没有活板门的单向排列

简而言之：假设存在单向排列，我们可以构造一个没有活板门的排列吗？

更多信息：

单向排列是排列 $\pi$它易于计算，但难于反转（有关更正式的定义，请参见单向功能标签Wiki）。我们通常考虑单向排列的家庭，$\pi = \{\pi_n\}_{n \in \mathbb{N}}$，每个 $\pi_n$是单向排列，作用于有限域$D_n$。甲陷门单向置换如上定义，不同之处在于存在一个活板门组$\{t_n\}_{n \in \mathbb{N}}$ 和多重时间反转算法 $I$，这样对所有人 $n$， $|t_n| \le {\rm poly}(n)$和 $I$ 可以反转 $\pi_n$ 只要给出 $t_n$。

我知道这会产生这样它是单向排列不可行找到暗门（但暗门存在）。此处提供了一个基于RSA假设的示例。问题是，

是否存在不带活板门（集合）的单向排列（系列）？

编辑：（更多形式化）

假设存在一些单向排列 $\pi$ 具有（无限）域 $D \subseteq \{0,1\}^*$。也就是说，存在一个概率多项式时间算法$\mathcal{D}$ （根据输入 $1^n$，在 $D_n=\\{0,1\\}^n \cap D$），这样对于任何多项式时间的对手 $\mathcal{A}$， 任何 $c>0$，以及所有足够大的整数 $n$：

$\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]<n^{-c}$

（该概率由和\ mathcal {A}的内部抛硬币引起。）$\mathcal{D}$$\mathcal{A}$

问题是，是否可以构造一个单向置换，对于该置换矩阵存在一个概率多项式时间算法，使得对于任何多尺寸电路家族，任何以及所有足够大的整数：$\pi'$$\mathcal{D}'$ $\mathcal{A}'=\{\mathcal{A}'_n\}_{n \in \mathbb{N}}$$c>0$$n$

$\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c}$

（由于是确定性，因此概率承担的内部抛硬币。）$\mathcal{D}'$$\mathcal{A}'$

考虑以下情况：

1）存在单向排列（OWP），但不存在活板门排列（TDP）（即，我们处于Impagliazzo的“ minicrypt ”世界的变体中）。在这种情况下，您只需要保证已存在的OWP，并且您知道它没有活板门。

2）OWP和TDP都存在。在这里，您有两个选择：

（a）每个OWP都有一个密钥生成算法G，该算法输出功能的“公共”描述f以及采样的陷门t。在这种情况下，请考虑仅输出f的修改后的密钥生成。这为您提供了OWP，而且找到给定f的t是不可行的（否则，您有一种有效的方法来反转f）。对于非均匀变体也应如此。

（b）存在一个OWP f，使得算法G不能同时输出f和t，以使t能够对随机x进行f（x）的求逆。在这种情况下，f是没有活板门的OWP。

上面线程中的注释之一似乎表明您在质疑实际上是OWP的存在是否暗示TDP的存在。已经证明这不包含wrt黑盒构造/缩减，并且通常处于打开状态（请参见上面线程中的评论）。

我不知道从一般假设得出的构造，但是您可以通过使用质数离散对数来获得“无陷门的单向置换”的合理候选。也就是说，让为原始根模，并定义。然后是到之间的整数的置换，通常假定为单向。对于“无陷阱门”部分，我想您需要准确定义这意味着什么，但是据我所知，我们没有任何方法来设置要启用反转的功能。（如果这样做的话，那么密码学中将会有各种各样很酷的（积极的）应用程序！）$p$$g$$p$$\pi(x) = g^x\!\mod p$$\pi$$1$$p-1$