トラップドアのない一方向置換

要するに：と仮定すると、一方向の順列は、我々は何のトラップドアを持っていないものを構築することができ、存在しますか？

より詳しい情報：

一方向の順列は、計算が簡単であるが逆にするのが難しい順列 $\pi$ です（より正式な定義については、一方向関数タグwikiを参照してください）。我々が通常考える家族一方向性置換の $\pi = \{\pi_n\}_{n \in \mathbb{N}}$ それぞれ、 $\pi_n$ 上に作用する、一方向性置換であるが有限のドメイン $D_n$ 。トラップドアトラップドアのセットが存在することを除いて一方向性置換は、上記のように定義される $\{t_n\}_{n \in \mathbb{N}}$ ポリ時間反転アルゴリズム $I$ 、すべての $n$ 、 $|t_n| \le {\rm poly}(n)$ 、及び $I$ 反転させることができる $\pi_n$ 、それが与えられたことを条件 $t_n$ 。

トラップドアを見つけることが不可能であるように生成された一方向の順列を知っています（まだトラップドアが存在します）。RSA仮定に基づく例をここに示します。質問は、

トラップドア（セット）がない一方向の順列（のファミリ）は存在しますか？

編集：（より正式化）

いくつかの一方向性置換が存在すると仮定 $\pi$ （無限の）ドメインと $D \subseteq \{0,1\}^*$ 。つまり、確率的多項式時間アルゴリズム $\mathcal{D}$ （入力 $1^n$ 、 $D_n=\\{0,1\\}^n \cap D$ ）、その結果、任意の多項式時間の攻撃のための $\mathcal{A}$ 、任意 $c>0$ 、およびすべての十分に大きな整数 $n$ ：

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

（確率は、との内部コイン投げに引き継がれます。） $\mathcal{D}$ $\mathcal{A}$

問題は、一方向置換を構築できるかどうかです。これには、任意のポリサイズの回路ファミリような確率的多項式時間アルゴリズムが存在します。、任意の、およびすべて十分に大きな整数： $\pi'$ $\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$ $c>0$ $n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

（確率の内部コイン投げ引き継がれるため、決定論的です。） $\mathcal{D}'$ $\mathcal{A}'$

cr.crypto-security one-way-function

— MSドゥスティ
ソース

多項式のアドバイスが与えられた場合でも、一方向のままのOWPが必要なようです。ちなみに、通常、そのようなOWPのファミリは定義していません。GoldreichVol 1、defs 2.4.4および2.4.5を参照してください。

— David Cash、

@David：ええ、私はそれが通常の定義ではないことを知っていますが、正式な定義（Goldreichの本に出てくるもの）はこの議論には長すぎると感じました。

— MS Dousti

@Sadeq：十分に公平ですが、ここでは定義の変更が重要になると思います。その価値については、以前に同様のタイプのセキュリティ（トラップドアなし）について考えてみました。反転実験の前に、ファミリインデックスを無制限に処理してアドバイスを生成できるようにするのが適切な定義のようです。

— David Cash、

@David：編集されたパーツがさらなる形式化の必要性を満たすかどうかを確認します。

— MS Dousti

@Sadeq：トラップドアの一方向置換が一方向置換によって暗示されるかどうかを判断すること（後者はどちらも考えられるので、どちらが意味するかは明確ではありませんが）は、暗号理論における最大の未解決の問題の1つです。。ImpagliazzoとRudich（cseweb.ucsd.edu/~russell/secret.ps）は、ブラックボックステクニックを使用してこれを実現することはできず、現在のテクニックはそれらの分離を回避することがわかっていません。

— Alon Rosen、

回答:

以下のケースを検討してください。

1）一方向置換（OWP）は存在しますが、トラップドア置換（TDP）は存在しません（つまり、私たちはインパリアッツォの「ミニクリプト」の世界のバリアントです）。この場合、存在することが保証されているOWPを取得するだけで、トラップドアがないことがわかります。

2）OWPとTDPの両方が存在します。ここには2つのオプションがあります。

（a）すべてのOWPには、関数の「公開」記述fとサンプリングされたトラップドアtを出力する鍵生成アルゴリズムGがあります。この場合、fのみを出力する変更された鍵生成を検討してください。これにより、OWPが得られ、さらに、fを指定してtを見つけることは不可能です（そうでない場合、fを反転させる効率的な方法があります）。これは、不均一なバリアントにも当てはまるはずです。

（b）OWP fが存在するため、アルゴリズムGはfとtの両方を出力できないため、tはランダムxのf（x）の反転を可能にします。この場合、fはトラップドアのないOWPです。

上記のスレッド内のコメントの1つは、OWPの存在がTDPの存在を暗示することが知られているかどうかが実際に問題であることを示唆しているようです。これは、wrtブラックボックスの構築/削減を保持しないことが示され、一般にオープンです（上のスレッドの私のコメントを参照してください）。

— アロンローゼン
ソース

+1、ありがとうございます。デビッドは答えるために多くの努力をしてきました、そして私は彼にとても感謝しています。しかし、これは私が考えていたものへの答えです。

— MS Dousti

質問は次のとおりだと思いました：（a）可能です。暗号化的に、すべてのOWPにトラップドアがある場合、OWPを提供する誰かがトラップドアも知らないことを信頼することはできません。もちろん、彼のOWPを取得して、自分だけがトラップドアを知っている自分のOWPで構成し、単一の当事者がトラップドアを知らないOWPを取得することもできます。

— Peter Shor

@ピーター：はい。作曲がうまくいくようです。別のオプションは、忘却転送を使用することです（これは（a）が成立する場合、存在することがわかっている-いくつかの小さな微妙を法として）。プレーヤーはOTを使用して、安全な2パーティの計算プロトコルを構築できます。これにより、一方はトラップドアを学習せずにfを学習し、もう一方は何も学習しないようにすることができます。しかし、あなたのソリューションは確かに簡単です。

— アロンローゼン

一般的な仮定からの構築については知りませんが、素数法とする離散対数を使用することにより、「トラップドアのない一方向置換」のもっともらしい候補を得ることができます。つまり、法とする原始根とし、を定義します。 $p$ $g$ $p$ 。その場合、はからまでの整数の順列であり、一般に一方向であると想定されます。「トラップドアなし」の部分については、その意味を正確に定義する必要があると思いますが、私が知る限り、反転を有効にするように設定する方法はありません。（もしそうなら、暗号にはあらゆる種類の素晴らしい（ポジティブな）アプリケーションがあります！） $\pi(x) = g^x\!\mod p$ $\pi$ $1$ $p-1$

— デビッドキャッシュ
ソース

+1。答えてくれてありがとう。あなたは、不均一な敵に対する離散ログの硬さを想定しています。私の質問は次のとおりです。一方向の順列の単なる存在を仮定して、落とし穴のないものを構築できますか？

— MS Dousti

@Sadeq：一方向の順列の存在は、P = NPであるため、離散ログの硬さを意味しませんか？

— Mohammad Alaggan

@アラガン：そうは思いません。一方向の順列が存在する場合もありますが、誰かが離散ログを反転するための効率的なアルゴリズムを考え出します。

— MS Dousti 2010

@Sadeq：P = BQP！= NPの場合です。

— Mohammad Alaggan、2010

@Sadeq：そうですか、それとも間違っていましたか？

— Mohammad Alaggan、2010