Argumentos para la existencia de funciones unidireccionales

25

He leído en varios artículos que la existencia de funciones unidireccionales se cree ampliamente. ¿Alguien puede arrojar luz sobre por qué este es el caso? ¿Qué argumentos tenemos para apoyar la existencia de funciones unidireccionales?

— Anónimo
fuente

1

Me resulta un tanto engañoso que muchos documentos afirman que la existencia de funciones unidireccionales es ampliamente creída ya que hasta ahora no tenemos ningún argumento sólido para su existencia. Escribir "la existencia de funciones unidireccionales es ampliamente aceptado como una suposición plausible entre los expertos que es consistente con nuestra experiencia en la práctica y el estado actual del conocimiento" es más apropiado e imparcial.

22

Aquí hay un argumento de que las funciones unidireccionales deberían ser difíciles de invertir. Supongamos que hay una clase de problemas 3-SAT con soluciones plantadas que son difíciles de resolver. Considere el siguiente mapa:

(x, r) \to s

$(x, r) \rightarrow s$

donde es cualquier cadena de bits, es una cadena de bits (puede usarlos para generar un generador de números aleatorios, o puede solicitar tantos bits aleatorios como necesite) y es un problema de -SAT que tiene como una solución plantada, donde el generador de números aleatorios determina exactamente qué problema -SAT eliges. Para invertir esta función unidireccional, debe resolver un problema -SAT con una solución plantada. $x$ $r$ $s$ $k$ $x$ $k$ $k$

Este argumento muestra que invertir una función unidireccional es tan difícil como resolver problemas -SAT con soluciones plantadas. Y dado que -SAT es un problema NP-completo, si puede descubrir cómo construir instancias difíciles con soluciones plantadas para cualquier problema NP, puede plantar soluciones en $k$ $k$ $k$ fórmulas -SAT.

No se ha demostrado que sea posible llegar a una clase de problemas NP-completos con soluciones plantadas que son tan difíciles como los problemas arbitrarios NP-complete (e incluso si esto es cierto, será increíblemente difícil de probar) , pero la gente definitivamente sabe cómo plantar soluciones en $k$ problemas -SAT de una manera que nadie sabe cómo resolver.

AGREGADO: ahora me doy cuenta de que esta conexión ya se había dado (con más detalle) en Abadi, Allender, Broder, Feigenbaum y Hemachandra ; Señalan que las funciones unidireccionales pueden dar instancias resueltas de SAT, y viceversa.

Poniéndolo en un lenguaje más informal, la inexistencia de funciones unidireccionales muestra que los rompecabezas realmente difíciles no pueden existir. Si hay un tipo de rompecabezas en el que alguien puede encontrar tanto un rompecabezas como su solución algorítmicamente, entonces también hay un algoritmo de tiempo polinómico para encontrar una solución al rompecabezas. Esto me parece muy intuitivo. Por supuesto, podría existir una brecha polinómica; Podría ser el caso de que si crear el rompecabezas tomara pasos, luego resolverlo podría tomar pasos. Sin embargo, mi intuición dice que debería haber una brecha superpolinómica. $n$ $O(n^3)$

— Peter Shor
fuente

1

¿No es este en última instancia el mismo argumento que el de Sadeq, en el sentido de que ambos se basan en algunos problemas que nadie sabe cómo resolver a pesar de mucho esfuerzo?

— Tsuyoshi Ito

2

@Sadeq: puede darle al algoritmo esencialmente todos los bits aleatorios que necesita para este argumento; realmente no necesita un PRG, y ciertamente no es criptográficamente fuerte.

— Peter Shor

66

@ Tsuyoshi: Creo que generar casos difíciles de problemas NP con soluciones plantadas es bastante más general que la factorización o el registro discreto; por un lado, no se sabe que esté en BQP.

— Peter Shor

3

@ Tsuyoshi: Me encantaría ver un enfoque diferente; desafortunadamente no tengo uno. Pero lo que esto significa es que no pueden existir rompecabezas realmente difíciles; Si hay un tipo de rompecabezas en el que alguien puede encontrar un rompecabezas y su solución algorítmicamente, también hay un algoritmo de tiempo polinómico para resolver el rompecabezas. Esto me parece muy intuitivo.

— Peter Shor

44

@ Tsuyoshi: Creo que el punto de Peter es que no hay solo dos o tres candidatos para OWF; Los candidatos son extremadamente abundantes y casi triviales. Por ejemplo, si observa el trabajo en torno a la competencia SHA-3 del NIST, parece ser "fácil" construir OWF, y las personas se preocupan principalmente por diseñar OWF súper rápidos que aún cumplan con una noción muy estricta de seguridad.

— Timothy Chow el

13

Daré una respuesta breve: la existencia de problemas aparentemente difíciles, como FACTORING o DISCRETE LOG, hizo que los teóricos creyeran que OWF existe. En particular, intentaron durante décadas (desde 1970) encontrar algoritmos eficientes (tiempo polinomial probabilístico) para tales problemas, pero ningún intento tuvo éxito. Este razonamiento es muy similar al por qué la mayoría de los investigadores creen que P ≠ NP.

— MS Dousti
fuente

Lo que no me gusta de esa creencia es que ambos problemas están en BQP, por lo que si realmente son unidireccionales y las computadoras cuánticas resultan prácticas, entonces la definición de la función unidireccional debería cambiarse (para resistir la poli cuántica adversarios de tiempo en lugar de simplemente aleatorizados). ¿Conoces algún candidato para funciones unidireccionales fuertes en ese sentido? ¿Hay candidatos del tipo de funciones unidireccionales fuertes que asumen Razborov-Rudich en su teorema?

— Diego de Estrada

1

Respuesta a mi primera pregunta: dx.doi.org/10.1016/j.tcs.2007.03.013

— Diego de Estrada

3

Es decir, no tenemos ningún argumento para esto aparte de que nadie ha solucionado estos problemas todavía. Ese es un argumento muy semanal. En la misma línea, creeríamos en la dureza de todo lo que aún no hemos resuelto. Podríamos decir que en general se cree que el factoring no está en

, pero no he visto a nadie diciendo que. Debe haber alguna otra razón para creer ampliamente en la existencia de OWF. La comparación con P vs NP no es justa. Hay muchos problemas naturales equivalentes NP-completos.

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— Anónimo el

10

Tiene que haber un mejor argumento de por qué existen las funciones unidireccionales que conocer un montón de funciones que todavía no sabemos cómo invertir. Veré si puedo encontrar uno.

— Peter Shor

1

@Anonymous: re: "ampliamente creen [sic] que la factorización no está en

" es posible que echa un vistazo a las recientes mejoras en el registro discreto: eprint.iacr.org/ 2013/400 (siguiendo eprint.iacr.org/2013/095 ).

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Joshua Grochow

-5

El argumento de Sasho se basa en el eterno problema P = NP para el que actualmente no existe consenso.

Sin embargo, si seguimos el criptoanálisis de C. Shannon de la plataforma única, desclasificada en 1947, es decir: no existe un algoritmo de cifrado matemáticamente seguro que no sea la plataforma única. Su argumento se basa en la idea de que, si tenemos una secuencia verdaderamente aleatoria de números para que se encripte alguna secuencia, , encriptamos de la siguiente manera: $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

Si la secuencia es verdaderamente aleatoria, intentaríamos calcular $f^{-1}(r_i,s_i)$ y el resultado sería que todas las secuencias son equiprobables.

Podríamos imitar el resultado de Shannon para funciones unidireccionales.

La función es el mapa y la función inversa es el mapa $f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$ .

El problema es que no sabemos si existen números verdaderamente aleatorios, ya que la pregunta es equivalente al comentario de Einstein sobre "Dios no juega a los dados".

Sin embargo, a todos los efectos, los expertos consideran que un generador de números aleatorios basado en un proceso físico es lo suficientemente aleatorio.

$(c_i,r_i)$ , es decir, los números aleatorios ya no son secretos, la reversión es trivial.

$f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
fuente

55

El resultado de Shannon se trata de la seguridad teórica de la información (donde el adversario tiene un poder de cálculo ilimitado). De eso no se trata la pregunta. La pregunta es acerca de las funciones unidireccionales con seguridad computacional (donde el adversario se limita a los cálculos de tiempo polinomial). En consecuencia, los argumentos de estilo Shannon no dicen nada acerca de si existen funciones unidireccionales computacionalmente seguras.

— DW

Lea la definición de función unidireccional .

— Kaveh

Ker-I Ko define una función unidireccional con respecto al problema P = NP y el isomorfismo polinomial. Más específicamente, si existen funciones unidireccionales, entonces la conjetura de Cook sobre la completitud NP, es decir, el isomorfismo entre conjuntos completos NP, no se cumple. El interés de plantear cosas desde la perspectiva de la entropía de la información es mostrar que la clase de isomorfismo de funciones definibles matemáticamente solo es segura (irreversible) si se puede definir un conjunto aleatorio. No estoy seguro de la aportación de Shannon sobre la intratabilidad y el uso de la expresión "matemáticamente seguro".

— mathersjj1

2

cstheory no es un foro de discusión o un blog personal, es un sitio de preguntas y respuestas. Su publicación no es una respuesta a la pregunta sobre las funciones unidireccionales (como se define en el enlace). Consulte el recorrido y el centro de ayuda para obtener una explicación del alcance de la teoría.

— Kaveh

-6

¿Sería tan fácil como sugerir, por ejemplo, la función seno?

Debido a que para una entrada y salida dada, la entrada puede aumentarse o disminuirse en 360 grados (o 2 pi si le gustan los radianes) es de muchos a uno, por lo que nunca puede estar seguro de qué entrada tuvo.

No obstante, dígame si he entendido mal la pregunta.

— Aaron Robson
fuente

44

Verifica la definición .

— Kaveh

3

Estás mezclando dos conceptos: funciones unidireccionales y funciones no reversibles. Si bien la función seno no es reversible, no es unidireccional. En particular, siempre puede crear una preimagen (con la precisión que desee), incluso si no es la preimagen.

— MS Dousti

Ya veo, gracias por explicar la distinción.

— Aaron Robson el