Hoán đổi một chiều mà không cần bẫy

Tóm lại: Giả sử tồn tại hoán vị một chiều , chúng ta có thể xây dựng một cái không có cửa bẫy không?

Thêm thông tin:

Hoán vị một chiều là hoán vị , dễ tính toán, nhưng khó đảo ngược (xem wiki thẻ chức năng một chiều để có định nghĩa chính thức hơn). Chúng tôi thường xem xét các họ hoán vị một chiều, , trong đó mỗi là hoán vị một chiều, hoạt động trên miền hữu hạn . Một hoán vị một chiều của bẫy được định nghĩa như trên, ngoại trừ việc tồn tại một tập hợp bẫy bẫy \ {t_n \} _ {n \ in \ mathbb {N}} và thuật toán đảo ngược đa thời gian I , sao cho tất cả n , | t_n | \ le {\ rm poly} (n) và$\pi$$\pi = \{\pi_n\}_{n \in \mathbb{N}}$$\pi_n$$D_n$$\{t_n\}_{n \in \mathbb{N}}$$I$$n$$|t_n| \le {\rm poly}(n)$$I$ có thể đảo ngược $\pi_n$ với điều kiện là nó được cung cấp $t_n$ .

Tôi biết hoán vị một chiều được tạo ra để không thể tìm thấy cửa sập (nhưng cửa bẫy vẫn tồn tại). Một ví dụ, dựa trên giả định RSA, được đưa ra ở đây . Câu hỏi là,

Có tồn tại (gia đình) hoán vị một chiều mà không có một cái bẫy (bộ) không?

Chỉnh sửa: (Chính thức hóa hơn)

Giả sử tồn tại một số hoán vị một chiều $\pi$ với miền (vô hạn) $D \subseteq \{0,1\}^*$ . Đó là, tồn tại thuật toán đa thức thời gian xác suất $\mathcal{D}$ (trong đó, trên đầu vào $1^n$ , tạo ra một số phân phối trên $D_n=\\{0,1\\}^n \cap D$ ), như vậy cho bất kỳ đối thủ thời gian đa thức $\mathcal{A}$ , bất kỳ $c>0$ và tất cả số nguyên n đủ lớn $n$:

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

(Xác suất được thực hiện đối với các lần tung đồng xu nội bộ của $\mathcal{D}$ và $\mathcal{A}$ .)

Câu hỏi đặt ra là liệu chúng ta có thể xây dựng hoán vị một chiều , trong đó tồn tại thuật toán đa thức thời gian xác suất sao cho bất kỳ họ mạch đa kích thước , bất kỳ và tất cả số nguyên đủ lớn :D ' Một ' = { A ' n } n ∈ N c > 0 $\pi'$$\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

(Xác suất được thực hiện đối với các lần tung đồng xu nội bộ của , vì là xác định.)$\mathcal{D}'$$\mathcal{A}'$

Hãy xem xét các trường hợp sau:

1) Hoán vị một chiều (OWP) tồn tại nhưng hoán vị cửa bẫy (TDP) thì không (nghĩa là chúng ta đang ở trong một biến thể của thế giới " minicrypt " của Impagliazzo ). Trong trường hợp này, bạn chỉ cần lấy OWP được đảm bảo tồn tại và bạn biết rằng nó không có cửa sập.

2) Cả OWP và TDP đều tồn tại. Ở đây bạn có hai lựa chọn:

(a) Mỗi ​​OWP có thuật toán tạo khóa G tạo ra mô tả "công khai" của hàm f cùng với một cửa bẫy được lấy mẫu t. Trong trường hợp này, hãy xem xét việc tạo khóa được sửa đổi chỉ xuất ra f. Điều này mang lại cho bạn một OWP, và hơn nữa không thể tìm thấy t cho f (vì nếu không, bạn có một cách hiệu quả để đảo ngược f). Điều này cũng nên giữ cho một biến thể không đồng đều.

(b) Tồn tại một OWP f sao cho không có thuật toán G nào có thể xuất cả f và t để t cho phép đảo ngược f (x) cho x ngẫu nhiên. Trong trường hợp này, f là một OWP không có cửa sập.

Một trong những ý kiến ​​trong chủ đề trên dường như gợi ý rằng bạn đặt câu hỏi thực sự là liệu sự tồn tại của OWP có được biết là ngụ ý sự tồn tại của TDP hay không. Điều này đã được chứng minh là không giữ các cấu trúc / giảm hộp đen wrt và nói chung là mở (xem nhận xét của tôi trong chuỗi trên).

Tôi không biết về các công trình xây dựng từ các giả định chung, nhưng bạn có thể nhận được một ứng cử viên hợp lý cho "hoán vị một chiều mà không có cửa bẫy" bằng cách sử dụng modulo log rời rạc một số nguyên tố . Nghĩa là, chúng ta hãy g là một nguyên thủy modulo gốc p , và xác định . Thì là một hoán vị trên các số nguyên giữa và và nó thường được coi là một chiều. Đối với phần "không có bẫy", tôi cho rằng bạn cần xác định chính xác điều đó có nghĩa là gì, nhưng theo tôi biết, chúng tôi không có cách nào để thiết lập mọi thứ để kích hoạt đảo ngược. (Nếu chúng ta đã làm, thì nó sẽ có tất cả các loại ứng dụng (tích cực) tuyệt vời trong mật mã!)$p$$g$$p$$\pi(x) = g^x\!\mod p$$\pi$$1$$p-1$