Кінцева одностороння перестановка з нескінченним доменом

Нехай $\pi \colon \{0,1\}^* \to \{0,1\}^*$ - перестановка. Зауважте, що хоча $\pi$ діє на нескінченну область, його опис може бути кінцевим. Під описом я маю на увазі програму, яка описує функціональність $\pi$ . (Як щодо складності Колмогорова.) Пояснення див. Нижче.

Наприклад, функція NOT є однією з таких перестановок:

функція НЕ (x)
    Нехай y = x
    Для i = 1 до | x |
        Переверніть i-й біт y
    повернути у

, визначений нижче, - інший випадок: $\pi_k(\cdot)$

функція pi_k (x)
    повернення x + k (mod 2 ^ | x |)

Моє запитання стосується особливого класу перестановок, який називається односторонніми перестановками . Неформально кажучи, це перестановки, які легко обчислити, але важко інвертувати (для машини ). Просте існування односторонніх перестановок є давньою відкритою проблемою в криптографії та теорії складності, але в решті ми будемо вважати, що вони існують. $\rm{BPP}$

$n = pq$ $e = 65537$ $\pi_n(x) = x^e \bmod n$

Зауважте, що RSA визначається через кінцевий домен . Насправді, щоб отримати нескінченну перестановку домену, треба розглянути сімейство перестановок RSA , де - нескінченна множина цілих чисел Blum. Зауважимо, що - це опис родини, і за визначенням він нескінченний. $\mathbb{Z}_n$ $\{\pi_n\}_{n\in D}$ $D$ $D$

Моє запитання (якщо припустити існування односторонньої перестановки):

Чи існують односторонні перестановки з обмеженим описом над нескінченною областю ?

Відповідь може бути різною: вона може бути позитивною, негативною або відкритою (або, ймовірно, позитивною , або ймовірно, негативною ).

Фон

Питання виникло, коли я читав документ ASIACRYPT 2009 . Там автор неявно (і в контексті якихось доказів) припускав, що існують такі однобічні перестановки.

Я буду радий, якщо це дійсно так, хоча я не зміг знайти доказ.

— М. С. Дусті
джерело

Чи не можемо ми остаточно описати ? Існує кінцевий алгоритм, який шукає найменше число Blum, яке перевищує деяке вхідне число, тому обчислення можна описати, наприклад, як "знайти найменше число Blum більше, ніж , а потім обчислити ". Тим не менш, для мене не очевидно, що функція, яку ви отримаєте, склеюючи разом деяку нескінченну кількість , обов'язково буде перестановкою. Чи можете ви пояснити?

D

$D$

π (x)

$\pi(x)$

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

π_{b}

$\pi_b$

— Кароліна Солтис

@Karolina: Дякую за відповідь. Я думаю, що алгоритм "знайти найменше число Blum більше, ніж , тоді обчислити " обов'язково буде додаткова інформація про , наприклад його факторизація. Тому такий алгоритм не можна використовувати для опису односторонньої перестановки. Ви згодні?

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

b

$b$

— MS Dousti

Гаразд, я думаю, що я розумію - ви хочете, щоб кінцевий опис описував функцію простим для обчислення способом. Я думаю, що ми могли б кодувати частину "знайти найменший номер Блюма ...", не розкриваючи жодної інформації про (просто реалізуйте грубу силу пошуку для ), але тоді це було б не ефективно підрахувати.

b

$b$

b

$b$

— Кароліна Солтис

Можливо, це питання допоможе ідеям: cstheory.stackexchange.com/questions/1378

— Метт Грофф

@Matt: Дякую У цьому питанні умова "легко обчислити, але важко інвертувати" не стосується машин, обмежених часом.

— MS Dousti

У статті Про побудову 1-1 односторонніх функцій Голдрейха, Левіна та Нісана показано, як побудувати збереження довжини 1-1 функцій з нескінченними областями та кінцевим описом. Твердість інвертування функцій базується на популярних припущеннях, таких як твердість інвертування RSA або знаходження дискретних логарифмів.

Їх побудова - це поворот прямої ідеї перетворення сімейства односторонніх функцій в єдину односторонню функцію, встановивши де - випадковість, яка використовується для вибору індексу і - випадковість, що використовується для вибору вхідного сигналу (з урахуванням індексу ). $\{f_i\}_i$ $f(r,s) = f_i(x)$ $r$ $i$ $s$ $x$ $i$

Проблема вищезгаданої ідеї полягає в тому, що не обов'язково 1-1. Вони виправляють цю проблему, трохи модифікуючи і стверджуючи, що за певних умов сімейства , нове будівництво дійсно є 1-1. Потім вони показують, що ці умови задовольняють функції на основі RSA / дискретного журналу. $f(r,s)$ $f(r,s)$ $\{f_i\}_i$

— Алон Розен
джерело

Дякую Алону за відмінну відповідь. Поза темою: Я дуже радий вас бачити тут. Я люблю вашу книгу та документи про одночасне нульове знання !

— MS Dousti

Танс, Садек. Радий почути, що тобі це подобається :-)

— Алон Росен