อาร์กิวเมนต์สำหรับการมีอยู่ของฟังก์ชันทางเดียว

25

ฉันได้อ่านในเอกสารหลายฉบับว่ามีฟังก์ชั่นทางเดียวที่เชื่อกันอย่างกว้างขวาง ใครบางคนให้ความกระจ่างเกี่ยวกับสาเหตุที่เป็นเช่นนี้? เรามีข้อโต้แย้งอะไรในการสนับสนุนการดำรงอยู่ของฟังก์ชั่นทางเดียว?

— ไม่ระบุชื่อ
แหล่งที่มา

1

ฉันพบว่ามันค่อนข้างทำให้เข้าใจผิดว่าเอกสารจำนวนมากระบุว่าการมีฟังก์ชั่นทางเดียวเป็นที่เชื่อกันอย่างกว้างขวางมาตั้งแต่เรายังไม่มีข้อโต้แย้งที่แข็งแกร่งสำหรับการดำรงอยู่ของพวกเขา การเขียน "การดำรงอยู่ของฟังก์ชั่นทางเดียวได้รับการยอมรับอย่างกว้างขวางว่าเป็นข้อสันนิษฐานที่น่าเชื่อถือในหมู่ผู้เชี่ยวชาญซึ่งสอดคล้องกับประสบการณ์ของเราในทางปฏิบัติและสถานะของความรู้ในปัจจุบัน" มีความเหมาะสมและเป็นไปได้มากกว่า

22

นี่เป็นข้อโต้แย้งว่าฟังก์ชั่นทางเดียวน่าจะยากที่จะกลับด้าน สมมติว่ามีคลาสของปัญหา 3-SAT พร้อมวิธีแก้ปัญหาที่ปลูกยากที่จะแก้ปัญหา พิจารณาแผนที่ต่อไปนี้:

(x, r) \to s

$(x, r) \rightarrow s$

โดยที่คือสตริงบิตใด ๆคือสตริงของบิต (คุณสามารถใช้สิ่งเหล่านี้เพื่อสร้างตัวสร้างตัวเลขสุ่มหรือคุณสามารถขอบิตสุ่มได้มากเท่าที่คุณต้องการ) และเป็นปัญหา -SAT ที่มีเป็น โซลูชันที่ถูกฝังซึ่งตัวสร้างตัวเลขแบบสุ่มจะกำหนดปัญหา -SAT ที่คุณเลือกอย่างแน่นอน ในการสลับฟังก์ชันทางเดียวนี้คุณต้องแก้ปัญหา -SAT ด้วยโซลูชันที่ปลูก $x$ $r$ $s$ $k$ $x$ $k$ $k$

อาร์กิวเมนต์นี้แสดงให้เห็นว่าการย้อนกลับของฟังก์ชันทางเดียวนั้นยากพอ ๆ กับการแก้ปัญหา -SAT ด้วยวิธีแก้ปัญหาที่ปลูก และเนื่องจาก -SAT เป็นปัญหาที่ทำให้เกิดปัญหาสมบูรณ์ถ้าคุณสามารถหาวิธีสร้างอินสแตนซ์ที่หนักหน่วงด้วยวิธีการแก้ปัญหาที่ปลูกไว้สำหรับปัญหา NP ปัญหาใด ๆ คุณสามารถสร้างโซลูชันในสูตร -SAT ได้ $k$ $k$ $k$

ยังไม่ได้รับการพิสูจน์ว่าเป็นไปได้ที่จะเกิดปัญหาระดับ NP ที่สมบูรณ์ด้วยโซลูชันที่ปลูกซึ่งยากพอ ๆ กับปัญหาที่สมบูรณ์แบบตามอำเภอใจโดยสมบูรณ์ (และแม้ว่านี่จะเป็นจริงมันก็ยากที่จะพิสูจน์อย่างไม่น่าเชื่อ) แต่ผู้คนรู้วิธีแก้ปัญหา -SAT แน่นอนว่าไม่มีใครรู้วิธีแก้ปัญหาในปัจจุบัน $k$

เพิ่ม: ตอนนี้ฉันตระหนักว่าการเชื่อมต่อนี้ได้รับแล้ว (รายละเอียดเพิ่มเติม) ในAbadi, Allender, Broder, Feigenbaum และ Hemachandra ; พวกเขาชี้ให้เห็นว่าฟังก์ชั่นทางเดียวสามารถให้อินสแตนซ์ที่แก้ไขได้ยากของ SAT และกลับกัน

ฟังก์ชั่นแบบทางเดียวที่ไม่มีอยู่แสดงให้เห็นว่าปริศนาที่ยากอย่างแท้จริงไม่สามารถมีอยู่ได้ หากมีประเภทของปริศนาที่บางคนสามารถเกิดขึ้นกับทั้งปริศนาและวิธีแก้ปัญหาของอัลกอริทึมแล้วก็ยังมีอัลกอริทึมเวลาพหุนามในการหาวิธีการแก้ปริศนา ดูเหมือนว่าฉันจะตอบโต้ได้ง่ายมาก แน่นอนว่ามีช่องว่างพหุนาม อาจเป็นกรณีที่หากการสร้างตัวต่อใช้ขั้นตอนขั้นตอนการแก้ไขอาจใช้ขั้นตอนอย่างไรก็ตามสัญชาตญาณของฉันบอกว่าควรมีช่องว่าง superpolynomial $n$ $O(n^3)$

— ปีเตอร์แคระ
แหล่งที่มา

1

ท้ายที่สุดแล้วสิ่งนี้เป็นข้อโต้แย้งเดียวกับของ Sadeq หรือไม่ในแง่ที่ว่าทั้งสองพึ่งพาปัญหาบางอย่างที่ไม่มีใครรู้วิธีแก้ปัญหาทั้งๆที่มีความพยายามมากมาย?

— Tsuyoshi Ito

2

@Sadeq: คุณสามารถให้อัลกอริทึมเป็นหลักบิตสุ่มทั้งหมดที่คุณต้องการสำหรับการโต้แย้งนี้ คุณไม่จำเป็นต้องใช้ PRG จริง ๆ และไม่ใช่ผู้ที่แข็งแกร่งในการเข้ารหัส

— Peter Shor

6

@ ซึโยชิ: ฉันคิดว่าการสร้างกรณียาก ๆ ของปัญหา NP ด้วยวิธีแก้ปัญหาที่ปลูกนั้นค่อนข้างทั่วไปกว่าแฟคตอริ่งหรือแยกกันอยู่บ้าง สำหรับสิ่งหนึ่งไม่มีใครรู้ว่าอยู่ใน BQP

— Peter Shor

3

@ Tsuyoshi: ฉันชอบที่จะเห็นวิธีการที่แตกต่างกัน น่าเสียดายที่ฉันไม่มี แต่สิ่งนี้หมายความว่าปริศนาที่ยากอย่างแท้จริงไม่สามารถอยู่ได้; หากมีประเภทของปริศนาที่บางคนสามารถเกิดขึ้นกับปริศนาและวิธีการแก้ปัญหาของอัลกอริทึมก็ยังมีอัลกอริทึมพหุนามเวลาสำหรับการแก้ปริศนา ดูเหมือนว่าฉันจะตอบโต้ได้ง่ายมาก

— Peter Shor

4

@ ทซึโยชิ: ฉันคิดว่าประเด็นของปีเตอร์ก็คือว่ามีผู้สมัคร OWF เพียงสองหรือสามคนเท่านั้น ผู้สมัครมีความอุดมสมบูรณ์อย่างมากและแทบไม่น่าจะเกิดขึ้นได้ ตัวอย่างเช่นถ้าคุณดูงานโดยรอบการแข่งขัน SHA-3 ของ NIST ดูเหมือนว่า "ง่าย" ในการสร้าง OWF และผู้คนส่วนใหญ่กังวลกับการออกแบบ OWF ที่เร็วมากซึ่งยังคงรักษาความปลอดภัยที่เข้มงวด

— Timothy Chow

13

ฉันจะให้คำตอบสั้น ๆ : การมีอยู่ของปัญหาที่ดูเหมือนยากเช่น FACTORING หรือ DISCRETE LOG ทำให้นักทฤษฎีเชื่อว่า OWF มีอยู่จริง โดยเฉพาะอย่างยิ่งพวกเขาพยายามมานานหลายทศวรรษ (ตั้งแต่ปี 1970) เพื่อค้นหาอัลกอริธึมที่มีความน่าจะเป็น (เวลาน่าจะเป็นพหุนาม) สำหรับปัญหาดังกล่าว เหตุผลนี้คล้ายกันมากกับสาเหตุที่นักวิจัยส่วนใหญ่เชื่อว่า P ≠ NP

— MS Dousti
แหล่งที่มา

สิ่งที่ฉันไม่ชอบเกี่ยวกับความเชื่อนั้นคือปัญหาทั้งสองอยู่ใน BQP ดังนั้นหากพวกเขาเป็นคอมพิวเตอร์ทางเดียวและควอนตัมกลายเป็นจริงแล้วความหมายของฟังก์ชั่นทางเดียวควรเปลี่ยน (เพื่อต่อต้านควอนตัมโพลี ฝ่ายตรงข้ามเวลาแทนที่จะเป็นแบบสุ่ม) คุณรู้จักผู้สมัครที่มีฟังก์ชั่นทางเดียวที่แข็งแกร่งในแง่นั้น มีผู้สมัครประเภทฟังก์ชันแข็งแกร่งทางเดียวที่สมมติว่า Razborov-Rudich ในทฤษฎีบทของพวกเขาหรือไม่?

— Diego de Estrada

1

ตอบคำถามแรกของฉัน: dx.doi.org/10.1016/j.tcs.2007.03.013

— Diego de Estrada

3

นั่นคือเรายังไม่มีข้อโต้แย้งใด ๆ สำหรับเรื่องนี้นอกจากที่ยังไม่มีใครทำให้เกิดปัญหา นั่นเป็นข้อโต้แย้งประจำสัปดาห์ ในบรรทัดเดียวกันเราจะเชื่อในความกระด้างของสิ่งที่เรายังไม่ได้แก้ไข เราสามารถพูดได้ว่าเป็นที่เชื่อกันอย่างกว้างขวางว่าการแยกตัวประกอบไม่ได้อยู่ในแต่ฉันไม่เคยเห็นใครอ้างว่า จะต้องมีเหตุผลอื่นที่เชื่อในการดำรงอยู่ของ OWF การเปรียบเทียบกับP vs NPนั้นไม่ยุติธรรม มีปัญหา NP-Complete ที่เทียบเท่ากันโดยธรรมชาติมากมาย

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— ไม่ระบุชื่อ

10

จะต้องมีข้อโต้แย้งที่ดีกว่าสำหรับสาเหตุที่ฟังก์ชั่นทางเดียวมีอยู่มากกว่าที่เรารู้ว่ากลุ่มของฟังก์ชั่นที่เรายังไม่ทราบวิธีที่จะกลับมา ฉันจะดูว่าฉันสามารถมากับหนึ่ง

— Peter Shor

1

@Anonymous: re: "เชื่ออย่างกว้างขวาง [sic] ว่าการแยกตัวประกอบไม่ได้อยู่ใน " คุณอาจตรวจสอบการปรับปรุงล่าสุดในบันทึกที่ไม่ต่อเนื่อง: eprint.iacr.org/2013/400 (ติดตามeprint.iacr.org/2013/095 )

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Joshua Grochow

-5

การโต้แย้งของ Sasho ขึ้นอยู่กับปัญหานิรันดร์ P = NP ซึ่งปัจจุบันยังไม่มีฉันทามติ

$r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

$f^{-1}(r_i,s_i)$

เราสามารถเลียนแบบผลลัพธ์ของแชนนอนสำหรับฟังก์ชั่นทางเดียว

$f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

สิ่งที่จับได้คือเราไม่รู้ว่ามีตัวเลขสุ่มจริง ๆ หรือไม่เพราะคำถามนั้นเทียบเท่ากับความคิดเห็นของไอน์สไตน์ว่า "พระเจ้าไม่ได้เล่นลูกเต๋า"

อย่างไรก็ตามสำหรับวัตถุประสงค์ทั้งหมดตัวสร้างตัวเลขสุ่มที่ยึดตามกระบวนการทางกายภาพนั้นจะถือว่าเป็นการสุ่มโดยผู้เชี่ยวชาญ

$(c_i,r_i)$

$f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
แหล่งที่มา

5

ผลลัพธ์ของแชนนอนนั้นเกี่ยวกับความปลอดภัยของข้อมูล - ทฤษฎี (ที่ปฏิปักษ์มีอำนาจการคำนวณที่ไม่ จำกัด ) นั่นไม่ใช่สิ่งที่คำถามถาม คำถามคือการถามเกี่ยวกับฟังก์ชั่นทางเดียวกับความปลอดภัยในการคำนวณ (ที่ศัตรูถูก จำกัด การคำนวณพหุนามเวลา) ดังนั้นอาร์กิวเมนต์สไตล์แชนนอนไม่ได้พูดอะไรเกี่ยวกับว่ามีฟังก์ชันทางเดียวที่ปลอดภัยในการคำนวณหรือไม่

— DW

อ่านความหมายของฟังก์ชั่นทางเดียว

— Kaveh

Ker-I Ko กำหนดฟังก์ชันทางเดียวด้วยความเคารพต่อปัญหา P = NP และพหุนาม isomorphism โดยเฉพาะอย่างยิ่งถ้ามีฟังก์ชั่นทางเดียวแล้วการคาดเดาของ Cook เกี่ยวกับความสมบูรณ์แบบของ NP นั้นคือ isomorphism ระหว่างชุด NP-complete ไม่ถือ ความสนใจในการวางสิ่งต่าง ๆ จากมุมมองของข้อมูลข่าวสารคือการแสดงให้เห็นว่าคลาสมอร์ฟของฟังก์ชันทางคณิตศาสตร์ที่นิยามได้นั้นมีความปลอดภัยเท่านั้น (ไม่สามารถย้อนกลับได้) หากสามารถกำหนดเซตแบบสุ่มได้ ฉันไม่แน่ใจว่าอินพุตของแชนนอนเกี่ยวกับความสามารถในการใช้งานได้ยากและการใช้นิพจน์ "ความปลอดภัยทางคณิตศาสตร์"

— mathersjj1

2

cstheory ไม่ใช่ฟอรัมการสนทนาหรือบล็อกส่วนตัวเป็นเว็บไซต์ถาม - ตอบ โพสต์ของคุณไม่ใช่คำตอบสำหรับคำถามที่ถามเกี่ยวกับฟังก์ชั่นทางเดียว (ตามที่กำหนดไว้ในลิงค์) ตรวจสอบทัวร์และศูนย์ช่วยเหลือเพื่อขอคำอธิบายเกี่ยวกับขอบเขตของโรงพยาบาล

— Kaveh

-6

มันจะง่ายเหมือนการแนะนำเช่นฟังก์ชัน Sine หรือไม่?

เนื่องจากอินพุตและเอาต์พุตที่กำหนดสามารถเพิ่มหรือลดอินพุตได้ 360 องศา (หรือ 2 pi ถ้าคุณอยู่ในเรเดียน) มันเป็นแบบตัวต่อตัวคุณจึงไม่แน่ใจว่าอินพุตใดที่คุณมี

บอกฉันหน่อยสิถ้าฉันเข้าใจผิดคำถาม

— แอรอนร็อบสัน
แหล่งที่มา

4

ตรวจสอบความหมาย

— Kaveh

3

คุณกำลังผสมสองแนวคิด: ฟังก์ชันทางเดียวและฟังก์ชันที่ไม่สามารถย้อนกลับได้ ในขณะที่ฟังก์ชัน Sine ไม่สามารถย้อนกลับได้ แต่ก็ไม่ได้เป็นทางเดียว โดยเฉพาะอย่างยิ่งคุณก็สามารถเกิดขึ้นกับpreimage (สิ่งที่มีความแม่นยำที่คุณต้องการ) แม้ว่าจะไม่ได้เป็นpreimage

— MS Dousti

ฉันเห็นขอบคุณที่อธิบายความแตกต่าง

— Aaron Robson