Permutasi Satu Arah tanpa Trapdoor

Singkatnya: Dengan asumsi permutasi satu arah ada, dapatkah kita membangun yang tidak memiliki pintu jebakan?

Info lebih lanjut:

Permutasi satu arah adalah permutasi yang mudah dihitung, tetapi sulit untuk dibalik (lihat wiki tag fungsi satu arah untuk definisi yang lebih formal). Kami biasanya mempertimbangkan keluarga permutasi satu arah, , di mana setiap adalah permutasi satu arah, yang bekerja pada domain terbatas . Sebuah pintu jebakan satu arah permutasi didefinisikan seperti di atas, kecuali bahwa ada satu set pintu jebakan dan algoritma poli-waktu pembalik , sehingga untuk semua , , danπ = { π n } n ∈ N π n D n { t n } n ∈ N I n | t n | ≤ p o l y ( n ) I π n t $\pi$$\pi = \{\pi_n\}_{n \in \mathbb{N}}$$\pi_n$$D_n$$\{t_n\}_{n \in \mathbb{N}}$$I$$n$$|t_n| \le {\rm poly}(n)$$I$ dapat membalikkan asalkan diberikan .$\pi_n$$t_n$

Saya tahu permutasi satu arah yang dihasilkan sehingga tidak mungkin menemukan pintu jebakan (namun pintu jebakan ada). Contoh, berdasarkan asumsi RSA, diberikan di sini . Pertanyaannya adalah,

Apakah ada permutasi (keluarga) satu arah yang tidak memiliki pintu jebakan (set)?

Edit: (Lebih Banyak Formalisasi)

Asumsikan ada permutasi satu arah dengan domain (tak terbatas) . Yaitu, terdapat algoritma polinomial-waktu probabilistik (yang, pada input , menginduksi beberapa distribusi melalui ), sehingga untuk setiap musuh waktu-polinomial , setiap , dan semua bilangan bulat yang cukup besar :$\pi$$D \subseteq \{0,1\}^*$$\mathcal{D}$$1^n$$D_n=\\{0,1\\}^n \cap D$$\mathcal{A}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(Peluang diambil dari lemparan koin internal dari $\mathcal{D}$ dan $\mathcal{A}$ .)

Pertanyaannya, adalah apakah kita dapat membangun permutasi satu arah , yang untuknya terdapat algoritme waktu polinomial probabilistik sedemikian rupa sehingga untuk setiap keluarga ukuran-rangkaian sirkuit , apa pun , dan semua bilangan bulat yang cukup besar :$\pi'$$\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(Peluang diambil dari lemparan koin internal dari , karena adalah deterministik.)$\mathcal{D}'$$\mathcal{A}'$

Pertimbangkan kasus-kasus berikut:

1) Permutasi satu arah (OWP) ada tetapi permutasi pintu jebakan (TDP) tidak (yaitu kita berada dalam varian dunia " minicrypt " Impagliazzo ). Dalam hal ini Anda hanya mengambil OWP yang dijamin ada, dan Anda tahu itu tidak memiliki pintu jebakan.

2) Baik OWP dan TDP ada. Di sini Anda memiliki dua opsi:

(a) Setiap OWP memiliki algoritma pembuatan kunci G yang menampilkan deskripsi fungsi "publik" bersama dengan t pintu jebakan yang disampel. Dalam hal ini, pertimbangkan generasi kunci yang dimodifikasi yang hanya menghasilkan f. Ini memberi Anda OWP, dan terlebih lagi tidak layak untuk menemukan f (karena jika tidak, Anda memiliki cara yang efisien untuk membalikkan f). Ini juga berlaku untuk varian yang tidak seragam.

(B) Ada OWP f sehingga tidak ada algoritma G dapat menghasilkan f dan t sehingga t memungkinkan inversi f (x) untuk x acak. Dalam hal ini f adalah OWP yang tidak memiliki pintu jebakan.

Salah satu komentar di utas di atas tampaknya menunjukkan bahwa Anda mempertanyakan sebenarnya apakah keberadaan OWP diketahui menyiratkan keberadaan TDP. Ini telah ditunjukkan untuk tidak menahan konstruksi / pengurangan kotak hitam, dan terbuka secara umum (lihat komentar saya di utas di atas).

Saya tidak tahu tentang konstruksi dari asumsi umum, tetapi Anda bisa mendapatkan kandidat yang masuk akal untuk "permutasi satu arah tanpa pintu jebakan" dengan menggunakan modul disk log disko a prima . Artinya, biarkan menjadi primitif akar modulo , dan menentukan . Maka adalah permutasi pada bilangan bulat antara dan , dan umumnya diasumsikan satu arah. Untuk bagian "tanpa pintu jebakan", saya kira Anda perlu mendefinisikan dengan tepat apa artinya itu, tetapi sejauh yang saya tahu, kami tidak memiliki cara untuk mengatur semuanya untuk mengaktifkan inversi. (Jika kami melakukannya, itu akan memiliki semua jenis aplikasi keren (positif) dalam kriptografi!)$p$$g$$p$$\pi(x) = g^x\!\mod p$$\pi$$1$$p-1$