Конечная односторонняя перестановка с бесконечной областью

Пусть - перестановка. Обратите внимание, что хотя действует на бесконечной области, его описание может быть конечным. Под описанием я имею в виду программу, которая описывает функциональность . (Как и в колмогоровской сложности.) См. Пояснения ниже. $\pi \colon \{0,1\}^* \to \{0,1\}^*$ $\pi$ $\pi$

Например, функция NOT является одной такой перестановкой:

функция НЕ (х)
    Пусть у = х
    Для i = 1 до | x |
        Переверните немного й
    вернуть у

$\pi_k(\cdot)$ , определенный ниже, является другим случаем:

функция pi_k (x)
    вернуть x + k (мод 2 ^ | x |)

Мой вопрос касается особого класса перестановок, называемых односторонними перестановками . Неформально говоря, это перестановки, которые легко вычислить, но трудно инвертировать (для машины ). Простое существование односторонних перестановок является давней открытой проблемой в криптографии и теории сложности, но в остальном мы будем предполагать, что они существуют. $\rm{BPP}$

$n = pq$ $e = 65537$ $\pi_n(x) = x^e \bmod n$

Обратите внимание, что RSA определяется над конечной областью . Фактически, чтобы получить бесконечную перестановку областей, нужно рассмотреть семейство перестановок RSA , где - бесконечный набор целых чисел Блума. Обратите внимание, что - это описание семейства, и по определению оно бесконечно. $\mathbb{Z}_n$ $\{\pi_n\}_{n\in D}$ $D$ $D$

Мой вопрос (при условии существования односторонних перестановок):

Существуют ли односторонние перестановки конечного описания над бесконечной областью ?

Ответ может быть различным: он может быть положительным, отрицательным или открытым ( может быть положительным или отрицательным ).

Фон

Вопрос возник, когда я читал газету ASIACRYPT 2009 . Там автор неявно (и в контексте некоторых доказательств) предположил, что такие односторонние перестановки существуют.

Я буду счастлив, если это действительно так, хотя я не смог найти доказательств.

— М.С. Дусти
источник

Разве мы не можем окончательно описать ? Существует конечный алгоритм, ищущий наименьшее число Блюма, большее некоторого входного числа, поэтому вычисление можно описать, например, как «найти наименьшее число Блюма большее , а затем вычислить ». Тем не менее, для меня не очевидно, что функция, которую вы получите путем склеивания некоторого бесконечного числа , обязательно будет перестановкой. Могли бы вы объяснить?

D

$D$

π (x)

$\pi(x)$

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

π_{b}

$\pi_b$

— Каролина Солтыс

@Karolina: Спасибо за ответ. Я думаю, что алгоритм «найти наименьшее число Блюма больше, чем , затем вычислить » обязательно будет дополнительную информацию о , такую как его факторизация. Следовательно, такой алгоритм не может быть использован для описания односторонних перестановок. Ты согласен?

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

b

$b$

— MS Dousti

Хорошо, я думаю, я понял - вы хотите, чтобы конечное описание описывало функцию простым способом вычисления. Я думаю, что мы могли бы закодировать часть "найти наименьшее число Блюма ...", не раскрывая никакой информации о (просто реализовать поиск brute-force для ), но тогда это не было бы эффективно вычислимо.

b

$b$

b

$b$

— Каролина Солтыс

Может быть, этот вопрос поможет с идеями: cstheory.stackexchange.com/questions/1378

— Мэтт Грофф

@Matt: Спасибо. В этом вопросе условие «легко вычислить, но трудно инвертировать» не относится к машинам с ограниченным временем.

— MS Dousti

В статье « О построении односторонних функций 1-1 » Гольдрайха, Левина и Нисана показано, как построить сохраняющие длину функции 1-1 с бесконечными областями и конечным описанием. Трудность инвертирования функций основана на распространенных предположениях, таких как сложность инвертирования RSA или нахождения дискретных логарифмов.

Их построение является поворотом простой идеи преобразования семейства односторонних функций в одну одностороннюю функцию путем установки где - это Случайность, используемая для выбора индексов и - это случайность, используемая для выбора входных данных (с учетом индекса ). $\{f_i\}_i$ $f(r,s) = f_i(x)$ $r$ $i$ $s$ $x$ $i$

Проблема с вышеупомянутой идеей состоит в том, что не обязательно 1-1. Они исправляют эту проблему, слегка изменяя и утверждая, что при определенных условиях в семействе новая конструкция действительно 1-1. Затем они продолжают показывать, что эти условия удовлетворяются функциями, основанными на RSA / Discrete-log. $f(r,s)$ $f(r,s)$ $\{f_i\}_i$

— Алон Розен
источник

Спасибо Алон за твой отличный ответ. Не по теме: я очень рад видеть вас здесь. Мне нравятся ваши книги и статьи о параллельном нулевом знании !

— MS Dousti

Thans, Sadeq. Рад слышать, что вам это нравится :-)

— Алон Розен