Argomenti per l'esistenza di funzioni a senso unico

25

Ho letto in diversi articoli che l'esistenza di funzioni a senso unico è ampiamente ritenuta. Qualcuno può fare luce sul perché questo è il caso? Quali argomenti abbiamo per sostenere l'esistenza di funzioni a senso unico?

— Anonimo
fonte

1

Trovo in qualche modo fuorviante che molti documenti affermino che l'esistenza di funzioni a senso unico è ampiamente ritenuta poiché finora non abbiamo alcun argomento forte per la loro esistenza. Scrivere "l'esistenza di funzioni a senso unico è ampiamente accettata come ipotesi plausibile tra gli esperti che è coerente con la nostra esperienza nella pratica e lo stato attuale delle conoscenze" è più appropriata e imparziale.

22

Ecco un argomento secondo cui le funzioni a senso unico dovrebbero essere difficili da invertire. Supponiamo che ci sia una classe di problemi 3-SAT con soluzioni piantate che sono difficili da risolvere. Considera la seguente mappa:

(x, r) \to s

$(x, r) \rightarrow s$

dove è una qualsiasi stringa di bit, è una stringa di bit (è possibile utilizzarli per eseguire il seeding di un generatore di numeri casuali oppure è possibile richiedere tutti i bit casuali necessari) e è un problema -SAT con as una soluzione piantata, in cui il generatore di numeri casuali determina esattamente quale problema -SAT si sceglie. Per invertire questa funzione a senso unico, è necessario risolvere un problema -SAT con una soluzione con impianto. $x$ $r$ $s$ $k$ $x$ $k$ $k$

Questo argomento mostra che invertendo una funzione unidirezionale è duro come risolvere problemi -SAT con soluzioni piantati. E poiché -SAT è un problema NP completo, se riesci a capire come costruire istanze difficili con soluzioni piantate per qualsiasi problema NP, puoi piantare soluzioni nelle formule -SAT. $k$ $k$ $k$

Non è stato dimostrato che è possibile trovare una classe di problemi NP completi con soluzioni piantate che sono tanto difficili quanto arbitrari problemi NP completi (e anche se questo è vero, sarà incredibilmente difficile da dimostrare) , ma la gente sicuramente sa come piantare soluzioni nei problemi -SAT in modi che nessuno attualmente sa come risolvere. $k$

AGGIUNTO: ora mi rendo conto che questa connessione era già stata fornita (in modo più dettagliato) in Abadi, Allender, Broder, Feigenbaum ed Hemachandra ; sottolineano che le funzioni unidirezionali possono fornire istanze difficili risolte di SAT e viceversa.

Mettendolo in un linguaggio più informale, la non esistenza di funzioni a senso unico mostra che non possono esistere veri e propri enigmi difficili. Se esiste un tipo di enigma in cui qualcuno può inventare sia un enigma che la sua soluzione in modo algoritmico, allora esiste anche un algoritmo a tempo polinomiale per trovare una soluzione all'enigma. Questo mi sembra molto intuitivo. Naturalmente, potrebbe esistere un divario polinomiale; potrebbe accadere che se la creazione del puzzle richiede passaggi, la risoluzione potrebbe richiedere passaggi. Tuttavia, la mia intuizione dice che dovrebbe esserci un divario superpolinomiale. $n$ $O(n^3)$

— Peter Shor
fonte

1

Questo non è in definitiva lo stesso argomento di Sadeq, nel senso che entrambi si basano su alcuni problemi che nessuno sa come risolvere nonostante molti sforzi?

— Tsuyoshi Ito,

2

@Sadeq: puoi dare all'algoritmo essenzialmente tutti i bit casuali di cui hai bisogno per questo argomento; non hai davvero bisogno di un PRG, e certamente non uno crittograficamente forte.

— Peter Shor,

6

@Tsuyoshi: penso che generare casi difficili di problemi NP con soluzioni piantate sia un po 'più generale del factoring o del log discreto; per prima cosa, non è noto per essere in BQP.

— Peter Shor,

3

@Tsuyoshi: mi piacerebbe vedere un approccio diverso; purtroppo non ne ho uno. Ma ciò significa che non possono esistere enigmi veramente difficili; se esiste un tipo di puzzle in cui qualcuno può inventare un puzzle e la sua soluzione in modo algoritmico, esiste anche un algoritmo a tempo polinomiale per risolvere il puzzle. Questo mi sembra molto intuitivo.

— Peter Shor,

4

@Tsuyoshi: penso che il punto di Peter sia che non ci sono solo due o tre candidati per OWF; i candidati sono estremamente abbondanti e quasi banali da inventare. Ad esempio, se si guarda al lavoro che circonda la competizione SHA-3 del NIST, sembra essere "facile" costruire OWF e le persone si preoccupano principalmente di progettare OWF superveloci che soddisfano ancora una nozione molto rigorosa di sicurezza.

— Timothy Chow,

13

Darò una breve risposta: l'esistenza di problemi apparentemente difficili, come FACTORING o DISCRETE LOG, ha fatto credere ai teorici che OWF esistesse. In particolare, hanno cercato per decenni (dagli anni '70) di trovare algoritmi efficienti (tempo polinomiale probabilistico) per tali problemi, ma nessun tentativo è riuscito. Questo ragionamento è molto simile al motivo per cui la maggior parte dei ricercatori ritiene che P ≠ NP.

— MS Dousti
fonte

Quello che non mi piace di questa convinzione è che entrambi i problemi sono nel BQP, quindi se sono davvero computer a senso unico e quantistici risultano pratici, allora la definizione di funzione a senso unico dovrebbe essere cambiata (per resistere alla poli quantistica -avversari invece che casuali). Conosci candidati per solide funzioni a senso unico in tal senso? Ci sono candidati del tipo di forti funzioni unidirezionali che assumono Razborov-Rudich nel loro teorema?

— Diego de Estrada,

1

Risposta alla mia prima domanda: dx.doi.org/10.1016/j.tcs.2007.03.013

— Diego de Estrada

3

Cioè non abbiamo alcun argomento per questo, a parte il fatto che nessuno ha ancora risolto questi problemi. Questa è una discussione molto settimana. Allo stesso modo, crediamo nella durezza di tutto ciò che non abbiamo ancora risolto. Potremmo dire che è ampiamente credere che il factoring non è in

ma non ho visto nessuno sostenendo che. Devono esserci altri motivi per credere ampiamente nell'esistenza di OWF. Il confronto con P vs NP non è giusto. Esistono molti problemi naturali equivalenti al NP completo.

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— Anonimo

10

Ci deve essere un argomento migliore per il motivo per cui esistono funzioni a senso unico rispetto al fatto che conosciamo un mucchio di funzioni che non sappiamo ancora invertire. Vedrò se riesco a trovarne uno.

— Peter Shor,

1

@Anonymous: re: "ampiamente credere [sic] che il factoring non è in

" si potrebbe verificare i recenti miglioramenti nella registrazione discreta: eprint.iacr.org/ 2013/400 (seguendo eprint.iacr.org/2013/095 ).

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Joshua Grochow,

-5

L'argomento di Sasho si basa sull'eterno problema P = NP per il quale attualmente non esiste consenso.

Tuttavia, se seguiamo la crittoanalisi di C. Shannon del one-time pad, declassificata nel 1947, vale a dire: non esiste un algoritmo di crittografia matematicamente sicuro diverso dall'unico time pad. Il suo argomento si basa sull'idea che, se abbiamo una sequenza veramente casuale di numeri e per qualche sequenza da crittografare, , crittografiamo come segue: $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

$f^{-1}(r_i,s_i)$

Potremmo imitare il risultato di Shannon per le funzioni a senso unico.

$f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

Il problema è che non sappiamo se esistono numeri veramente casuali in quanto la domanda è equivalente al commento di Einstein su "Dio non gioca a dadi".

Tuttavia, a tutti gli effetti, un generatore di numeri casuali basato su un processo fisico è considerato abbastanza casuale dagli esperti.

$(c_i,r_i)$

$f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
fonte

5

Il risultato di Shannon riguarda la sicurezza delle informazioni teoriche (dove l'avversario ha un potere di calcolo illimitato). Non è questa la domanda. La domanda è relativa alle funzioni a senso unico con sicurezza computazionale (in cui l'avversario è limitato ai calcoli del tempo polinomiale). Di conseguenza, gli argomenti in stile Shannon non dicono nulla sull'esistenza di funzioni unidirezionali computazionalmente sicure.

— DW

Leggi la definizione di funzione unidirezionale .

— Kaveh,

Ker-I Ko definisce una funzione a senso unico rispetto al problema P = NP e all'isomorfismo polinomiale. Più specificamente, se esistono funzioni a senso unico, la congettura di Cook sulla completezza NP, cioè l'isomorfismo tra insiemi NP completi, non regge. L'interesse di porre le cose dal punto di vista dell'entropia dell'informazione è mostrare che la classe di isomorfismi di funzioni matematicamente definibili è sicura (irreversibile) solo se è possibile definire un insieme casuale. Non sono certo del contributo di Shannon sull'intrattabilità e sull'uso dell'espressione "matematicamente sicura".

— mathersjj1,

2

cstheory non è un forum di discussione o un blog personale, è un sito di domande e risposte. Il tuo post non è una risposta alla domanda posta sulle funzioni a senso unico (come definito nel link). Controlla il tour e il centro assistenza per la spiegazione dell'ambito di cstheory.

— Kaveh,

-6

Sarebbe facile come suggerire ad esempio la funzione Sine?

Perché per un dato input e output l'input può essere aumentato o diminuito di 360 gradi (o 2 pi se sei in radianti) è molti-a-uno, quindi non puoi mai essere sicuro di quale input hai avuto?

Dimmi se ho frainteso la domanda però.

— Aaron Robson
fonte

4

Controllare la definizione .

— Kaveh,

3

Stai mescolando due concetti: funzioni unidirezionali e funzioni non invertibili. Mentre la funzione seno non è invertibile, non è un modo. In particolare, puoi sempre trovare un preimage (con qualsiasi precisione ti piaccia), anche se non è il preimage.

— MS Dousti,

Vedo, grazie per aver spiegato la distinzione.

— Aaron Robson il