Permutasi Satu Arah Hingga dengan Domain Tak Terbatas

10

Biarkan menjadi permutasi. Perhatikan bahwa sementara bertindak pada domain tanpa batas, deskripsinya mungkin terbatas. Menurut deskripsi , maksud saya adalah program yang menjelaskan fungsionalitas . (Seperti dalam kompleksitas Kolmogorov.) Lihat penjelasan di bawah ini. π ππ:{0,1}{0,1}ππ

Misalnya, fungsi NOT adalah salah satu permutasi tersebut:

fungsi TIDAK (x)
    Biarkan y = x
    Untuk i = 1 hingga | x |
        Balikkan sedikit y
    kembalikan y

πk() , didefinisikan di bawah, adalah kasus lain:

fungsi pi_k (x)
    return x + k (mod 2 ^ | x |)

Pertanyaan saya adalah tentang kelas permutasi khusus, yang disebut permutasi satu arah . Secara informal, ini adalah permutasi yang mudah dihitung, tetapi sulit untuk dibalik (untuk mesin ). Keberadaan permutasi satu arah semata-mata adalah masalah terbuka lama dalam teori kriptografi dan kompleksitas, namun dalam sisanya, kita akan menganggap bahwa mereka ada.BPP

Sebagai contoh dari permutasi satu arah terkira, seseorang dapat mempertimbangkan RSA : Misalkan menjadi bilangan bulat Blum , dan misalkan . Permutasi satu arah didefinisikan oleh: .n=pqe=65537πn(x)=xemodn

Perhatikan bahwa RSA didefinisikan atas domain hingga . Bahkan, untuk mendapatkan permutasi domain tak terbatas, kita harus mempertimbangkan keluarga permutasi RSA , di mana adalah himpunan bilangan bulat Blum yang tak terbatas. Perhatikan bahwa adalah deskripsi keluarga, dan menurut definisi, itu tidak terbatas.Zn{πn}nDDD

Pertanyaan saya adalah (dengan asumsi adanya permutasi satu arah):

Apakah ada permutasi deskripsi -jalan satu arah hingga domain tak terbatas ?

Jawabannya mungkin bervariasi: Itu bisa positif, negatif, atau terbuka (baik positif , atau negatif ).

Latar Belakang

Pertanyaan muncul ketika saya membaca makalah ASIACRYPT 2009 . Di sana, penulis secara implisit (dan dalam konteks beberapa bukti) mengasumsikan bahwa permutasi satu arah seperti itu ada.

Saya akan senang jika ini memang masalahnya, meskipun saya tidak dapat menemukan bukti.

MS Dousti
sumber
Tidak bisakah kita menggambarkan secara halus ? Terdapat algoritma terbatas yang mencari nomor Blum terkecil yang lebih besar dari beberapa nomor input, sehingga komputasi dapat digambarkan misalnya sebagai "menemukan nomor Blum terkecil lebih besar dari , kemudian hitung ". Namun, tidak jelas bagi saya bahwa fungsi yang akan Anda dapatkan dengan sejumlah jumlah tak terbatas tentu akan menjadi permutasi. Bisakah Anda jelaskan? Dπ(x)bxπb(x)πb
Karolina Sołtys
@ Karolina: Terima kasih atas jawabannya. Saya pikir algoritma "menemukan angka Blum terkecil lebih besar dari , kemudian menghitung " tentu akan menunjukkan info tambahan tentang , seperti faktorisasi. Oleh karena itu, algoritma tersebut tidak dapat digunakan untuk menggambarkan permutasi satu arah . Apa kamu setuju? bxπb(x)b
MS Dousti
Ok, saya pikir saya mengerti - Anda ingin deskripsi terbatas untuk menggambarkan fungsi dengan cara yang mudah dihitung. Saya pikir kita bisa menyandikan bagian "menemukan nomor Blum terkecil ..." tanpa mengungkapkan info tentang (hanya menerapkan pencarian brute-force untuk ), tetapi kemudian tidak akan dapat dihitung secara efisien. bb
Karolina Sołtys
Mungkin pertanyaan ini akan membantu dengan ide-ide: cstheory.stackexchange.com/questions/1378
Matt Groff
@ Matt: Terima kasih. Dalam pertanyaan itu, kondisi "mudah untuk dihitung tetapi sulit untuk dibalikkan" tidak berkaitan dengan mesin yang terikat waktu poli.
MS Dousti

Jawaban:

14

Makalah tentang membangun 1-1 Fungsi Satu Arah , oleh Goldreich, Levin dan Nisan menunjukkan bagaimana membangun panjang yang mempertahankan fungsi 1-1 dengan domain tanpa batas dan deskripsi terbatas. Kekerasan dalam membalikkan fungsi didasarkan pada asumsi populer, seperti kekerasan membalikkan RSA atau menemukan Logaritma Diskrit.

Konstruksi mereka adalah twist dari ide langsung mengkonversi keluarga, , dari fungsi satu arah menjadi fungsi satu arah dengan menetapkan mana adalah keacakan yang digunakan untuk memilih indeks dan adalah keacakan yang digunakan untuk memilih input (diberi indeks ).{fi}if(r,s)=fi(x)risxi

Masalah dengan ide di atas adalah bahwa belum tentu 1-1. Mereka mengubah masalah ini dengan sedikit memodifikasi dan berpendapat bahwa, dalam kondisi tertentu pada keluarga , konstruksi baru memang 1-1. Mereka kemudian melanjutkan untuk menunjukkan bahwa kondisi ini memuaskan oleh fungsi berbasis RSA / Discrete-log.f(r,s)f(r,s){fi}i

Alon Rosen
sumber
1
Terima kasih Alon atas jawaban Anda yang luar biasa. Di luar topik: Saya sangat senang melihat Anda di sini. Saya suka buku Anda & makalah tentang pengetahuan nol bersamaan !
MS Dousti
Terima kasih, Sadeq. Senang mendengar bahwa Anda menyukainya :-)
Alon Rosen