在正式密码学中,我们将算法(主要是对手)建模为(概率)图灵机或布尔电路。在形式密码学的讲座中,我们了解到电路比图灵机更强大,因为每个多项式时间(概率性)图灵机都可以由多项式大小的电路表示,但并非每个电路都可以表示为

由于电路功能更强大,因此在对算法进行建模时,直观地使用它们来代替图灵机是有意义的,因为从技术上证明我们的系统对PPT图灵机的安全性并不意味着针对多项式电路的安全性。但是,由于人们仍在使用图灵机,因此我认为这种区别在实践中几乎是不相关的。

用于密码研究的电路和图灵机之间是否存在任何实际区别(即是否存在安全的系统反对PPT图灵机,而不是多项式大小的电路?)还是仅仅出于个人喜好/便利性而使用的证据?

备注:我考虑过将其发布到计算机科学堆栈交换,但由于它与密码直接相关,因此决定拒绝它。如果您不同意,请随时迁移。

评论

不知道答案,但我认为问题没有错。

#1 楼

只寻找图灵机与电路是有点误导的。重要的区别是统一(复杂性等级BPP)与非统一(复杂性等级P / poly)对手。您可以根据电路系列来表征P / poly,也可以根据具有任意“建议字符串”的图灵机来表征P / poly。实际上,后者是定义P / poly的更传统的复杂性理论方法。因此,仅在定义中提及图灵机这一事实并不意味着它仅适用于统一的对手。

如果作者谨慎的话,他们的定义将明确考虑TM对手采取一些建议字符串作为输入,并且所有此类输入都必须具有安全性。因此,P / poly对手的安全性很高。即使作者对定义不太谨慎,结果也总是会出现在非均匀对手身上。

一般来说,我认为假设非均匀对手是最安全的,除非


当然,有时区别很重要,我可以提及一种可能表现出来的方式。通常,在希望用统一算法描述“好人”与防止非统一算法的“坏人”之间存在不对称性。有时,当您要将攻击转换为结构时,这会成为问题。例如,您可以得到这样的结果:“对方案$ X $的攻击意味着任务$ Y $的结构得到了改进。”在这些情况下,您通常必须放宽其中一个定义以使其一致。例如,


“对方案$ X $的[统一]攻击表示对任务$ Y $的改进构造。”
“对方案$ X的攻击$表示任务$ Y $的一种改进的[非均匀]构造。“

一些示例:


对称的两方功能的完整性-Lindell,Omri和Zarosim再次提出:它们表明某些协议具有一定的局限性,在这种情况下,Alice可以区分有关Bob输入的某些信息。然后,该区分策略可用于构建遗忘的传输协议。但是要将这种区分策略合并到另一个协议中,该策略必须统一,并且本文必须使用统一的区分性定义。另外,您也可以允许协议构造不一致。
在我自己的论文《基本上任何可信设置》中的通用可组合性中,我定义了Alice和Bob之间的2人游戏。如果爱丽丝在这场比赛中有制胜法则,那么我将创建一种协议。如果鲍勃(Bob)有制胜法则,那么我将创建另一种协议。但是在两种情况下,我都需要“获胜”方的策略统一(他们是将其策略合并到协议中的人),而“失败”方的策略可能是不一致的(失败方与对手相对应)我构建的协议)。所以结果留下了一个空白(如果非统一策略总是可以击败统一策略怎么办)?如上所述,您可以通过允许协议构造不统一来缩小差距。


#2 楼

我将具体回答这一部分:


用于密码研究的电路和图灵机之间是否有实际区别(即是否存在可以抵御PPT图灵机的系统,但不是多项式大小的系统)电路吗?还是仅仅根据个人喜好/便利性来证明您使用的证据?


实际上,不需要走很远就可以看到非传统上定义的统一机器(具有确定性)在功能上并不比概率机器强得多:没有统一机器可以“投掷硬币”,即输出0或1并具有指定的非零概率,而忽略了其输入。这是因为,即使使用建议字符串,确定性机器仍然是确定性的:给定相同的输入,它将始终产生相同的输出。

因此,我们经常考虑概率非均匀机器,同时带有建议磁带(如传统上对非统一机器的定义)和随机磁带(如概率机的定义),这样我们就可以“两全其美”。

然而,对于许多任务,确实可以证明,针对确定性非统一对手的安全性等同于针对概率统一对手的安全性。单向功能就是一个例子。