP完全问题。不幸的是，NP完全问题总是最坏的情况。在密码学中，这会转化为“存在难以解码的消息”这样的语句，这并不能很好地保证密码系统的安全！消息应该很难以压倒性的概率解密。尽管经过几十年的努力，尚未发现将NP完全问题的最坏情况与平均情况联系起来的方法。这就是为什么，如果我们想要计算安全的密码系统，我们需要比P≠NP.正如许多其他海报所指出的，基于NP难或NP完全问题的密码学是可能的

然而，密码学的常用方法将基于困难的数学（即难以破解）。事实是，将数字序列化为传统密钥比创建解决NP难题的标准化字符串更容易。因此，实用密码是基于尚未被证明是NP难或NP完全的数学问题（因此可以想象，其中一些问题在P中）

在ElGamal或RSA加密中，破解它需要破解离散对数，因此请看本文

目前还没有计算一般离散对数logbg的有效算法。朴素算法是将b提高到越来越高的幂k，直到找到所需的g；这有时被称为试乘。该算法要求运行时间与G组的大小成线性关系，因此与G组大小的位数成指数关系。然而，由于Peter Shor（），存在一种有效的量子算法

计算离散对数显然很困难。在最坏的情况下，不仅没有已知的有效算法，而且使用随机自可约性，平均情况复杂度可以显示为至少与最坏情况一样困难

同时，离散求幂的反问题并非如此（例如，可以通过平方求幂有效地计算它）。这种不对称性类似于整数因式分解和整数乘法之间的不对称性。这两种不对称性在密码系统的构造中都被利用了

---

人们普遍认为这些都是NP完全的，但可能无法证明。请注意，量子计算机可以有效地破解密码

晶格密码术提供了（过度）广义的带回家信息，人们确实可以设计出打破平均值的密码系统