C'è un hash continuo?

Domande:

Può esserci un hash (crittograficamente sicuro) che preserva la topologia delle informazioni di $\{0,1\}^{*}$ ?

Possiamo aggiungere un predicato di vicinanza calcolabile in modo efficiente quale dato $h_k(x)$ e $h_k(y)$ (o $y$ stesso) ci dice se $y$ è molto vicino $x$ (ad es. la distanza di Levenshtein o la distanza di Hamming di $x$ e $y$ è inferiore a una costante fissa $c$ )?

Sfondo:

Per topologia delle informazioni su $\Sigma^*$ su intendo lo spazio della topologia con punti $\Sigma^*$ e con la base $\{x\Sigma^* : x \in \Sigma^* \}$ .

Un buon modo di pensare alla topologia è considerare gli insiemi aperti come proprietà di punti che sono affermabili / verificabili (cioè se è vero, può essere verificato / osservare che è vero). Con questo in mente, gli insiemi chiusi sono proprietà confutabili .

Una funzione $f:\Sigma^* \to \Sigma^*$ è continuo se l'immagine inversa degli insiemi aperti è aperta. Nel nostro caso questo significa che per tutti $y \in \Sigma^*$ , c'è $I \subseteq \Sigma^*$ tale che

f^{- 1} (y Σ^{*}) = ⋃_{x \in io} X Σ^{*} .

$f^{-1}(y\Sigma^*) = \bigcup_{x\in I} x\Sigma^*.$

Un bel modo di pensare alla topologia dell'informazione è guardarlo come un albero di stringhe binarie. Ogni sottostruttura è un set aperto di base (e altri set aperti possono essere ottenuti prendendo un'unione di set aperti di base).

Questo a volte viene indicato come topologia delle informazioni delle stringhe perché ogni punto in $\Sigma^*$ può essere considerata un'approssimazione finita di una stringa / sequenza binaria. $x$ approssima $y$ se e solo se $x$ è una sottostringa iniziale di $y$ ( $x \sqsubseteq y$ ). Per esempio $0011\Sigma^*$ è un'approssimazione a $00110^*$ perché $0011 \subseteq 00110^*$ .

E per continuità, se prendiamo una sequenza $\{x_i\}_i$ che si avvicinano e convergono alla sequenza binaria $y$ (pensa a $y$ come un ramo infinito nell'albero e $x_i$ s come punti su quel ramo) quindi $\{f(x_i)\}$ convergere a $f(y)$ ,

f (y) = ⨆_{io} f (X_{io}) .

$f(y) = \bigsqcup_i f(x_i).$

— Kaveh
fonte

Ho dimenticato tutto ciò che una volta sapevo sulla topologia. Sarebbe possibile decomprimere cosa significa "preservare la topologia delle informazioni" in termini autonomi? Inoltre, quando dici crittograficamente sicuro, quale versione di ciò vuoi dire? Intendi "si comporta come un oracolo casuale" o intendi "unidirezionale e resistente alle collisioni"?

— DW

@DW Ho aggiunto qualche spiegazione, ma scrivendo che mi fa notare che la mia prima domanda non è chiara. Devo pensare un po 'per chiarirlo. La seconda domanda sembra a posto.

— Kaveh,

L'hashing sensibile alla localizzazione può essere rilevante. en.wikipedia.org/wiki/Locality-sensitive_hashing

— zenna

Per le moderne funzioni hash crittografiche, no, non esiste un predicato di prossimità calcolabile in modo efficiente, supponendo che la distribuzione su $x$ ha entropia sufficiente. L'intuizione è che queste funzioni hash sono progettate per "non avere struttura", quindi non ammettono nulla del genere.

In termini tecnici, le moderne funzioni hash crittografiche si comportano "come un oracolo casuale". Per un oracolo casuale, non esiste un simile predicato di vicinanza: il meglio che puoi fare sembra essere invertire la funzione hash, quindi enumerare tutte le stringhe vicine e cancellarle. Di conseguenza, non c'è modo di farlo per le moderne funzioni hash crittografiche.

Dal punto di vista euristico, è possibile progettare una funzione hash personalizzata che ammetta un predicato di vicinanza efficiente e che sia (approssimativamente) "il più sicuro possibile" dato questo fatto. Supponiamo che le stringhe che stiamo per eseguire l'hash siano di lunghezza fissa. Supponiamo di avere un buon codice di correzione degli errori, e lascia $D$ essere l'algoritmo di decodifica (quindi, se possibile, associa una stringa di bit a una parola in codice vicina).

Per ottenere uno schema semplice ma imperfetto, immagina di definirlo $h(x) = \text{SHA256}(D(x))$ . Se $x,y$ sono due stringhe casuali sufficientemente vicine, quindi esiste una buona possibilità $h(x)=h(y)$ . Se $x,y$ non sono vicini, quindi $h(x)$ non assomiglierà per niente $h(y)$ e non otterremo informazioni oltre al fatto che $x,y$ non sono vicini. Questo è semplice Tuttavia, è anche imperfetto. Ci sono molte coppie $x,y$ che sono vicini ma da cui non possiamo rilevare questo fatto $h(x),h(y)$ (ad es. perché la funzione di decodifica $D$ non riesce).

Euristicamente, sembra possibile migliorare questa costruzione. In fase di progettazione, scegliere stringhe di bit casuali $r_1,\dots,r_k$ . Ora, definisci la seguente funzione hash:

h (X) = (SHA256 (D (X \oplus r_{1}), ..., SHA256 (D (X \oplus r_{K})) .

$h(x) = (\text{SHA256}(D(x \oplus r_1), \dots, \text{SHA256}(D(x \oplus r_k)).$

Ora se $x,y$ sono sufficientemente vicini, è probabile che esista $i$ tale che $D(x \oplus r_i) = D(y \oplus r_i)$ , e quindi $h(x)_i = h(y)_i$ . Ciò suggerisce immediatamente un predicato di vicinanza: se $h(x)$ fiammiferi $h(y)$ in uno dei suoi $k$ componenti, quindi $x,y$ sono vicini; altrimenti, dedurre che non sono vicini.

Se si desidera inoltre una resistenza alle collisioni, una semplice costruzione è la seguente: let $h_1(\cdot)$ essere una funzione hash con un predicato di vicinanza; poi $h(x) = (h_1(x), \text{SHA256}(x))$ è resistente alle collisioni (qualsiasi collisione per questo è anche una collisione per SHA256) e ha un predicato di vicinanza (basta usare il predicato di vicinanza per $h_1$ ). Puoi lasciare $h_1(\cdot)$ essere la funzione hash definita sopra.

Questo è tutto per la distanza di Hamming. La modifica della distanza è probabilmente molto più difficile.

Nel venire con la costruzione di cui sopra, sono stato ispirato dal seguente documento:

Ari Juels, Martin Wattenberg. Uno schema di impegno fuzzy .

Ari Juels, Madhi Sudhan. Uno schema di Fuzzy Vault . Disegni, codici e crittografia 38 (2): 237-257, 2006.

Per inciso: nella crittografia, le funzioni hash non sono sotto chiave. Se volevi una cosa con chiave, potresti dare un'occhiata alle funzioni pseudocasuali.

— DW
fonte