第六个知识点:我们怎么把NP问题解释成一组可以在多项式内证明的命题

第六个知识点:我们怎么把NP问题解释成一组可以在多项式内证明的命题

原文地址：http://bristolcrypto.blogspot.com/2014/11/52-things-number-6-how-can-we-interpret.html

这是密码学52件事的第六篇，我们继续解释复杂性理论，这篇我们给NP问题另一个定义。(注:就是说这节中，我们把"问题是否为NP的"转换为另一组可以在多项式时间内判定的定理)。

这个问题是紧接着上一周的问题的。上周我们回答了什么是复杂NP类问题。这周我们回答一个相关的问题---我们怎么把NP解释成一组能被多项式时间检查的命题。

现在我们看一个直觉上的"一个问题是NP的"这意味着什么?他不仅仅是一个直观的定义，更是清晰的说明了为什么这类复杂性问题对密码学和世界上其他问题那么重要。现在在我们讨论怎么用之前，我们先给出定义:

NP 是一类能在多项式时间内确定的问题

NP 是存在多项式时间运行的Verifier

这到底啥意思?首先我们有一个元素\(x\)，我们想要知道是否\(x \in L\)(\(L\)是NP语言)。我们有一个证明\(P\)对\(x\)输出一个证据\(w\)，这可能需要要给多项式时间在给定\(x\)寻找\(w\)。然后如果我们给出\(x\)和\(w\)到我们的验证器\(V\)，\(V\)能够在多项式时间内输出是否\(x \in L\)。

我在看到这里的时候以我的知识有点不懂。 这里就是交互式证明系统，限制了交互的时间复杂度。那为什么非要给出一个V,然后给出一个P呢。这个是交互式证明系统定义的一部分。在这种计算模型(交互式证明系统)下，限制一下计算时间，就可以给出了NP问题的定义。 这里我十分推荐读下这节Sipser's Introduction to the Theory of Computation， section 7.3.

这个定义似乎和上一周给出的不同，但是实际上他们是等价的。(Sipser的书中有精确的定义)。非正式的说，他们的等价性是因为\(w\)可以是NDT在每个分支节点做出的决定的序列，这样就从非确定的降级成确定的自动机了。(上面的那节也给出了精确的证明)。

因此为什么这个问题在密码学中那么有用呢?本质上，我们有一类这样的原因，如果你没有witness(凭据?密钥?)可以用指数时间来检查，但是如果你有这个witness那么你就可以用多项式时间来完成。这是很多密码学算法的feel。(23333)。如果你不知道key那么你就很难解密这个消息，如果你知道key那么你很快就能解密出消息。

一个警告:虽然密码学中使用NP问题看起来是个不错的做法。但是它可能不是那么简单。因为NP问题的语言是基于最坏时间的。然而密码学中的算法是基于平均时间的。例如，我们有一种NP语言，一个元素需要指数级的时间求解，其他元素都非常快。这不是好的加密方案。我们希望对所有的消息都是安全的。而不是仅仅一个。

现在我们知道整数因子分解不知道是不是NP完全的，也不知道是不是P类问题。但是它是一个例子。说明我想要说的关于仔细选择NP实例的问题。一般来说，找到一个数的因数很容易。其中一半能被2整除。但是如果我们选择一个特定的我们将会很难分解。让我们集中思路在形式\(N = p * q\)对\(p,q\)素数。现在如果这两个数字有一个很小，那么分解它也是容易的，我们希望这两个数字大小相同。由此我们可以根据这个构建加密方案(RSA)。

[1] Equivalence_of_definitions