# Complessità computazionale

### Computabilità:
Studia se un problema è <b>computabile</b> (o calcolabile) in maniera <b>algoritmica</b>\
Problemi decidibili vs problemi non decidibili (es: problema della fermata)

### Complessità computazionale:
Studia se un problema è <b>trattabile</b> (ovvero, esiste un algoritmo <b>efficiente</b>) oppure no (non trattabile).

## Metriche computazionali:
- Modello di esecuzione: <b>Macchina di Turing</b>
- Risorsa da misurare: <b>Tempo</b>
- Costo di utilizzo della risorsa: <b>Numero di passi della MdT</b>
- Dimensione dell'input: <b>Numero di simboli sulla MdT</b>
- Tipo di analisi: <b>Caso pessimo</b>

## Funzione costo di una MdT (deterministica)
Sia $M$ una MdT deterministica. 
La funzione costo $f$: ℕ $\rightarrow$ ℕ è una funzione tale che:\
<b>per ogni</b> input $x, \quad M(x)$ termina in $f(|x|)$ passi \
$|x|$ : numero di celle MdT per memorizzare l'input.\
Diciamo che $M$ ha <b>complessità in tempo</b> $f$.

<b>Domanda</b>: esistono altre funzioni costo della Macchina di Turing? \
Risposta: Sì, la funzione f è un <b>upper bound</b>: vanno bene tutte quelle più grandi (es: complessità $n^2$ e dico $n^3$).

Quindi, $f(n)$ <b>sovra-approssima</b> il numero di step di $M$ su input di lunghezza $n$.

## Problemi di decisione:

Problemi dove la risposta è binaria: vero oppure falso (0 oppure 1).\
Possiamo ricondurre ogni problema a un problema decisionale basato sul <b>linguaggio</b>: una parola appartiene o no al linguaggio?

La classe di complessità è un insieme (infinito) di problemi di decisione.

## Big-O notation:

La notazione Big-O fornisce una stima superiore della crescita dell'algoritmo.\
In altre parole, descrive il limite superiore del tempo (o dello spazio necessario) per eseguire l'algoritmo al crescere dell'input.

$O(g) = {f \in N \rightarrow N, \quad \exists c,n_0 : \quad \forall n > n_0  \quad f(n) ≤ c * g(n)}$

Per input sufficientemente grandi (n ≥ n₀), il tempo di esecuzione dell'algoritmo è limitato superiormente da una costante moltiplicata per la funzione f(n).\
Questo indica che l'algoritmo non richiede più tempo di quanto sia proporzionale a f(n), tenendo conto dei fattori costanti: g è il <b>limite asintotico superiore</b> della funzione f.

### Classe di complessità: TIME

Una classe di complessità è un insieme di problemi di decisione.\
Sia $g \in N \rightarrow N$. La classe di complessità $TIME(g)$ è l'insieme dei problemi di decisione che sono risolti da una Macchina di Turing con complessità in tempo $f \in O(g)$. 

La classe <b>non è robusta rispetto al modello di computazione</b> scelto (es. MdT mono-nastro e multi-nastro oppure MdT-deterministica e MdT <b>non</b>-deterministica).

### Tesi di Church-Turing:

Se un problema è umanamente calcolabile, esiste una MdT che lo risolve. $\rightarrow$ Tutti i modelli di computazione (macchina RAM, funzioni ricorsivamente enumerabili, lambdacalcolo, MdT, etc.) sono equivalenti

### Tesi di Church-Turing (estesa):

Tutti i modelli computazionalmente equivalenti a una MdT (tesi Church-Turing) sono anche <b>polinomialmente equivalenti</b> alla MdT.

### Classe di complessità: PTIME:

PTIME è una classe <b>robusta</b>.

### Modello di encoding:

Il modello unario non è efficiente. Il modello binario sì.\
Tutti i modelli efficienti, sono polinomialmente equivalenti.

### Avversari efficienti:

Algoritmi con tempo <b>probabilistico polinomiale</b>: $Adv \in PPTIME$

### Parametro di sicurezza:

Lunghezza della chiave: $1^n$.

# Computational secrecy:

La perfect secrecy (e indistinguishability) è irrealistica:
Assume che $M$ abbia <b>potenza di calcolo illimitata</b>. \
Richiede che l'avversario non ottenga <b>nessuna</b> informazione sul messaggio: $\quad Pr(PrivK=1) = 1/2$

### Encryption scheme:

Assumiamo che $P = C = K = \{0,1\}^*$ &emsp;<i>operiamo su stringhe di bit</i>

Schema di encryption a chiave privata: $(Gen, E, D)$

$Gen$ -> algoritmo <b>probabilistico</b> di generazione delle chiavi: $k \leftarrow Gen(1^n) \quad |k| ≥ n $\
$E$ -> algoritmo <b>probabilistico</b> di encryption: $y \rightarrow E_k(x)$ \
$D$ -> algoritmo <b>deterministico</b> di decryption: $x = D_k(y)$

##### Condizione di correttezza:
$ \forall n \in ℕ , \quad \forall k \leftarrow Gen(1^n), \quad \forall x \in \{0,1\}^* : \quad D_k(E_k(x)) = x $

#### Funzione negligible:

Una funzione $f \in ℕ \rightarrow ℝ^+$ è <b>negligible</b> se, per ogni polinomio $P : \quad  \exists n_0 : \quad \forall n > n_0 \quad  f(n) ≤ \frac{1}{p(n)}$

$\frac{1}{n^k} \quad$ <b>non</b> è negligible per nessun $k$

$f(n) = \frac{1}{2^n} \quad$ invece <b>è negligible</b>

### Computationally secret:

Uno schema di cifratura è <b>computazionalmente sicuro</b> per ogni avversario PPTIME se la probabilità di riuscita dell'attacco è <b>negligible</b>.

## Indistinguishability experiment under EAV:

$PrivK^{eav}_{M,π}$

1. $M \rightarrow A : \quad x_0, x_1 \quad \quad |x_0| = |x_1| \quad$ <i>attaccante $M$ invia due plaintext ad $A$ <b>di dimensione uguale</b></i>
2. $A : \quad k \leftarrow Gen(1^n) \quad$ <i>A genera una chiave con l'algoritmo</i> $Gen() \in π$, $ \ M$ conosce la lunghezza $1^n$\
   &emsp;$\quad \quad b \leftarrow \{0, 1\} \quad$ <i>A genera un bit $b$ <b>uniformemente random<b></i>
3. $A \rightarrow M : \quad y \leftarrow E_k(x_b) \quad$ <i>$A$ invia ad $M$ un ciphertext ottenuto da uno dei 2 plaintext (scelto in base a <b>b</b>)</i>
4. $M: \quad b_m \leftarrow \quad ... \quad \quad$ <i>M vuole calcolare $b_m$ in modo che $b_m=b$ (vuole indovinare $b$)</i>

L'esperimento ha successo $PrivK^{eav}_{M,π}(n)=1 \quad se \quad b_m=b$

$Pr(PrivK^{eav}_{M,π}(n)=1) = Pr(b=0)Pr(b_m=0 | b=0) + Pr(b=1)Pr(b_m=1 | b=1)$

$π$ è <b>computationally secret</b> rispetto a $n$ se: $\ \forall M \in PPTIME \ \ Pr(PrivK^{eav}_{M,π}=1) = 1/2 + f(n) \ \ $ dove $f(n)$ è <b>negligible</B> 

### Esempio (Quasi-OTP)

Come l'OTP, ma esclude la chiave $0^n$ durante la generazione della chiave in $Gen(1^n)$

##### Perfect secrecy (definizione):

$x=0^n \quad y=0^n$\
$Pr(x|y) = 0 \neq Pr(x) > 0 \rightarrow$ non è perfetto

##### Indistinguishability experiment:

$M: x_0 = 0^n \quad x_1 = 1^n$\
$M: b_m = \ (y==0) \ ? \ 1 : \ 0$

$Pr(b_m=0 | b=0) = 1$ 
$Pr(b_m=1 | b=1) = \frac{1}{2^n-1}$

$[...]$ non è perfectly indistinguishable $\rightarrow$ non è perfetto

##### Indistinguishability experiment under EAV (computational secrecy):

$Pr(PrivK^{eav}_{M,π}=1) = 1/2 + \frac{1}{2^n-1}\frac{1}{2}$

$\frac{1}{2^n-1}\frac{1}{2}$ <b>è negligible</b>

##### Osservazioni:

- Bisognerebbe dimostrare che non esistano attaccanti più efficienti di questo
- Le chiavi sono ancora lunghe come i plaintext
- Stiamo supponendo soltanto attaccante EAV (ciphertext only attack)

## Teorema:

Se $π$ è <b>perfectly secret</b> allora $π$ è anche <b>computationally secret</b> (under EAV). Ma il viceversa non è necessariamente vero.

### Esercizio:

Dimostra che il seguente cifrario <b>non</b> è EAV-sicuro:

$|P| = |C| = |K| = \{0,1\}^n$

<div>
<img src="images/eav_security_ex1.png" width="500"/>
</div>

Se $b_p$ è 0 : $k$ è completamente random\
Se $b_p$ è 1 : $k$ è 0 oppure 1 ripetuto $n$ volte in base a $k_1$ (generato random, ma poi ripetuto $n$ volte)

$M: \ \ x_0 = 0^n \quad x_1 = 0^{n-1}1$\
$M: \ \ b_m = \ \ (y_1 \ == \ y_2 == \ \ ... \ \ == y_n) \ \ ? \ \ 0 \ \ : \ \ 1 \quad$ <i> nelle slides è il contrario, perchè?</i>

$Pr(PrivK(n)=1) = 1/2(Pr(b_m=0 | b=0) + Pr(b_m=1 | b=1))$

$Pr(b_m = 0 | b = 0) = Pr(bit \ \ siano \ \ uguali \ \ | \ x=0^n) = Pr(k = 0^n \ or \ k = 1^n) = Pr(b_p=1) = 1/2 \quad$\
$Pr(b_m = 1 | b = 1) = Pr(bit \ \ non \ \ siano \ \ uguali \ \ | \ x=0^{n-1}1) = Pr(k \neq 1^{n-1}0 \ \ and \ \ k \neq 0^{n-1}1) = 1 - \frac{1}{2^n-2}$ 

$Pr(PrivK(n)=1) = (\frac{1}{2}* \frac{1}{2}) +(\frac{1}{2}(1 - \frac{1}{2^n-2})) = (\frac{1}{4}) + (\frac{1}{2}(1 - \frac{1}{2^n-2})) > 1/2 + negl(n) \rightarrow$ <b>non</b> è eav-sicuro

### Esercizio (two-time pad):

$Gen(1^n) = \{h \leftarrow\{0,1\}^m; \ k:=h h\} \quad con \ (n=2m)\quad \quad$ <i>metà chiave random ripetuta</i>\
$E_k(x) = x ⊕ k$

$M: \ \ x_0=0^m 0^m \quad x_1=0^m 1^m$\
$M: \ \ b_m \ =\ (y[1...m]==y[m+1...m])\ ? \ 0 : \ 1$

$Pr(PrivK(n)=1) = 1/2(Pr(b_m=0 | b=0) + Pr(b_m=1 | b=1))$

$Pr(b_m = 0 | b = 0) = Pr(due \ \ metà \ \ uguali \ \ | \ x=0^m0^m) = 1$\
$Pr(b_m = 1 | b = 1) = Pr(due \ \ metà \ \ diverse \ \ | \ x=0^m1^m) = Pr(k \neq 0^m 1^m \ \ and \ \ k \neq 1^m 0^m) = 1 - \frac{1}{2^n-2}$ 

<b>Non</b> è eav-sicuro.

## Sicurezza (EAV) rispetto a encryption multiple:

$1. \ A: \quad b \leftarrow \{0,1\}$\
$2. \ A: \quad k \leftarrow Gen(1^n)$\
$3. \ M \rightarrow A: \quad x_0 = (x_0^0, x_0^1, ..., x_0^t) \quad x_1 = (x_1^0, x_1^1, ..., x_1^t) \ \ con \ \ |x_0^i| = |x_1^i| \ \ \forall i \leq t$\
$4. \ A \rightarrow M: \quad y = E_k(x_b) = E_k(x_b^0), ... , E_k(x_b^t) \quad$ <i>nota: k è sempre la stessa</i>\
$5. \ M: \quad b_m = \ ...$

$PrivK^{mult}_{M,π}(n) = 1 \ se \ b_m=b$ 

### Teorema:

$π$ è multi-eav sicuro $\rightarrow$ $π$ è eav-sicuro

### Sicurezza OTP rispetto a multiple encryptions:

$Gen(1^n)=\{\{0,1\}^n\}$\
$E_k(x) = x ⊕ k$\
$D_k(y) = y ⊕ k$

$M: \ \ x_0=(0^n, \ \ 1^n) \quad x_1=(0^n, \ \ 0^n)$\
$M: \ \ b_m \ =\ (y^0 == y^1)\ ? \ 1 : \ 0$

$Pr(b_m = 0 | b = 0) = 1$\
$Pr(b_m = 1 | b = 1) = 1$ 

$Pr(PrivK^{mult}_{M,π}(n) = 1) = 1 \rightarrow$ vince sempre 

Pur essendo pefectly secret (e quindi EAV-sicuro), l'OTP <b>non è sicuro</b> alle multiple encryptions: \
Questo perchè l'encryption $E_k$ è <b>deterministico</b> e non probabilistico.

## CPA-security:

Ricordiamo i poteri dell'attaccante: 

+ Ciphertext-only attack: \
    $M$ conosce soltanto il ciphertext
+ KPA: Known Plaintext Attack: \
    $M$ conosce delle coppie $x\ $ e $\ y$ che sono state cifrate con chiave $\ k\ $ (la chiave ovviamente non la conosce)
+ <b>CPA: Chosen Plaintext Attack: $\leftarrow$ </b> \
    $M$ crea delle coppie $(x,y)$. Ha accesso alla funzione di encryption $E_k(x)\ $ <i>(oracle access)</i>
+ CCA: Chosen Ciphertext Attack: \
    $M$ ora ha accesso anche alla funzione di decryption $D_k(y)\ $ <i>(oracle access)</i>

$CPA: \quad M \ $ adesso ha <b>oracle access</b> alla funzione di encryption $E_k \quad$ ($k$ è fissato, ma $M$ non lo conosce!)

$1. \ A: \quad b \leftarrow \{0,1\}$\
$2. \ A: \quad k \leftarrow Gen(1^n)$\
$3. \ M \rightarrow A: \quad x_0,x_1 \in \{0,1\}^* \ \ s.t. \ \ |x_0| = |x_1| \quad$ $M$ ha oracle access a $E_k$\
$4. \ A \rightarrow M: \quad y = E_k(x_b) \quad$ $M$ ha oracle access a $E_k$\
$5. \ M: \quad b_m = \ ...$

$PrivK^{cpa}_{M,π}(n) = 1 \ \ if \ \ b_m = b ,\ \ else \ \ 0$

$π$ è <b>computationally secret rispetto a CPA</b> se: \
$\ \forall M \in PPTIME \ \ Pr(PrivK^{cpa}_{M,π}=1) = 1/2 + negl(n)$ 

### Teorema:

$π$ è CPA-sicuro $\rightarrow$ $π$ multi-CPA sicuro $\rightarrow$ $π$ è eav-sicuro

### Se $E_k$ è deterministica:

$1. \ A: \quad b \leftarrow \{0,1\}$\
$2. \ A: \quad k \leftarrow Gen(1^n)$\
$3. \ M \rightarrow A: \quad x_0,x_1 \in \{0,1\}^* \ \ s.t. \ \ |x_0| = |x_1|$\
$4. \ A \rightarrow M: \quad y = E_k(x_b)$

$M$ usa oracle access a $E_k$:\
$M \rightarrow A: \quad x_0$\
$A \rightarrow M: \quad y' = E_k(x_0)$

$5. \ M: \quad b_m = \ \ \{0 \ \ if \ y=y' \ \ else \ \ 1 \}$

$M$ sfrutta il <b>determinismo</b> di $E_k$ e <b>indovina sempre</b> grazie all'<b>oracle</b>

$Pr(PrivK^{cpa}_{M,π}(n) = 1) = 1$

### Teorema:

Se $E_k$ è deterministica $\rightarrow$ $π$ <b>non è</b> CPA-sicuro