Аргументи існування односторонніх функцій

25

Я читав у кількох роботах, що існування односторонніх функцій широко вважається. Чи може хтось пролити світло на те, чому це так? Які аргументи ми маємо для підтримки існування односторонніх функцій?

— Анонімний
джерело

1

Мені здається дещо оманливим, що в багатьох працях зазначається, що існування односторонніх функцій широко вважається, оскільки поки що ми не маємо жодних сильних аргументів щодо їх існування. Написання "існування односторонніх функцій широко сприймається як правдоподібне припущення серед експертів, яке відповідає нашому досвіду на практиці та сучасному стану знань" є більш доцільним і рівномірним.

22

Ось аргумент, що односторонні функції повинні бути важкими для інвертування. Припустимо, існує клас 3-SAT проблем із посадженими рішеннями, які важко вирішити. Розглянемо таку карту:

(х, r) \to с

$(x, r) \rightarrow s$

де - будь-яка рядок бітів, - рядок бітів (ви можете використовувати їх для виведення генератора випадкових чисел, або ви можете попросити стільки випадкових бітів, скільки вам потрібно), а - -SAT проблема, що має як посаджене рішення, де генератор випадкових чисел визначає, яку саме -SAT проблему ви обрали. Щоб перетворити цю односторонню функцію, потрібно вирішити проблему -SAT із посадженим рішенням. $x$ $r$ $s$ $k$ $x$ $k$ $k$

Цей аргумент показує, що інвертування односторонньої функції настільки ж важке, як і рішення -SAT задач із посадженими рішеннями. А оскільки -SAT є повною проблемою для NP, якщо ви можете зрозуміти, як побудувати важкі екземпляри з посадженими рішеннями для будь-якої проблеми NP, ви можете посадити рішення в -SAT формулах. $k$ $k$ $k$

Не було доведено, що можна створити клас проблем, повних NP, з насадженими рішеннями, які такі ж важкі, як і довільні проблеми, повні з NP (і навіть якщо це правда, довести це буде надзвичайно важко) , але люди, безумовно, знають, як розводити рішення в -SAT-проблемах способами, які наразі ніхто не знає, як їх вирішити. $k$

ДОДАТИ: Зараз я розумію, що цей зв'язок вже був наданий (більш докладно) у Абаді, Аллендері, Бродері, Фейгенбаумі та Гемачандрі ; вони вказують, що односторонні функції можуть давати вирішені важкі екземпляри SAT, і навпаки.

Якщо говорити неформальною мовою, відсутність односторонніх функцій свідчить про те, що справді важкі головоломки не можуть існувати. Якщо є тип головоломки, де хтось може скласти як пазл, так і його рішення алгоритмічно, то існує також алгоритм поліноміального часу для пошуку рішення головоломки. Це здається мені дуже протиінтуїтивним. Звичайно, поліноміальний проміжок може існувати; може статися так, що якщо створення головоломки зробило кроків, то розв’язування може зробити кроків. Однак моя інтуїція говорить про те, що повинен бути суперполіноміальний розрив. $n$ $O(n^3)$

— Петро Шор
джерело

1

Чи це в кінцевому підсумку не той самий аргумент, що і Садек, в тому сенсі, що обидва покладаються на деякі проблеми, які в даний час ніхто не знає, як вирішити, незважаючи на багато зусиль?

— Цуйосі Іто

2

@Sadeq: ви можете дати алгоритму по суті всі випадкові біти, які вам потрібні для цього аргументу; вам дійсно не потрібна PRG, і, звичайно, не криптографічно сильна.

— Петро Шор

6

@Tsuyoshi: Я думаю, що генерування важких випадків проблем НП із посадженими рішеннями є дещо більш загальним, ніж факторинг чи дискретний журнал; з одного боку, невідомо, що він знаходиться в BQP.

— Пітер Шор

3

@Tsuyoshi: Я хотів би бачити інший підхід; на жаль, у мене його немає. Але це означає, що справді важкі головоломки не можуть існувати; якщо є тип головоломки, де хтось може скласти головоломку та її рішення алгоритмічно, також існує алгоритм поліноміального часу для вирішення головоломки. Це здається мені дуже протиінтуїтивним.

— Петро Шор

4

@Tsuyoshi: Я думаю, що Пітер полягає в тому, що не існує лише двох-трьох кандидатів на ЗСЗ; кандидатів надзвичайно багато і майже банально придумати. Наприклад, якщо ви подивитесь на роботу, що стосується конкуренції SHA-3 компанії NIST, то, здається, було легко створити OWF, і люди в основному переймаються розробкою надшвидких OWF, які все ще відповідають дуже жорстким поняттям безпеки.

— Тімоті Чоу

13

Я дам коротку відповідь: Існування, здавалося б, важких проблем, таких як ФАКТОРИНГ або ДИСКРЕТНИЙ ЛОГ, змусило теоретиків вважати, що існують OWF. Зокрема, вони десятиліттями (починаючи з 1970-х років) намагалися знайти ефективні (ймовірнісні поліноміально-часові) алгоритми для таких проблем, але жодна спроба не вдалася. Це міркування дуже схоже на те, чому більшість дослідників вважають, що P ≠ NP.

— М. С. Дусті
джерело

Що мені не подобається в цій вірі, що обидві проблеми є в BQP, тому якщо вони справді односторонні, а квантові комп'ютери виявляються практичними, то визначення односторонньої функції слід змінити (протистояти квантовому полі -час противників, а не просто рандомізованих). Чи знаєте ви будь-яких кандидатів на сильні односторонні функції в цьому сенсі? Чи є кандидати такого роду сильних односторонніх функцій, які беруть на себе Розборов-Рудич у своїй теоремі?

— Дієго де Естрада

1

Відповідь на моє перше запитання: dx.doi.org/10.1016/j.tcs.2007.03.013

— Дієго де Естрада

3

Тобто у нас немає аргументів для цього, крім того, що ще ніхто не порушив цих проблем. Це аргумент тижня. Таким же чином ми б вірили в твердість усього, що ми ще не вирішили. Ми могли б сказати , що це широко вважають , що факторинг не в

, але я не бачив , щоб хтось стверджує , що. Має бути якась інша причина, щоб широко вірити в існування OWF. Порівняння з P проти NP не є справедливим. Є багато природних еквівалентних NP-повних проблем.

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— Анонім

10

Має бути кращий аргумент, чому існують односторонні функції, ніж те, що ми знаємо купу функцій, які ми ще не знаємо, як перевернути. Я побачу, чи зможу я придумати його.

— Петро Шор

1

@Anonymous: Re: «широко вважають , [так] , що факторинг не в

» ви можете перевірити недавні поліпшення в дискретно журналі: eprint.iacr.org/ 2013/400 (наступний eprint.iacr.org/2013/095 ).

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Джошуа Грохов

-5

Аргумент Сашо спирається на вічну проблему P = NP, щодо якої на сьогодні немає консенсусу.

Однак якщо ми слідуємо за криптоаналізом К. Шеннона одноразового майданчика, розсекреченого в 1947 році, тобто: немає жодного математично захищеного алгоритму шифрування, окрім одного часового майданчика. Його аргумент ґрунтується на ідеї, що якщо у нас справді випадкова послідовність чисел і для деякої послідовності для шифрування, , ми шифруємо так: $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

$f^{-1}(r_i,s_i)$

Ми могли б імітувати результат Шеннона для односторонніх функцій.

$f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

Проблема полягає в тому, що ми не знаємо, чи існують справді випадкові числа, оскільки питання рівнозначне коментарю Ейнштейна щодо "Бог не грає в кубики".

Однак для всіх цілей генератор випадкових чисел, заснований на фізичному процесі, фахівці вважають досить випадковим.

$(c_i,r_i)$

$f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
джерело

5

Результат Шеннона полягає в інформаційно-теоретичній безпеці (де противник має необмежену обчислювальну силу). Про це не задається питання. Питання полягає в питанні про односторонні функції з обчислювальною захищеністю (де супротивник обмежений обчисленнями в многочлени). Отже, аргументи в стилі Шеннона нічого не говорять про існування обчислювально захищених односторонніх функцій.

— DW

Прочитайте визначення односторонньої функції .

— Каве

Кер-І Ко визначає односторонню функцію щодо проблеми P = NP та поліноміального ізоморфізму. Більш конкретно, якщо існують односторонні функції, то думка Кука про повноту NP, тобто ізоморфізм між множинними множинами NP, не виконується. Інтерес позиціонування речей з точки зору ентропії інформації полягає в тому, щоб показати, що клас ізоморфізму математично визначених функцій є безпечним (незворотним) лише тоді, коли можна визначити випадковий набір. Я не впевнений у вкладі Шеннона щодо непереборності та використання виразу "математично захищений".

— mathersjj1

2

cstheory - це не дискусійний форум або особистий блог, це веб-сайт з питань запитання. Ваше повідомлення - це не відповідь на запитання про односторонні функції (як визначено у посиланні). Перегляньте екскурсійно - довідковий центр на предмет роз'яснення сфери застосування теорії.

— Каве

-6

Це було б так просто, як запропонувати, наприклад, функцію Sine?

Оскільки для заданого входу та виходу вхід можна збільшити або зменшити на 360 градусів (або на 2 пі, якщо ви перебуваєте в радіанах), це багато в одному, тож ви ніколи не можете бути впевнені, який саме вхід у вас був?

Скажіть, чи я неправильно зрозумів це питання.

— Аарон Робсон
джерело

4

Перевірте визначення .

— Kaveh

3

Ви змішуєте два поняття: односторонні функції та незворотні функції. Хоча функція Sine незворотна, це не один спосіб. Зокрема, ви завжди можете придумувати преймідж (до тієї точної точності, яка вам подобається), навіть якщо це не саме преймідж.

— MS Dousti

Я бачу, дякую за пояснення розрізнення.

— Аарон Робсон