단방향 함수의 존재에 대한 인수

25

나는 여러 가지 논문에서 단방향 기능 의 존재 가 널리 알려져 있다고 읽었 습니다. 누군가 이것이 왜 그런지를 밝힐 수 있습니까? 단방향 함수의 존재를 지원하기 위해 어떤 주장이 있습니까?

— 익명
소스

1

많은 논문에서 지금까지 일방 함수의 존재가 널리 알려져 있다고 주장하기 때문에 오해의 소지가 있습니다. "일방 기능의 존재는 실제 경험과 현재의 지식 상태와 일치하는 전문가들 사이에서 그럴듯한 가정으로 널리 받아 들여지고있다"는 것이 더 적절하고 균등합니다.

22

단방향 함수를 뒤집기 어려워 야한다는 주장이 있습니다. 해결하기 어려운 심은 솔루션에 3-SAT 문제가 있다고 가정합니다. 다음 맵을 고려하십시오.

(엑스, 아르 자형) \to 에스

$(x, r) \rightarrow s$

여기서 는 임의의 비트 열, 은 비트 열 (임의의 숫자 생성기를 시드하기 위해 사용할 수 있거나 필요한만큼의 임의의 비트를 요청할 수 있음)이고 는 를 갖는 -SAT 문제입니다. 난수 생성기가 선택한 SAT 문제를 정확하게 결정하는 심은 솔루션 입니다. 이 단방향 기능을 반전 시키려면 심은 솔루션 으로 -SAT 문제 를 해결해야합니다 . $x$ $r$ $s$ $k$ $x$ $k$ $k$

이 주장은 일방 함수를 뒤집는 것은 심은 솔루션으로 -SAT 문제를 해결하는 것만 큼 어렵다는 것을 보여줍니다 . 그리고 이후 어떤 NP 문제에 대한 심어 솔루션 하드 인스턴스를 생성하는 방법을 알아낼 수 있습니다, 당신이 솔루션을 심을 수있는 경우 -sat, NP에 완성 문제 -sat 수식을. $k$ $k$ $k$

임의의 NP- 완전 문제만큼 어려운 심은 솔루션으로 NP- 완전 문제 클래스를 만들 수 있다는 것이 입증되지 않았습니다. 그러나 사람들은 현재 아무도 해결 방법을 모르는 방식으로 SAT 문제에 솔루션을 심는 방법을 확실히 알고 있습니다. $k$

ADDED : 나는이 연결이 Abadi, Allender, Broder, Feigenbaum 및 Hemachandra 에서 이미 (더 자세하게) 제공되었다는 것을 알고 있습니다 . 그들은 단방향 함수가 SAT의 어려운 하드 인스턴스를 제공 할 수 있으며 그 반대도 가능하다고 지적합니다.

좀 더 비공식적 인 언어로 말하면, 단방향 기능이 존재하지 않으면 실제로 어려운 퍼즐이 존재할 수 없다는 것을 알 수 있습니다. 누군가 퍼즐과 그 솔루션을 알고리즘 적으로 만들 수있는 퍼즐 유형이 있다면 퍼즐에 대한 솔루션을 찾기위한 다항식 시간 알고리즘도 있습니다. 이것은 나에게 매우 직관적이지 않습니다. 물론, 다항식 갭이 존재할 수 있습니다. 퍼즐을 만드는 데 단계가 걸리면 해결에 단계 가 필요할 수 있습니다 . 그러나 내 직감에 따르면 초다 항적 차이가 있어야합니다. $n$ $O(n^3)$

— 피터 쇼어
소스

1

이것은 많은 노력에도 불구하고 현재 해결 방법을 아무도 모르는 일부 문제에 의존한다는 점에서 Sadeq와 궁극적으로 같은 주장이 아닙니까?

— 이토 쓰요시

2

@Sadeq :이 인수에 필요한 모든 랜덤 비트를 알고리즘에 제공 할 수 있습니다. 실제로 PRG가 필요하지 않으며 암호화 적으로 강력하지 않습니다.

— 피터 쇼어

6

@ 츠요시 : 심은 솔루션으로 NP 문제의 어려운 경우를 생성하는 것이 팩토링 또는 이산 로그보다 훨씬 일반적이라고 생각합니다. 우선 BQP에있는 것으로 알려져 있지 않습니다.

— 피터 쇼어

3

@ 쓰요시 : 다른 접근법을보고 싶습니다. 불행히도, 나는 하나가 없습니다. 그러나 이것이 의미하는 것은 진정으로 어려운 퍼즐은 존재할 수 없다는 것입니다. 누군가 퍼즐과 그 솔루션을 알고리즘 적으로 생각 해낼 수있는 퍼즐 유형이 있다면, 퍼즐을 푸는 다항식 시간 알고리즘도 있습니다. 이것은 나에게 매우 직관적이지 않습니다.

— 피터 쇼

4

@Tsuyoshi : Peter의 요점은 OWF 후보가 2 ~ 3 명에 불과하지 않다는 것입니다. 후보자들은 매우 풍부하고 거의 사소한 일입니다. 예를 들어 NIST의 SHA-3 경쟁과 관련된 작업을 살펴보면 OWF를 구성하는 것이 "쉬운"것처럼 보이며 사람들은 여전히 매우 엄격한 보안 개념을 충족하는 초고속 OWF를 설계하는 데 관심이 있습니다.

— Timothy Chow

13

나는 간단한 대답을 할 것이다. FACTORING 또는 DISCRETE LOG와 같이 어려운 문제가 존재한다는 것은 이론가들에게 OWF가 존재한다고 믿게 만들었다. 특히, 그들은 1970 년대부터 수십 년 동안 그러한 문제에 대한 효율적인 (확률 적 다항식 시간) 알고리즘을 찾으려고 시도했지만 성공하지 못했습니다. 이 추론은 대부분의 연구원들이 P ≠ NP라고 믿는 이유와 매우 유사합니다.

— MS 두티
소스

그 믿음에 대해 마음에 들지 않는 점은 두 가지 문제가 모두 BQP에 있다는 것입니다. 실제로 일방적이고 양자 컴퓨터가 실용적 인 것으로 판명되면 일방 함수의 정의가 변경되어야합니다 (양자 폴리 저항) 무작위 대신에 적 대적). 그런 의미에서 강력한 일방 통행 기능에 대한 후보를 알고 있습니까? Razborov-Rudich를 이론으로 가정하는 강력한 일방 함수의 후보가 있습니까?

— Diego de Estrada

1

: 내 첫 번째 질문에 대한 답변 dx.doi.org/10.1016/j.tcs.2007.03.013

— 디에고 드 에스트라다

3

즉, 아직 아무도 이러한 문제를 해결하지 않았다는 것 외에는 이에 대한 논쟁이 없습니다. 바로 이번 주 논쟁입니다. 같은 선을 따라 아직 해결하지 못한 것의 경도를 믿습니다. 우리는 널리 그 인수 분해는하지 않을 생각입니다 말할 수 있습니다

하지만 난 그것을 주장하는 사람을 보지 못했어요. OWF의 존재를 널리 믿는 다른 이유가 있어야합니다. P 대 NP 와의 비교 는 불공평합니다. 자연적으로 동등한 NP-complete 문제가 많이 있습니다.

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— Anonymous

10

단방향 함수가 존재하는 이유에 대해 아직 뒤집는 방법을 모르는 함수를 아는 것보다 더 나은 주장이 있어야합니다. 나는 하나를 생각 해낼 수 있는지 볼 것이다.

— 피터 쇼

1

@Anonymous : 다시는 "널리 그 인수가 아닌 [원문] 생각

: 당신은 이산 로그의 최근 개선 사항을 확인 할 수" eprint.iacr.org/ 2013/400 ( eprint.iacr.org/2013/095에 따름 ).

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Joshua Grochow

-5

사쇼의 주장은 현재 합의가 존재하지 않는 영원한 P = NP 문제에 의존한다.

그러나 1947 년에 분류되지 않은 C. Shannon의 일회용 패드 암호화 분석을 따르면, 즉, 일회용 패드 이외의 수학적으로 안전한 암호화 알고리즘이 없습니다. 그의 주장은 우리가 숫자의 진정한 임의의 순서가있는 경우, 그 아이디어를 기반으로 , 및 암호화에 일부 시퀀스 은 다음과 같이 암호화합니다. $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

순서가 진정으로 임의의 경우, 우리가 계산하려고 할 그 결과는 모든 순서가 동일 확률 있다는 것이다. $f^{-1}(r_i,s_i)$

단방향 함수에 대한 Shannon의 결과를 모방 할 수 있습니다.

기능은지도이다 및 역함수는지도이다 . $f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

문제는 "하나님은 오지 않습니다"라는 아인슈타인의 의견과 동일하므로 실제로 임의의 숫자가 있는지 알 수 없다는 것입니다.

그러나 모든 목적을 위해 물리적 프로세스를 기반으로 한 난수 생성기는 전문가가 충분히 임의의 것으로 간주합니다.

이것은 우리가 반대하려고하는 순간, 말했다 난수가 더 이상 비밀이있다, 없다, 반전은 간단하다. $(c_i,r_i)$

또한이 단방향 함수에는 충돌 방지와 같은 대부분의 암호화 보안 해싱 함수의 멋진 속성이 없습니다. 또한, 우리는이 상황이 . 이는 동일한 값 가 두 개의 다른 값으로 해시 됨을 의미 합니다. 그리고 일반적이다. $f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
소스

5

Shannon의 결과는 정보 이론적 보안에 관한 것입니다. 그것은 질문이 요구하는 것이 아닙니다. 문제는 계산 보안 기능이있는 단방향 함수에 대한 질문입니다 (적대자는 다항식 계산으로 제한됨). 결과적으로 Shannon 스타일의 인수는 계산적으로 안전한 단방향 함수가 있는지 여부에 대해서는 아무 말도하지 않습니다.

— DW

단방향 함수 정의를 읽으십시오 .

— Kaveh

Ker-I Ko는 P = NP 문제 및 다항 동 형사상과 관련하여 단방향 함수를 정의합니다. 보다 구체적으로, 단방향 함수가 존재하는 경우 NP- 완전성, 즉 NP- 완전 세트 사이의 동형에 대한 Cook의 추측은 유지되지 않습니다. 정보 엔트로피 관점에서 사물을 배치하는 목적은 수학적으로 정의 할 수있는 함수의 동 형사상 클래스가 임의의 세트를 정의 할 수있는 경우에만 보안 (돌이킬 수 없음)임을 보여주는 것입니다. 난 난도에 대한 Shannon의 입력과 "수학적으로 안전한"표현의 사용에 대해 확신이 없습니다.

— mathersjj1

2

cstheory는 토론 포럼이나 개인 블로그가 아니며 Q & A 사이트입니다. 귀하의 게시물은 링크에 정의 된 단방향 기능에 대한 질문에 대한 답변이 아닙니다. cstheory의 범위에 대한 설명은 둘러보기 및 도움말 센터 를 확인하십시오 .

— Kaveh

-6

예를 들어 사인 기능을 제안하는 것만 큼 쉬울까요?

주어진 입력 및 출력에 대해 입력을 360 도로 늘리거나 줄일 수 있기 때문에 (또는 라디안 인 경우 2pi) 다 대일이므로 어떤 입력을 받았는지 확신 할 수 없습니까?

그래도 질문을 오해했는지 말해주십시오.

— 아론 롭슨
소스

4

정의를 확인 하십시오 .

— Kaveh

3

단방향 함수와 돌이킬 수없는 함수라는 두 가지 개념을 혼합하고 있습니다. 사인 함수는 되돌릴 수 없지만 한 가지 방법은 아닙니다. 특히, 당신은 항상 가지고 올 수 이없는 경우에도 (당신이 원하는대로 정밀도) 프리 이미지 프리 이미지.

— MS Dousti

구별을 설명해 주셔서 감사합니다.

— Aaron Robson