Esistono classi di funzioni che richiedono risorse notevolmente diverse per calcolare rispetto al calcolo del loro contrario?

Ci scusiamo in anticipo se questa domanda è troppo semplice.

Fondamentalmente, quello che voglio sapere è se ci sono funzioni con le seguenti proprietà: $f(x)$

Prendi come quando il dominio e il codomain sono limitati alle stringhe -bit. Poi $f_n(x)$ $f(x)$ $n$

$f_n(x)$ è iniettivo
$f_n(x)$ è suriettivo
$f_n(x)$ richiede rigorosamente meno risorse (spazio / tempo / profondità del circuito / numero di porte) per calcolare secondo un modello ragionevole di $f^{-1}_n(y)$ , dove $y=f_n(x)$ .
La differenza di risorsa per $f_n(x)$ vs $f^{-1}(y)$ ridimensionata come una funzione strettamente crescente di $n$ .

Posso fornire esempi in cui la funzione è suriettiva o iniettiva, ma non entrambe, a meno che non ricorra a un modello computazionale inventato. Se scelgo un modello computazionale che consente gli spostamenti a sinistra in unità di tempo su qualche anello, ma non gli spostamenti a destra, è ovviamente possibile trovare un overhead lineare (o superiore se si considera una permutazione più complicata come una primitiva) . Per questo motivo sono interessato solo a modelli ragionevoli, con cui intendo principalmente macchine di Turing o circuiti NAND o simili.

Ovviamente questo deve essere vero se $P\neq NP$ , ma sembrerebbe che ciò sia possibile anche se $P=NP$ , e quindi non dovrebbe equivalere a decidere quella domanda.

È del tutto possibile che questa domanda abbia una risposta ovvia o un evidente ostacolo alla risposta che mi sono perso.

cc.complexity-theory

— Joe Fitzsimons
fonte

Questa non è un'area che capisco bene, ma sembra che tu stia cercando una permutazione su n bit che è difficile da invertire. Ricordo di aver letto in un articolo di Hastad ( nada.kth.se/~johanh/onewaync0.ps ) che esistono permutazioni che si trovano in

, ma che sono difficili da invertire.

N C^{0}

$NC^0$

— Robin Kothari,

Vedi anche riferimenti a lavori precedenti nel documento di Håstad del 1987. Indica che Boppana e Lagarias (1986) forniscono un esempio di permutazione che si trova in NC

, ma non può essere invertita in NC

^{0}

$^0$

^{0}

$^0$

— Jukka Suomela,

Grazie, questo è esattamente quello che stavo cercando. Forse uno di voi vuole ripubblicare come risposta? Sai se esiste qualcosa di simile per la complessità temporale?

— Joe Fitzsimons,

Risposte:

Mi è stato chiesto di ripubblicare il mio commento. Ho sottolineato questo articolo di Hastad, che mostra che esistono delle permutazioni in che sono difficili da invertire in P: $NC^0$

http://dx.doi.org/10.1016/0020-0190(87)90053-6 (PS)

— Robin Kothari
fonte

Grazie, questo e il seguito di Jukka erano esattamente il tipo di cosa che stavo cercando.

— Joe Fitzsimons,

Per i circuiti booleani su base binaria completa (con la misura della complessità al numero di porte in un circuito minimo) il rapporto più noto per le permutazioni $C(f)$ . Per quanto ne so, la migliore costante è stata ottenuta inquesto lavoroda Hiltgen ed è uguale a 2. $\frac{C(f^{-1})}{C(f)} = const$

Modificare. Se vuoi che il rapporto aumenti quando cresce, questo non risponde alla tua domanda. Tuttavia, per i circuiti booleani su base binaria completa non si sa nulla di meglio. $n$

— Grigory Yaroslavtsev
fonte

Bene, il fatto che non si sappia niente di meglio è davvero una risposta.

— Joe Fitzsimons,

Suggerisco anche di leggere la sezione 1.2 "Asimmetria computazionale" del seguente documento: Jean-Camille Birget, permutazioni unidirezionali, asimmetria computazionale e distorsione, Journal of Algebra, 320 (11), Computational Algebra, 1 dicembre 2008, Pagine 4030-4062 . Inoltre, potresti essere interessato a questo link: springerlink.com/content/4318u2t21682752u

— MS Dousti,

Un seguito al lavoro di Hiltgen è un articolo di Hirsh e Nikolenko che mostra una funzione con un divario costante tra il calcolo e l'inversione, ma dove c'è anche una botola che consente un'inversione più semplice: logic.pdmi.ras.ru/~hirsch/ papers / 09csr.ps.gz

— user686

Vedi anche questo discorso di Massey: iacr.org/publications/dl/massey96/html/massey.html

— user686

Infine, vorrei aggiungere che sarebbe un grande passo avanti mostrare l'esistenza di una famiglia di funzioni con un gap super costante: mostrare un tale gap implicherebbe che (la versione di ricerca di) circuit-SAT non ha circuiti di dimensioni lineari .

— user686

Prima di tutto, volevo sottolineare che la suriettività non è ben definita senza prima definire il codice della funzione. Quindi, nella mia descrizione che segue, farò esplicitamente riferimento al codice su cui la funzione è suriettiva.

Sia il logaritmo discreto o RSA funzioni sono permutazioni che sono conjectured essere difficile invertito. Di seguito, descriverò la funzione logaritmo discreto.

Sia un primo a bit e sia un generatore del gruppo moltiplicativo . Definisci come $p_n$ $n$ $g$ $\mathbb{Z}_{p_n}^*$ $f_n \colon \mathbb{Z}_{p_n} \to \mathbb{Z}_{p_n}$ . $f_n(x) = g^x \pmod{p_n}$

Quindi, è una funzione le cui proprietà sono come indicato nella tua domanda: è sia iniettiva che suriettiva (su codomain ), è calcolabile in tempo polinomiale, ma si ipotizza che nessun algoritmo efficiente possa invertire on media. $f_n$ $\mathbb{Z}_{p_n}$ $f_n$

— MS Dousti
fonte

Beh, hanno la stessa complessità da calcolare e invertire su un computer quantistico, quindi ho supposto che non ci fosse una prova che richiedessero risorse diverse, solo un mucchio di tentativi falliti di elaborare algoritmi temporali polinomiali.

— Joe Fitzsimons,

Ok, penso che forse hai frainteso il punto della mia domanda. So che ci sono molte funzioni ritenute difficili da invertire, e questo costituisce la base della crittografia a chiave pubblica. Quello che sto cercando è un caso in cui esiste una differenza provata, anche se è relativamente lieve (sarei perfettamente soddisfatto di una funzione che impiega O (n) per calcolare e O (n log n) per invertire, per esempio).

— Joe Fitzsimons,

[Per quanto riguarda il primo commento] Stai cercando una famiglia di permutazioni a senso unico. La mera esistenza di tali costrutti, anche sul modello di calcolo di Turing Machine, deve ancora essere dimostrata (dimostrando che ciò si traduce in una prova dell'esistenza della crittografia a chiave pubblica. Vedi il caso 5 in cstheory.stackexchange.com/questions/ 1026 / ... ) Quindi, non puoi fare affidamento su ipotesi non dimostrate. Tuttavia, se si desidera un'ipotesi che funzioni sia nel modello di Turing Machine che nel modello Quantum, posso fornire dettagli sui presupposti basati sulla durezza del "Problema di reticolo".

— MS Dousti,

Sto solo cercando una forma molto debole di funzione a senso unico e non sono sicuro dello stato del problema per condizioni sufficientemente deboli. Certamente non ho bisogno di una differenza esponenziale.

— Joe Fitzsimons,

No, la complessità temporale è regolata dalla complessità temporale dell'esponenziale modulare in tutti i casi menzionati. L'esponenziale modulare è la parte lenta dell'algoritmo di Shor, quindi non c'è altro che una differenza costante nel ridimensionamento asintotico.

— Joe Fitzsimons,