单向功能存在的论点

25

我已经读过几篇论文，人们普遍相信单向函数的存在。有人可以阐明为什么会这样吗？对于支持单向函数的存在，我们有哪些论点？

cc.complexity-theory cr.crypto-security big-picture one-way-function

— 匿名
source

1

我发现有些误解是，许多论文都声称人们普遍相信单向函数的存在，因为到目前为止，我们对它们的存在还没有任何有力的论据。写“单向函数的存在被专家广泛接受，这是与我们在实践中的经验和当前知识水平相一致的合理假设”更为恰当和公正。

Answers:

22

这里有一个论点，即单向函数应该很难反转。假设存在一类很难解决的3-SAT问题。考虑以下地图：

(x, r) \to s

$(x, r) \rightarrow s$

其中 $x$ 是任何位串， $r$ 是位串（您可以使用它们来播种随机数生成器，或者可以根据需要请求任意数量的随机位），而 $s$ 是 $k$ -SAT问题，其中 $x$ 为一种植入式解决方案，其中随机数生成器准确确定您选择的 $k$ -SAT问题。要反转此单向函数，您需要使用固定的解来解决 $k$ -SAT问题。

该论点表明，单向函数的求逆与用已解决方案解决 $k$ -SAT问题一样困难。并且，由于 $k$ -SAT是一个NP完全问题，因此，如果您能弄清楚如何为任何NP问题使用已植入的解决方案构造硬实例，则可以在 $k$ -SAT公式中植入解决方案。

尚未证明有可能通过人工解决方案来解决一类NP完全问题，这些问题与任意NP完全问题一样困难（即使这是事实，也很难证明），但人们肯定知道如何以目前没人知道如何解决的方式在 $k$ -SAT问题中植入解决方案。

新增：我现在意识到这种联系已经（更详细地）在Abadi，Allender，Broder，Feigenbaum和Hemachandra中提供了；他们指出，单向函数可以给出已解决的SAT硬实例，反之亦然。

用更非正式的语言来表示，单向功能的不存在表明真正的难题是不存在的。如果存在有人可以通过算法提出难题及其解决方案的难题，那么也可以使用多项式时间算法来找到难题的解决方案。这对我来说似乎很违反直觉。当然，可能存在多项式差距。可能是这样的情况：如果创建难题需要步，那么解决难题可能需要步。但是，我的直觉认为应该存在一个多项式差距。 $n$ $O(n^3)$

— 彼得·索尔
source

1

从根本上说，这两者都不是与Sadeq的论点相同的论点，因为两者都依赖于一些问题，尽管付出了很多努力，但目前尚无人知道如何解决这些问题？

— 伊藤刚（Tsuyoshi Ito）

2

@Sadeq：您可以为算法提供该参数所需的所有随机位；您实际上并不需要PRG，当然也不需要具有加密功能的PRG。

— 彼得·索尔

6

@Tsuyoshi：我认为，使用植入式解决方案生成NP问题的困难案例比分解或离散对数要普遍得多。一方面，它不存在于BQP中。

— 彼得·索尔

3

@Tsuyoshi：我很乐意看到一种不同的方法。不幸的是，我没有一个。但这意味着真正的难题不存在。如果存在有人可以通过算法提出难题的难题及其解决方案，那么也可以使用多项式时间算法来解决难题。这对我来说似乎很违反直觉。

— 彼得·索尔

4

@Tsuyoshi：我认为Peter的观点是OWF不仅只有两三个候选人。候选人非常丰富，几乎无足轻重。例如，如果您查看围绕NIST SHA-3竞赛的工作，那么构造OWF似乎“容易”，人们大多关心设计仍然符合非常严格的安全性概念的超快OWF。

— Timothy Chow

13

我给一个简短的答案：看似困难的问题（例如FACTORING或DISCRETE LOG）的存在使理论家相信OWF的存在。特别是，他们尝试了数十年（自1970年代以来）以找到解决此类问题的有效（概率多项式时间）算法，但没有成功。这种推理与为什么大多数研究人员认为P≠NP相似。

— 道斯蒂女士
source

我对此信念不满意的是，这两个问题都在BQP中，因此，如果它们确实是单向的并且量子计算机被证明是实用的，则应更改单向函数的定义（以抵抗量子多态性）。时的对手，而不是随机的）。在这种意义上，您是否认识到任何具有强大单向功能的候选人？在定理中假设有Razborov-Rudich的那种强大的单向函数候选人吗？

— 迭戈·德埃斯特拉达

1

回答我的第一个问题：dx.doi.org/10.1016/j.tcs.2007.03.013

— Diego de Estrada

3

也就是说，除了没有人打破这些问题之外，我们对此没有其他论点。那是一个非常星期的争论。同样，我们将相信尚未解决的任何问题的硬度。我们可以说，人们普遍认为，保理是不是在

，但我还没有看到任何人声称。广泛相信OWF的存在还必须有其他原因。与P与NP进行比较是不公平的。存在许多自然等效的NP完全问题。

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— 匿名

10

关于为什么存在单向函数，必须有一个更好的论据，那就是我们知道一堆尚不知道如何求逆的函数。我看看是否可以提出。

— 彼得·索尔

1

@Anonymous：回复：“普遍认为[原文]因式分解是不是

”，你可以检查出的离散对数的最新改进：eprint.iacr.org/ 2013/400（紧随eprint.iacr.org/2013/095）。

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— 2014年

-5

Sasho的论点依赖于永恒的P = NP问题，目前尚无共识。

但是，如果我们遵循C. Shannon在1947年解密的一次性密钥的密码分析，那就是：除了一次性密钥以外，没有数学上安全的加密算法。他的论据基于这样的思想：如果我们有一个真正随机的数字序列并且对于某些要加密的序列，则，我们加密如下： $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

如果序列确实是随机的，我们将尝试计算，结果将是所有序列都是等概率的。 $f^{-1}(r_i,s_i)$

我们可以模仿Shannon的单向函数结果。

该功能是地图和逆功能是地图。 $f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

问题是我们不知道是否存在真正的随机数，因为问题等同于爱因斯坦对“上帝不会玩骰子”的评论。

但是，出于所有目的，专家认为基于物理过程的随机数生成器足够随机。

这就是说，在我们尝试反转的那一刻，也就是说，随机数不再是秘密的，反转是微不足道的。 $(c_i,r_i)$

此外，此单向函数不具有大多数加密安全的哈希函数（例如，抗冲突性）的良好特性。此外，我们有。这意味着相同的值被散列为两个不同的值。和是常见的。 $f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— Mathersjj1
source

5

香农的结果是关于信息理论安全性的（对手具有无限的计算能力）。这不是问题要问的。问题是关于具有计算安全性的单向函数（对手只限于多项式时间计算）。因此，Shannon风格的参数没有说明是否存在计算安全的单向函数。

— DW

阅读单向函数的定义。

— Kaveh

Ker-I Ko定义了一个关于P = NP问题和多项式同构的单向函数。更具体地说，如果存在单向函数，那么关于NP完全性的Cook猜想（即NP完全集之间的同构）就不成立。从信息熵的角度看待事物的兴趣在于，表明可定义函数的同构类只有在可以定义随机集的情况下才是安全的（不可逆的）。我不确定Shannon关于难处理性的投入以及“数学上安全的”表达的使用。

— mathersjj1 2014年

2

cstheory不是讨论论坛或个人博客，它是一个问答网站。您的帖子不是对单向功能（在链接中定义）的询问的答案。查看游览和帮助中心以获取有关理论范围的解释。

— 卡夫2014年

-6

像建议正弦函数一样容易吗？

因为对于给定的输入和输出，输入可以增加或减少360度（如果使用弧度，则可以增加或减少2 pi），这是多对一的，所以您无法确定自己拥有哪个输入？

告诉我是否误解了这个问题。

— 亚伦·罗布森
source

4

检查定义。

— 卡夫

3

您正在混淆两个概念：单向函数和不可逆函数。虽然正弦函数是不可逆的，但这不是一种方法。特别是，你总是可以拿出一个原像（你喜欢什么精度），即使它不是在原像。

— MS Dousti 2011年

我明白了，谢谢您解释这一区别。

— 亚伦·罗布森

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.