Односторонні перестановки без Trapdoor

Коротше кажучи: якщо припустити, що односторонні перестановки існують, чи можемо ми побудувати ту, яка не має трапа?

Більше інформації:

Одностороння перестановка - це перестановка $\pi$який легко обчислити, але важко інвертувати (див. офіційне визначення тегів з односторонньою функцією ). Ми зазвичай вважаємо сім'ї односторонньої перестановки,$\pi = \{\pi_n\}_{n \in \mathbb{N}}$, де кожен $\pi_n$- це одностороння перестановка, що діє на кінцевій області$D_n$. Люк односторонній перестановка , як визначена вище, за винятком того, що існує безліч секрету$\{t_n\}_{n \in \mathbb{N}}$ і алгоритм інвертування багаторазового часу $I$, такий, що для всіх $n$, $|t_n| \le {\rm poly}(n)$, і $I$ може перевернути $\pi_n$ за умови, що це дано $t_n$.

Я знаю односторонні перестановки, які генеруються так, що неможливо знайти вільну доріжку (все ж трапод існує). Приклад, заснований на RSA-припущення, наводиться тут . Питання в тому,

Чи існують (сімейства) односторонні перестановки, які не мають ловушки (набору)?

Редагувати: (Більше формалізація)

Припустимо, існує деяка одностороння перестановка $\pi$ з (нескінченним) доменом $D \subseteq \{0,1\}^*$. Тобто існує імовірнісний поліноміально-часовий алгоритм$\mathcal{D}$ (який на вході $1^n$, викликає деякий розподіл по $D_n=\\{0,1\\}^n \cap D$), такий, що для будь-якого супротивника багаточленного часу $\mathcal{A}$, будь-який $c>0$, і всі досить великі цілі числа $n$:

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(Ймовірність приймається за внутрішні кидки монети та .)$\mathcal{D}$$\mathcal{A}$

Питання полягає в тому, чи можемо ми побудувати односторонню перестановку , для якої існує ймовірнісний поліноміально-часовий алгоритм такий, що для будь -якого сімейства схем полі розмірів , будь-яке і всі досить великі цілі числа :$\pi'$$\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(Вірогідність взята на внутрішні кидки монети , оскільки є детермінованою.)$\mathcal{D}'$$\mathcal{A}'$

Розглянемо наступні випадки:

1) Односторонні перестановки (OWP) існують, але перешкодних перестановок (TDP) немає (тобто ми знаходимось у варіанті " мінікрипту " світу Імпальяцца . У такому випадку ви просто берете OWP, який гарантовано існує, і ви знаєте, що у нього немає ловушника.

2) І OWP, і TDP існують. Тут у вас є два варіанти:

(a) Кожен OWP має алгоритм генерації ключів G, який виводить опис функції "public" f разом із вибіркою tp trapdoor t. У цьому випадку розглянемо модифіковану генерацію ключів, яка видає лише f. Це дає вам OWP, і більше того, неможливо знайти t заданого f (оскільки в іншому випадку у вас є ефективний спосіб інвертувати f). Це також має місце для неоднорідного варіанту.

(b) Існує OWP f такий, що жоден алгоритм G не може виводити і f, і t, так що t забезпечує інверсію f (x) для випадкового x. У цьому випадку f - це OWP, який не має трап-дору.

Один із коментарів у нижченаведеній темі, здається, передбачає, що ви ставите під сумнів, чи існування OWP означає існування TDP. Це було показано не тримати WRT чорний ящик конструкцій / скорочень, і відкрито в цілому (див мій коментар в гілці вище).

Я не знаю про конструкції із загальних припущень, але ви можете отримати правдоподібного кандидата на "односторонню перестановку без трапу", використовуючи дискретний модуль журналу a prime . Тобто, нехай є примітивним кореневим модулем , і визначимо . Тоді - перестановка на цілі числа між і , і зазвичай вважається односторонньою. Що стосується частини "no trapdoor", я думаю, вам потрібно точно визначити, що це означає, але, наскільки я знаю, у нас немає жодного способу налаштувати речі, щоб активувати інверсію. (Якби ми це зробили, то в криптографії були б усілякі круті (позитивні) програми!)$p$$g$$p$$\pi(x) = g^x\!\mod p$$\pi$$1$$p-1$