트랩 도어가없는 일방향 순열

한마디로 : 단방향 순열 이 있다고 가정하면 트랩 도어가없는 것을 만들 수 있습니까?

더 많은 정보:

단방향 순열은 순열입니다 $\pi$ 계산하기는 쉽지만 반전하기는 어렵습니다 ( 보다 공식적인 정의는 단방향 기능 태그 위키 참조). 우리는 보통 일방향 순열의 패밀리 를 고려합니다 . $\pi = \{\pi_n\}_{n \in \mathbb{N}}$ , 여기서 각각 $\pi_n$ 유한 도메인 에 작용하는 단방향 순열입니다. $D_n$ . 트랩 도어 트랩 도어 세트가 존재한다는 점을 제외 일방향 순열은 상기와 같이 정의된다 $\{t_n\}_{n \in \mathbb{N}}$ 폴리-시간 반전 알고리즘 $I$ 모든 사람을 위해 $n$ , $|t_n| \le {\rm poly}(n)$ , $I$ 뒤집을 수있다 $\pi_n$ 그것이 주어진다면 $t_n$ .

나는 너무 발생하는 단방향 순열 알고 불가능 (아직 비밀 통로가 존재)이 비밀 통로를 찾을 수 있습니다. RSA 가정을 기반으로 한 예가 여기 에 제공 됩니다 . 질문은 ~이야,

트랩 도어 (세트) 가없는 단방향 순열이 있습니까 (가족 ) 있습니까?

편집 : (더 공식화)

단방향 순열이 있다고 가정합니다. $\pi$ (무한한) 도메인으로 $D \subseteq \{0,1\}^*$ . 즉, 확률 다항식 시간 알고리즘이 있습니다 $\mathcal{D}$ (입력시 $1^n$ , 일부 배포를 유도합니다 $D_n=\\{0,1\\}^n \cap D$ ), 다항식 적 대적 $\mathcal{A}$ , 어떤 $c>0$ 충분히 큰 정수 $n$ :

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(확률은 및 의 내부 코인 토스로 인계 됩니다.) $\mathcal{D}$ $\mathcal{A}$

문제는 우리가 단방향 순열 구성 할 수 있는지 여부 입니다. 여기에는 확률 적 다항식 시간 알고리즘 이 있으므로 모든 폴리 크기 회로 군에 대해 , 및 충분히 큰 정수 : $\pi'$ $\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$ $c>0$ $n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(확률은 내부 동전 던지기 통해 촬영 때문에, 결정적이다.) $\mathcal{D}'$ $\mathcal{A}'$

cr.crypto-security one-way-function

— MS 두티
소스

다항식 조언이 주어 졌더라도 일방적으로 유지되는 OWP를 원하는 것처럼 들립니다. 그건 그렇고, 우리는 일반적으로 OWP 제품군을 정의하지 않습니다-Goldreich Vol 1, defs 2.4.4 및 2.4.5를 참조하십시오.

— David Cash

@David : 네, 그것이 일반적인 정의는 아니라는 것을 알고 있지만, 공식적인 정의 (Goldreich의 책에 나오는 것)가이 토론에 너무 길다고 느꼈습니다.

— MS Dousti 2016

@Sadeq : 충분하지만 정의의 변화가 여기에서 중요하다고 생각합니다. 가치있는 것을 위해, 나는 전에 비슷한 유형의 보안 (트랩 도어 없음)에 대해 생각해 보았습니다. 역전 실험 전에 가족 지수의 무제한 처리가 조언을하도록하는 것이 좋은 정의 인 것처럼 보였다.

— David Cash

@David : 편집 된 부분이 추가 형식화가 필요한지 확인하십시오.

— MS Dousti

@Sadeq : 트랩 도어 단방향 순열이 단방향 순열에 의해 암시되는지 여부를 결정하는 것 . Impagliazzo와 Rudich ( cseweb.ucsd.edu/~russell/secret.ps )는 블랙 박스 기술 로는 이를 달성 할 수 없으며 현재 기술은 분리를 우회하는 것으로 알려져 있지 않습니다.

— Alon Rosen

답변:

다음과 같은 경우를 고려하십시오.

1) 일방향 순열 (OWP)은 존재하지만 트랩 도어 순열 (TDP)은 존재하지 않습니다 (즉, 우리는 Impagliazzo의 " minicrypt "세계 의 변형에 있습니다). 이 경우 존재한다고 보장되는 OWP를 가져 오면 트랩 도어가 없다는 것을 알 수 있습니다.

2) OWP와 TDP가 모두 존재합니다. 여기에는 두 가지 옵션이 있습니다.

(a) 모든 OWP에는 키 트랩 생성 알고리즘 G가 있으며, 이는 함수의 "공개"설명 f와 샘플링 된 트랩 도어 t를 출력합니다. 이 경우 f 만 출력하는 수정 된 키 생성을 고려하십시오. 이것은 당신에게 OWP를 제공하며, 더 나아가 f를 제공하는 것이 불가능합니다 (그렇지 않으면 당신은 f를 뒤집는 효율적인 방법이 있습니다). 이것은 균일하지 않은 변형에도 적용됩니다.

(b) 임의의 x에 대해 f (x)의 반전을 가능하게하는 알고리즘 G가 f와 t를 모두 출력 할 수 없도록하는 OWP f가 존재한다. 이 경우 f는 트랩 도어가없는 OWP입니다.

위의 스레드에있는 의견 중 하나는 실제로 OWP의 존재가 TDP의 존재를 암시하는 것으로 알려져 있는지 여부를 질문하는 것으로 보입니다. 이것은 wrt 블랙 박스 구조 / 축소를 유지하지 않는 것으로 나타 났 으며 일반적으로 열려 있습니다 (위의 스레드에서 내 의견 참조).

— 알론 로젠
소스

+1 감사합니다. 다윗은 대답에 많은 노력을 기울였으며 나는 그에게 매우 감사합니다. 그러나 이것은 내가 생각한 것에 대한 대답입니다.

— MS Dousti

나는 그 질문이 : (a) 가능하다고 생각했다. 암호로 모든 OWP에 트랩 도어가 있으면 트랩 도어를 알지 못하도록 OWP를 제공하는 사람을 신뢰할 수 없습니다. 물론, 자신의 OWP를 가져 와서 자신 만의 OWP로 구성 할 수 있습니다. 자신 만의 OWP를 사용하면 트랩 도어를 알 수 있고 단일 당사자가 트랩 도어를 모르는 OWP를 얻을 수 있습니다.

— Peter Shor

@ 피터 : 예. 작곡이 그 일을하는 것 같습니다. 또 다른 옵션은 명백한 전달을 사용하는 것입니다 ((a)가있는 경우 존재하는 것으로 알려짐-모듈로 일부 작은 하위 요소). OT를 사용하여 플레이어는 안전한 2 자 계산 프로토콜을 구성 할 수 있으며,이 중 하나는 트랩 도어를 배우지 않고도 배우고 다른 하나는 배우지 않아도됩니다. 그러나 솔루션은 실제로 더 간단합니다.

— Alon Rosen

나는 일반적인 가정으로부터의 구성에 대해서는 모른다. 그러나 이산 로그 모듈로를 소수 로 사용하여 "트랩 도어없이 일방향 순열"에 대한 그럴듯한 후보를 얻을 수있다 . 즉, 를 기본 루트 모듈로 로 설정하고 . 그런 다음 는 과 사이의 정수에 대한 순열 이며 일반적으로 단방향이라고 가정합니다. "트랩 도어 없음"부분의 경우, 이것이 의미하는 바를 정확하게 정의해야한다고 생각하지만, 아는 한, 반전을 가능하게하는 방법을 설정할 방법이 없습니다. (만약 우리가 암호화를 사용한다면 모든 종류의 멋진 (긍정적 인) 응용 프로그램을 갖게 될 것입니다!) $p$ $g$ $p$ $\pi(x) = g^x\!\mod p$ $\pi$ $1$ $p-1$

— 데이비드 현금
소스

+1. 답변 해주셔서 감사합니다. 당신은 불균일 한 적들에 대한 불연속 로그의 경도를 가정하고 있습니다. 내 질문은 : 단방향 순열의 단순한 존재를 가정하면 함정이없는 것을 만들 수 있습니까?

— MS Dousti 2016

@Sadeq : 단방향 순열의 존재가 P = NP 이후 이산 로그의 경도를 의미하지 않습니까?

— Mohammad Alaggan

@Alaggan : 그렇게 생각하지 않습니다. 단방향 순열이있는 경우가있을 수 있지만 누군가가 이산 로그를 반전시키는 효율적인 알고리즘을 생각해냅니다.

— MS Dousti

@Sadeq : P = BQP! = NP 인 경우입니다.

— Mohammad Alaggan

@Sadeq : 맞습니까 아니면 잘못 알았습니까?

— Mohammad Alaggan