Permutazioni unidirezionali senza botola

In breve: supponendo che esistano permutazioni a senso unico , possiamo costruirne una senza botola?

Ulteriori informazioni:

Una permutazione unidirezionale è una permutazione $\pi$ che è facile da calcolare, ma difficile da invertire (vedi il tag wiki della funzione unidirezionale per una definizione più formale). Di solito consideriamo le famiglie di permutazione unidirezionale, $\pi = \{\pi_n\}_{n \in \mathbb{N}}$ , dove ogni $\pi_n$ è una permutazione unidirezionale, che agisce su un dominio finito $D_n$ . Una permutazione unidirezionale della botola è definita come sopra, tranne per il fatto che esiste un set di botola $\{t_n\}_{n \in \mathbb{N}}$e un algoritmo di inversione dei poli-tempo $I$ , tale che per tutto $n$ , $|t_n| \le {\rm poly}(n)$ , e $I$ può invertire $\pi_n$ purché sia dato $t_n$ .

Conosco permutazioni unidirezionali che sono generate in modo che sia impossibile trovare la botola (ma esiste la botola). Un esempio, basato sul presupposto di RSA, è riportato qui . La domanda è,

Esistono (famiglie di) permutazioni unidirezionali che non hanno una botola (impostata)?

Modifica: (più formalizzazione)

Supponiamo che esista una permutazione unidirezionale $\pi$ con dominio (infinito) $D \subseteq \{0,1\}^*$ . Cioè esiste un algoritmo probabilistico polinomiale-tempo $\mathcal{D}$ (che, sull'ingresso $1^n$ , induce una certa distribuzione su $D_n=\\{0,1\\}^n \cap D$ ), tale che per qualsiasi avversario del tempo polinomiale$\mathcal{A}$ , qualsiasi$c>0$ , e tutto intero sufficientemente grande$n$ :

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(La probabilità è presa sui lanci di monete interni di e .)$\mathcal{D}$$\mathcal{A}$

La domanda è se possiamo costruire una permutazione unidirezionale , per la quale esiste un algoritmo probabilistico in tempo polinomiale tale che per qualsiasi famiglia di circuiti poli-dimensione , qualsiasi e tutto intero sufficientemente grande :$\pi'$$\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(La probabilità è presa sui gettoni di monete interne di , poiché è deterministico.)$\mathcal{D}'$$\mathcal{A}'$

Considera i seguenti casi:

1) Esistono permutazioni unidirezionali (OWP) ma non esistono permutazioni botola (TDP) (ovvero siamo in una variante del mondo " minicrypt " di Impagliazzo ). In questo caso, prendi semplicemente la OWP garantita e sai che non ha una botola.

2) Sia OWP che TDP esistono. Qui hai due opzioni:

(a) Ogni OWP ha un algoritmo di generazione delle chiavi G che genera la descrizione "pubblica" della funzione f insieme a una botola campionata t. In questo caso, considera una generazione di chiavi modificata che produce solo f. Questo ti dà un OWP, e inoltre è impossibile trovare t dato f (poiché altrimenti hai un modo efficiente per invertire f). Questo dovrebbe valere anche per una variante non uniforme.

(b) Esiste un OWP f tale che nessun algoritmo G può generare sia f che t in modo che t abiliti l'inversione di f (x) per una x casuale. In questo caso f è un OWP che non ha una botola.

Uno dei commenti nel thread sopra sembra suggerire che la domanda è in realtà se l'esistenza di OWP è nota per implicare l'esistenza di TDP. Questo ha dimostrato di non contenere costruzioni / riduzioni di black box ed è aperto in generale (vedi il mio commento nel thread sopra).

Non conosco le costruzioni da ipotesi generali, ma puoi ottenere un candidato plausibile per una "permutazione unidirezionale senza botola" utilizzando il log discreto modulo a prime . Cioè, sia un primitivo modulo , e definisci . Quindi è una permutazione sugli interi tra e , e generalmente si presume che sia unidirezionale. Per la parte "nessuna botola", suppongo che sia necessario definire esattamente cosa significhi, ma per quanto ne so, non abbiamo alcun modo di impostare le cose per consentire l'inversione. (Se lo facessimo, allora ci sarebbero tutti i tipi di applicazioni (positive) interessanti nella crittografia!)$p$$g$$p$$\pi(x) = g^x\!\mod p$$\pi$$1$$p-1$