การเปลี่ยนสับเปลี่ยนทางเดียวโดยไม่ต้อง Trapdoor

ในระยะสั้น:สมมติว่ามีการเปลี่ยนสับเปลี่ยนทางเดียวเราสามารถสร้างสิ่งที่ไม่มีกับดักได้หรือไม่?

ข้อมูลเพิ่มเติม:

การเปลี่ยนแปลงทางเดียวคือการเปลี่ยนแปลงซึ่งง่ายต่อการคำนวณ แต่ยากที่จะกลับ (ให้ดูที่วิกิพีเดียแท็กทางเดียวฟังก์ชั่นสำหรับคำนิยามที่เป็นทางการมากขึ้น) เรามักจะพิจารณาครอบครัวของทางเดียวการเปลี่ยนแปลง,ซึ่งแต่ละคือการเปลี่ยนแปลงทางเดียวที่ทำหน้าที่ในขอบเขตโดเมนD_nการเปลี่ยนแปลงทางกลทางเดียวกับดักประตูถูกกำหนดไว้ด้านบนยกเว้นว่ามีชุดดักจับและอัลกอริธึมกลับโพลี - เวลาเช่นนั้นสำหรับ ,และ $\pi$ $\pi = \{\pi_n\}_{n \in \mathbb{N}}$ $\pi_n$ $D_n$ $\{t_n\}_{n \in \mathbb{N}}$ $I$ $n$ $|t_n| \le {\rm poly}(n)$ $I$ สามารถกลับให้ว่ามันจะได้รับt_n $\pi_n$ $t_n$

ฉันรู้วิธีเรียงสับเปลี่ยนแบบทางเดียวซึ่งสร้างขึ้นเพื่อที่จะไม่สามารถหาประตูกล (ยังมีประตูกล) ตัวอย่างขึ้นอยู่กับอาร์เอส-สมมติฐานจะได้รับที่นี่ คำถามคือ,

มีการเปลี่ยนแปลงทางเดียวแบบทางเดียวซึ่งไม่มีกับดัก (ชุด) หรือไม่?

แก้ไข: (การทำให้เป็นระเบียบมากขึ้น)

สมมติมีอยู่บางส่วนทางเดียวการเปลี่ยนแปลงกับ (อนันต์) โดเมน * นั่นคือมีความน่าจะเป็นพหุนามอัลกอริธึม - เวลา (ซึ่งอยู่ที่อินพุตทำให้เกิดการกระจายไปทั่ว ) เช่นนั้น พหุนาม - เวลาใด ๆ ,ใด ๆและมีจำนวนเต็ม : $\pi$ $D \subseteq \{0,1\}^*$ $\mathcal{D}$ $1^n$ $D_n=\\{0,1\\}^n \cap D$ $\mathcal{A}$ $c>0$ $n$

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(ความน่าจะเป็นนำไปสู่การโยนเหรียญภายใน $\mathcal{D}$ และ $\mathcal{A}$ )

คำถามคือว่าเราสามารถสร้างการเปลี่ยนรูปทางเดียวซึ่งมีอัลกอริธึมแบบพหุนามแบบคงที่เวลานั้นสำหรับครอบครัวโพลีที่มีขนาดวงจร ,ใด ๆและจำนวนเต็มขนาดใหญ่เพียงพอ : $\pi'$ $\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$ $c>0$ $n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(ความน่าจะเป็นนำไปสู่การโยนเหรียญภายในเนื่องจากเป็นสิ่งที่กำหนดขึ้นแล้ว) $\mathcal{D}'$ $\mathcal{A}'$

cr.crypto-security one-way-function

— MS Dousti
แหล่งที่มา

ดูเหมือนว่าคุณต้องการ OWP ที่ยังคงเป็นทางเดียวแม้ว่าจะได้รับคำแนะนำพหุนาม โดยทั่วไปเราไม่ได้นิยามครอบครัวของ OWP แบบนั้น - ดู Goldreich Vol 1, defs 2.4.4 และ 2.4.5

— David Cash

@ David: ใช่ฉันรู้ว่ามันไม่ใช่คำจำกัดความปกติ แต่ฉันรู้สึกว่าคำจำกัดความที่เป็นทางการ (คำที่ปรากฏในหนังสือของ Goldreich) นั้นยาวเกินไปสำหรับการสนทนานี้

— MS Dousti

@Sadeq: ยุติธรรมเพียงพอ แต่ฉันคิดว่าการเปลี่ยนแปลงคำจำกัดความจะมีนัยสำคัญที่นี่ สำหรับสิ่งที่คุ้มค่าฉันได้ลองนึกถึงการรักษาความปลอดภัยแบบเดียวกัน (ไม่มีกับดัก) ก่อนหน้านี้ ดูเหมือนว่าคำจำกัดความที่ดีจะช่วยให้การประมวลผลดัชนีครอบครัวสามารถให้คำแนะนำก่อนการทดสอบแบบผกผันได้

— David Cash

@David: ดูว่าส่วนที่แก้ไขนั้นตรงกับความต้องการในการทำให้เป็นทางการเพิ่มเติมหรือไม่

— MS Dousti

@Sadeq: การพิจารณาว่าการเรียงสับเปลี่ยนแบบทางเดียวโดยนัยเป็นการเปลี่ยนแปลงแบบทางเดียวหรือไม่ (แม้ว่ามันจะไม่ชัดเจนว่าสิ่งหลังหมายถึงเพราะพวกเขาทั้งสองมีอยู่) เป็นหนึ่งในปัญหาเปิดที่ใหญ่ที่สุดในทฤษฎีการเข้ารหัส . Impagliazzo และ Rudich ( cseweb.ucsd.edu/~russell/secret.ps ) พิสูจน์ว่าสิ่งนี้ไม่สามารถทำได้โดยใช้เทคนิคกล่องดำและเทคนิคในปัจจุบันไม่เป็นที่รู้จักที่จะหลีกเลี่ยงการแยก

— Alon Rosen

คำตอบ:

พิจารณากรณีต่อไปนี้:

1) การเรียงสับเปลี่ยนแบบทางเดียว (OWP) มีอยู่ แต่การเปลี่ยนรูปแบบทางกล (TDP) ไม่ได้ (นั่นคือเราอยู่ในโลกของ " minicrypt " ของImpagliazzo ) ในกรณีนี้คุณเพียงแค่ใช้ OWP ที่รับประกันว่ามีอยู่และคุณรู้ว่ามันไม่มีกับดัก

2) มีทั้ง OWP และ TDP ที่นี่คุณมีสองตัวเลือก:

(a) OWP ทุกตัวมีอัลกอริธึมการสร้างคีย์ G ที่ส่งออกคำอธิบาย "สาธารณะ" ของฟังก์ชั่น f พร้อมกับประตูกลตัวอย่าง ในกรณีนี้ให้พิจารณาการสร้างคีย์ที่แก้ไขแล้วซึ่งจะให้ผลลัพธ์เฉพาะ f สิ่งนี้จะช่วยให้คุณ OWP และยิ่งไปกว่านั้นมันเป็นไปไม่ได้ที่จะหา f ที่กำหนด (มิฉะนั้นคุณมีวิธีที่มีประสิทธิภาพในการสลับ f) นี่ควรจะเป็นตัวแปรที่ไม่เหมือนกันด้วย

(b) มี OWP f อยู่เช่นนั้นซึ่งไม่มีอัลกอริทึม G สามารถส่งออกทั้ง f และ t ดังนั้น t จึงเปิดใช้งานการผกผันของ f (x) สำหรับการสุ่ม x ในกรณีนี้ f เป็น OWP ที่ไม่มีกับดัก

หนึ่งในความคิดเห็นในเธรดข้างต้นดูเหมือนจะแนะนำว่าคำถามของคุณเป็นจริงหรือไม่ว่าการมีอยู่ของ OWP นั้นบ่งบอกถึงการมีอยู่ของ TDP หรือไม่ สิ่งนี้แสดงว่าไม่ถือการสร้าง / ลดกล่องดำ wrt และลดลงและเปิดโดยทั่วไป (ดูความคิดเห็นของฉันในเธรดด้านบน)

— อลอนโรเซ็น
แหล่งที่มา

+1 ขอบคุณ ดาวิดใช้ความพยายามอย่างมากในการตอบคำถามและฉันรู้สึกขอบคุณเขามาก แต่นี้เป็นคำตอบกับสิ่งที่ฉันมีในใจ

— MS Dousti

ฉันคิดว่าคำถามคือ: เป็นไปได้ (a) การเข้ารหัสลับหาก OWP ทุกเครื่องมีประตูกลคุณจะไม่สามารถไว้ใจใครสักคนที่ให้ OWP กับคุณไม่ให้รู้จักกับประตูกล แน่นอนคุณสามารถใช้ OWP ของเขาและเขียนมันด้วย OWP ของคุณเองซึ่งคุณเท่านั้นที่รู้ว่ากับประตูกลและรับ OWP ซึ่งไม่มีฝ่ายใดฝ่ายหนึ่งที่รู้จักกับประตูกล

— Peter Shor

@Peter: ใช่ ดูเหมือนว่าองค์ประกอบจะทำงาน อีกทางเลือกหนึ่งคือใช้การถ่ายโอนแบบลืมเลือน (ซึ่งหาก (ก) ถือเป็นที่รู้กันว่ามีอยู่ - modulo บางส่วนย่อยขนาดเล็ก) เมื่อใช้ OT ผู้เล่นสามารถสร้างโพรโทคอลการคำนวณของบุคคลที่ 2 ที่ปลอดภัยซึ่งจะช่วยให้หนึ่งในพวกเขาเรียนรู้ f โดยไม่ต้องเรียนรู้กับช่องโหว่และอื่น ๆ ที่จะไม่เรียนรู้อะไรเลย แต่ทางออกของคุณง่ายกว่าจริงๆ

— Alon Rosen

ผมไม่ทราบว่าเกี่ยวกับการก่อสร้างจากสมมติฐานทั่วไป แต่คุณจะได้รับผู้สมัครที่เป็นไปได้สำหรับ "ทางเดียวการเปลี่ยนแปลงโดยไม่ต้องประตูกลเป็น" โดยใช้บันทึกต่อเนื่องแบบโมดูโลนายกพีนั่นคือให้เป็นรากดั้งเดิมแบบโมดูโลและกำหนดP จากนั้นคือการเปลี่ยนแปลงของจำนวนเต็มระหว่างถึงและโดยทั่วไปจะถือว่าเป็นทางเดียว สำหรับส่วน "ไม่มีกับดัก" ฉันคิดว่าคุณจำเป็นต้องกำหนดสิ่งที่หมายถึง แต่เท่าที่ฉันรู้เราไม่มีวิธีตั้งค่าสิ่งต่าง ๆ เพื่อเปิดใช้งานการผกผัน (ถ้าเราทำเช่นนั้นมันจะมีแอปพลิเคชั่นดีๆ (บวก) ทุกประเภทในการเข้ารหัส!) $p$ $g$ $p$ $\pi(x) = g^x\!\mod p$ $\pi$ $1$ $p-1$

— เดวิดแคช
แหล่งที่มา

+1 ขอบคุณสำหรับคำตอบ. คุณกำลังสมมติว่ามีความแข็งของบันทึกที่ไม่ต่อเนื่องกับฝ่ายตรงข้ามที่ไม่เหมือนกัน คำถามของฉันคือสมมติว่าการมีอยู่ของการเรียงสับเปลี่ยนทางเดียวเราสามารถสร้างสิ่งที่ไม่มีกับดักได้หรือไม่?

— MS Dousti

@Sadeq: การมีพีชคณิตแบบทางเดียวไม่ได้บ่งบอกถึงความแข็งของล็อกแบบแยกเนื่องจาก P = NP ใช่ไหม?

— Mohammad Alaggan

@Alaggan: ฉันไม่คิดอย่างนั้น อาจเป็นกรณีที่มีวิธีเรียงสับเปลี่ยนแบบทางเดียว แต่มีบางคนมาพร้อมกับอัลกอริทึมที่มีประสิทธิภาพสำหรับการย้อนกลับบันทึกที่ไม่ต่อเนื่อง

— MS Dousti

@Sadeq: นั่นคือถ้า P = BQP! = NP

— Mohammad Alaggan

@Sadeq: ถูกต้องหรือว่าฉันคิดผิด

— Mohammad Alaggan