Quyền hạn một chiều hữu hạn với miền vô hạn

Hãy $\pi \colon \{0,1\}^* \to \{0,1\}^*$ là một hoán vị. Lưu ý rằng trong khi $\pi$ hoạt động trên một miền vô hạn, mô tả của nó có thể là hữu hạn. Theo mô tả , tôi có nghĩa là một chương trình mô tả chức năng của $\pi$ . (Như độ phức tạp Kolmogorov.) Xem giải thích bên dưới.

Chẳng hạn, hàm NOT là một hoán vị như vậy:

hàm KHÔNG (x)
    Đặt y = x
    Cho i = 1 đến | x |
        Lật một chút thứ i của y
    trở lại y

, được định nghĩa dưới đây, là một trường hợp khác: $\pi_k(\cdot)$

hàm pi_k (x)
    trả về x + k (mod 2 ^ | x |)

Câu hỏi của tôi là về một lớp hoán vị đặc biệt, được gọi là hoán vị một chiều . Nói một cách không chính thức, đây là những hoán vị dễ tính toán, nhưng khó đảo ngược (đối với máy ). Sự tồn tại đơn thuần của hoán vị một chiều là một vấn đề mở từ lâu trong lý thuyết mật mã và phức tạp, nhưng trong phần còn lại, chúng ta sẽ cho rằng chúng tồn tại. $\rm{BPP}$

$n = pq$ $e = 65537$ $\pi_n(x) = x^e \bmod n$

Lưu ý rằng RSA được xác định trên miền hữu hạn . Trong thực tế, để có được hoán vị miền vô hạn, người ta phải xem xét một họ các hoán vị RSA , trong đó là một tập hợp số nguyên Blum vô hạn. Lưu ý rằng là mô tả về gia đình, và theo định nghĩa, nó là vô hạn. $\mathbb{Z}_n$ $\{\pi_n\}_{n\in D}$ $D$ $D$

Câu hỏi của tôi là (giả sử sự tồn tại của hoán vị một chiều):

Có tồn tại hoán vị một chiều mô tả hữu hạn trên một miền vô hạn ?

Câu trả lời có thể khác nhau: Nó có thể là tích cực, tiêu cực hoặc mở (có thể là tích cực , hoặc có khả năng là tiêu cực ).

Lý lịch

Câu hỏi đặt ra khi tôi đang đọc một bài báo ASIACRYPT 2009 . Ở đó, tác giả ngầm (và trong bối cảnh của một số bằng chứng) cho rằng tồn tại hoán vị một chiều như vậy.

Tôi sẽ rất vui nếu đây thực sự là trường hợp, mặc dù tôi không thể tìm thấy bằng chứng.

— MS Dousti
nguồn

Chúng ta không thể mô tả chính xác

? Tồn tại một thuật toán hữu hạn tìm kiếm một số Blum nhỏ nhất lớn hơn một số số đầu vào, do đó, tính toán

có thể được mô tả như là "tìm số Blum nhỏ nhất

lớn hơn

, sau đó tính toán

". Tuy nhiên, nó không phải là rõ ràng với tôi rằng các chức năng bạn sẽ nhận được bằng Máy dán cùng một số vô số

's sẽ nhất thiết phải là một hoán vị. Bạn có thể giải thích?

D

$D$

π (x)

$\pi(x)$

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

π_{b}

$\pi_b$

— Karolina Sołtys

@Karolina: Cảm ơn bạn đã phản hồi. Tôi nghĩ rằng thuật toán "tìm số Blum nhỏ nhất

lớn hơn

, sau đó tính toán

" sẽ nhất thiết phải thể hiện thêm thông tin về

, chẳng hạn như hệ số của nó. Do đó, thuật toán như vậy không thể được sử dụng để mô tả hoán vị một chiều . Bạn có đồng ý không?

b

$b$

x

$x$

π_{b} (x)

$\pi_b(x)$

b

$b$

— MS Dousti

Ok, tôi nghĩ rằng tôi hiểu nó - bạn muốn mô tả hữu hạn để mô tả hàm một cách dễ dàng để tính toán. Tôi nghĩ rằng chúng ta có thể mã hóa phần "tìm số Blum nhỏ nhất ..." mà không tiết lộ bất kỳ thông tin nào về

(chỉ cần thực hiện tìm kiếm vũ phu cho

), nhưng sau đó nó sẽ không thể tính toán được một cách hiệu quả.

b

$b$

b

$b$

— Karolina Sołtys

Có lẽ câu hỏi này sẽ giúp với các ý tưởng: cstheory.stackexchange.com/questions/1378

— Matt Groff

@Matt: Cảm ơn. Trong câu hỏi đó, điều kiện "dễ tính toán nhưng khó đảo ngược" không liên quan đến các máy bị giới hạn nhiều thời gian.

— MS Dousti

Bài viết về xây dựng các hàm 1-1 một chiều , của Goldreich, Levin và Nisan chỉ ra cách xây dựng các hàm 1-1 bảo tồn độ dài với các miền vô hạn và mô tả hữu hạn. Độ cứng của việc đảo ngược các chức năng dựa trên các giả định phổ biến, chẳng hạn như độ cứng của đảo ngược RSA hoặc tìm các logarit rời rạc.

$\{f_i\}_i$ $f(r,s) = f_i(x)$ $r$ $i$ $s$ $x$ $i$

$f(r,s)$ $f(r,s)$ $\{f_i\}_i$

— Alon Rosen
nguồn

Cảm ơn Alon cho câu trả lời tuyệt vời của bạn. Off-topic: Tôi rất vui khi gặp bạn ở đây. Tôi yêu cuốn sách và bài báo của bạn về kiến thức không đồng thời !

— MS Dousti

Thans, Sadeq. Vui mừng khi biết rằng bạn thích nó :-)

— Alon Rosen