Сложность проблем

Теория сложности также классифицирует и сложность самих проблем, а не только сложность конкретных алгоритмов решения проблемы. (Отличным введением в эту тему являются [600, 211, 1226], см. также [1096, 27, 739].) Теория рассматривает минимальное время и объем памяти, необходимые для решения самого трудн о-го варианта проблемы на теоретическом компьютере, известном как машина Тьюринга.Машина Тьюринга представляет собой конечный автомат с бесконечной лентой памяти для чтения-записи и является реалистичной моделью вычислений.

Проблемы, которые можно решить с помощью алгоритмов с полиномиальным временем, называются р е-шаемыми, потому что для разумных входных данных обычно могут быть решены за разумное время. (Точное определение "разумности" зависит от конкретных обстоятельств.) Проблемы, которые невозможно решить за полиномиальное время, называются нерешаемыми, потому что вычисление их решений быстро становится н е-возможным. Нерешаемые проблемы иногда называют трудными.Проблемы, которые могут быть решены только с помощью суперполиномиальных алгоритмов, вычислительно нерешаемы, даже при относительно м а-лых значениях п.

Что еще хуже, Алан Тьюринг доказал, что некоторые проблемы принципиально неразрешимыДаже от­влекаясь от временной сложности алгоритма, невозможно создать алгоритм решения этих проблем.

Проблемы можно разбить на классы в соответствии со сложностью их решения. Самые важные классы и их предполагаемые соотношения показаны на 10-й. (К несчастью, лишь малая часть этих утверждений может быть доказана математически.)


PSPACE-полные

PSPACE

NP-полные NP

P

Рис. 11-1. Классы сложности

Находящийся в самом низу класс Р состоит из всех проблем, которые можно решить за полиномиальное время. Класс NP - из всех проблем, которые можно решить за полиномиальное время только на недетермин и-рованной машине Тьюринга: вариант обычной машины Тьюринга, которая может делать предположения. М а-шина предполагает решение проблемы - либо "удачно угадывая", либо перебирая все предположения пара л-лельно - и проверяет свое предположение за полиномиальное время.

Важность NP в криптографии состоит в следующем: многие симметричные алгоритмы и алгоритмы с о т-крытыми ключами могут быть взломаны за недетерминированное полиномиальное время. Для данного шифр о-текста С, криптоаналитик просто угадывает открытый текст, X, и ключ, к, и за полиномиальное время выполня­ет алгоритм шифрования со входами Хм км проверяет, равен ли результат С. Это имеет важное теоретическое значение, потому что устанавливает верхнюю границу сложности криптоанализа этих алгоритмов. На практике, конечно же, это выполняемый за полиномиальное время детерминированный алгоритм, который и ищет кри п-тоаналитик. Более того, этот аргумент неприменим ко всем классам шифров, конкретно, он не применим для одноразовых блокнотов - для любого С существует множество пар X, к, дающих С при выполнении алгоритма шифрования, но большинство этих X представляют собой бессмысленные, недопустимые открытые тексты.

Класс NP включает класс Р, так как любая проблема, решаемая за полиномиальное время на детерминир о-ванной машине Тьюринга, будет также решена за полиномиальное время на недетерминированной машине Тьюринга, просто пропускается этап предположения.

Если все NP проблемы решаются за полиномиальное время на детерминированной машине, то Р = NP. Хотя кажется очевидным, что некоторые NP проблемы намного сложнее других (вскрытие алгоритма шифрования грубой силой против шифрования произвольного блока шифротекста), никогда не было доказано, что Р Ф NP (или что Р = NP). Однако, большинство людей, работающих над теорией сложности, убеждены, что эти классы неравны.

Что удивительно, можно доказать, что конкретные NP-проблемы настолько же трудны, как и любая пробле­ма этого класса. Стивен Кук (Steven Cook) доказал [365], что проблема Выполнимости (Satisfiability problem, дано правильное логическое выражение, существует ли способ присвоить правильные значения входящим в него переменным так, чтобы все выражение стало истиной?) является NP-полной. Это означает, что, если про­блема Выполнимости решается за полиномиальное время, то Р = NP. Наоборот, если может быть доказано, что для любой проблемы класса NP не существует детерминированного алгоритма с полиномиальным временем решения, доказательство покажет, что и для проблемы Выполнимости не существует детерминированного алг о-ритма с полиномиальным временем решения. В NP нет проблемы труднее, чем проблема Выполнимости.

С тех пор, как основополагающая работа Кука была опубликована, было показано, что существует множес т-во проблем, эквивалентных проблеме Выполнимости, сотни их перечислены в [600], ряд примеров приведен ниже. Из-за эквивалентности я полагаю, что эти проблемы также являются NP-полными, они входят в класс NP и так же сложны, как и любая проблема класса NP. Если бы была доказана их решаемость за детерминир о-ванное полиномиальное время, вопрос Р против NP был бы решен. Вопрос, верно ли Р = NP, является цен­тральным нерешенным вопросом теории вычислительной сложности, и не ожидается, что он будет решен в ближайшее время. Если кто-то покажет, что Р = NP, то большая часть этой книги станет ненужной: как объяс­нялось ранее многие классы шифров тривиально взламываются за недетерминированное полиномиальное вр е-


мя. Если Р = NP, то они вскрываются слабыми, детерминированными алгоритмами.

Следующим в иерархии сложности идет класс PSPACE.Проблемы класса PSPACEмогут быть решены в полиномиальном пространстве, но не обязательно за полиномиальное время. PSPACEвключает NP, но ряд проблем PSPACEкажутся сложнее, чем NP. Конечно, и это пока недоказуемо. Существует класс проблем, так называемых PSPACE-полных,обладающих следующим свойством: если любая из них является NP-проблемой, то PSPACE= NP,и если любая из них является Р-проблемой, то PSPACE= Р.

И наконец, существует класс проблем EXPTIME.Эти проблемы решаются за экспоненциальное время. Мо­жет быть действительно доказано, что EXPTIME-полныепроблемы не могут быть решены за детерминиро­ванное полиномиальное время. Также показано, что Р не равно EXPTIME.

NP-полные проблемы

Майкл Кэри (Michael Carey) и Дэвид Джонсон (David Johnson) составили список более чем 300 NP-полных проблем [600]. Вот некоторые:

— Проблема путешествующего коммивояжера. Путешествующему коммивояжеру нужно посетить разли ч-ные города, используя только один бак с горючим (существует максимальное расстояние, которое он м о-жет проехать). Существует ли маршрут, позволяющий ему посетить каждый голод только один раз, и с-пользуя этот единственный бак с горючим? (Это обобщение проблемы гамильтонова пути - см. раздел 5.1.)

— Проблема тройного брака. В комнате и мужчин, и женщин и и чиновников (священников, раввинов, кого угодно). Есть список разрешенных браков, записи которого состоят из одного мужчины, одной женщины и одного регистрирующего чиновника. Дан этот список троек, возможно ли построить и браков так, что­бы любой либо сочетался браком только с одним человеком или регистрировал только один брак?

— Тройная выполнимость. Есть список и логических выражений, каждое с тремя переменными. Например: если (х и у) то z, (х и w) или (не z), если ((не и и не х) или (z и или не х))) то (не гиа) или х), и т.д. Су­ществует ли правильные значения всех переменных, чтобы все утверждения были истинными? (Это ч а-стный случай упомянутой выше проблемы Выполнимости.)

11.3 Теория чисел

Это не книга по теории чисел, поэтому я только набросаю ряд идей, используемых в криптографии. Если вам нужно подробное математическое изложение теории чисел, обратитесь к одной из этих книг: [1430, 72, 1171, 12, 959, 681, 742, 420]. Моими любимыми книгами по математике конечных полей являются [971, 1042]. См. также [88, 1157, 1158, 1060].