Arguments pour l'existence de fonctions à sens unique

25

J'ai lu dans plusieurs articles que l'existence de fonctions à sens unique est largement admise. Quelqu'un peut-il expliquer pourquoi c'est le cas? Quels arguments avons-nous pour soutenir l'existence de fonctions à sens unique?

— Anonyme
source

1

Je trouve quelque peu trompeur que de nombreux articles déclarent que l'existence de fonctions à sens unique est largement admise car jusqu'à présent, nous n'avons aucun argument solide pour leur existence. L'écriture «l'existence de fonctions à sens unique est largement acceptée comme une hypothèse plausible parmi les experts qui est cohérente avec notre expérience dans la pratique et l'état actuel des connaissances» est plus appropriée et impartiale.

22

Voici un argument selon lequel les fonctions unidirectionnelles devraient être difficiles à inverser. Supposons qu'il existe une classe de problèmes 3-SAT avec des solutions plantées difficiles à résoudre. Considérez la carte suivante:

(x, r) \to s

$(x, r) \rightarrow s$

où est une chaîne de bits, est une chaîne de bits (vous pouvez les utiliser pour amorcer un générateur de nombres aléatoires, ou vous pouvez demander autant de bits aléatoires que nécessaire) et est un problème -SAT ayant comme une solution plantée, où le générateur de nombres aléatoires détermine exactement quel problème -SAT vous choisissez. Pour inverser cette fonction unidirectionnelle, vous devez résoudre un problème -SAT avec une solution plantée. $x$ $r$ $s$ $k$ $x$ $k$ $k$

Cet argument montre qu'inverser une fonction unidirectionnelle est aussi difficile que résoudre des problèmes -SAT avec des solutions plantées. Et puisque -SAT est un problème NP-complet, si vous pouvez comprendre comment construire des instances dures avec des solutions plantées pour tout problème NP, vous pouvez planter des solutions dans des formules -SAT. $k$ $k$ $k$

Il n'a pas été prouvé qu'il est possible de trouver une classe de problèmes NP-complets avec des solutions plantées qui sont tout aussi difficiles que des problèmes arbitraires NP-complets (et même si cela est vrai, ça va être incroyablement difficile à prouver) , mais les gens savent certainement comment trouver des solutions aux problèmes -SAT d'une manière que personne ne sait actuellement comment résoudre. $k$

AJOUT: Je me rends compte maintenant que cette connexion a déjà été donnée (plus en détail) à Abadi, Allender, Broder, Feigenbaum et Hemachandra ; ils soulignent que les fonctions unidirectionnelles peuvent donner des instances dures résolues de SAT, et vice versa.

Dans un langage plus informel, l'inexistence de fonctions à sens unique montre que des énigmes vraiment difficiles ne peuvent pas exister. S'il y a un type de puzzle où quelqu'un peut proposer à la fois un puzzle et sa solution de manière algorithmique, il existe également un algorithme polynomial pour trouver une solution au puzzle. Cela me semble très contre-intuitif. Bien sûr, un écart polynomial pourrait exister; il se peut que si la création du puzzle prenait étapes, sa résolution peut prendre étapes. Cependant, mon intuition dit qu'il devrait y avoir un écart superpolynomial. $n$ $O(n^3)$

— Peter Shor
source

1

N'est-ce pas finalement le même argument que celui de Sadeq, dans le sens où les deux s'appuient sur des problèmes que personne ne sait actuellement résoudre malgré beaucoup d'efforts?

— Tsuyoshi Ito

2

@Sadeq: vous pouvez donner à l'algorithme essentiellement tous les bits aléatoires dont vous avez besoin pour cet argument; vous n'avez pas vraiment besoin d'un PRG, et certainement pas d'un cryptographiquement solide.

— Peter Shor

6

@Tsuyoshi: Je pense que générer des cas difficiles de problèmes NP avec des solutions plantées est un peu plus général que la factorisation ou le journal discret; d'une part, il n'est pas connu pour être en BQP.

— Peter Shor

3

@Tsuyoshi: J'adorerais voir une approche différente; malheureusement, je n'en ai pas. Mais cela signifie que des puzzles vraiment difficiles ne peuvent pas exister; s'il existe un type de casse-tête où quelqu'un peut trouver un casse-tête et sa solution de manière algorithmique, il existe également un algorithme polynomial pour résoudre le casse-tête. Cela me semble très contre-intuitif.

— Peter Shor

4

@Tsuyoshi: Je pense que le point de Peter est qu'il n'y a pas seulement deux ou trois candidats pour les OWF; les candidats sont extrêmement nombreux et presque triviaux à trouver. Par exemple, si vous regardez le travail entourant la compétition SHA-3 du NIST, il semble être "facile" de construire des OWF, et les gens sont principalement concernés par la conception d'OWF ultra-rapides qui répondent toujours à une notion très stricte de sécurité.

— Timothy Chow,

13

Je vais donner une réponse courte: l'existence de problèmes apparemment difficiles, tels que FACTORING ou DISCRETE LOG, a fait croire aux théoriciens que l'OWF existe. En particulier, ils ont essayé pendant des décennies (depuis les années 1970) de trouver des algorithmes efficaces (temps polynomial probabiliste) pour de tels problèmes, mais aucune tentative n'a réussi. Ce raisonnement est très similaire à la raison pour laquelle la plupart des chercheurs pensent que P ≠ NP.

— MS Dousti
source

Ce que je n'aime pas dans cette croyance, c'est que les deux problèmes sont en BQP, donc s'ils sont effectivement unidirectionnels et que les ordinateurs quantiques s'avèrent pratiques, alors la définition de la fonction unidirectionnelle devrait être modifiée (pour résister aux poly quantiques -adversaires au lieu de simplement randomisés). Connaissez-vous des candidats à de fortes fonctions à sens unique dans ce sens? Existe-t-il des candidats du type de fonctions à sens unique fortes qui supposent Razborov-Rudich dans leur théorème?

— Diego de Estrada

1

Réponse à ma première question: dx.doi.org/10.1016/j.tcs.2007.03.013

— Diego de Estrada

3

C'est-à-dire que nous n'avons aucun argument pour cela, sinon que personne n'a encore résolu ces problèmes. C'est un argument d'une semaine. Dans le même esprit, nous croyons à la dureté de tout ce que nous n'avons pas encore résolu. On pourrait dire qu'il est largement croire que l' affacturage est pas dans

, mais je n'ai pas vu quelqu'un prétendant que. Il doit y avoir une autre raison de croire largement à l'existence des OWF. La comparaison avec P vs NP n'est pas juste. Il existe de nombreux problèmes naturels NP-complets équivalents.

D T I M E (\exp (n^{1 / 4}))

$DTIME(\exp(n^{1/4}))$

— Anonyme

10

Il doit y avoir un meilleur argument pour expliquer pourquoi les fonctions à sens unique existent que le fait que nous connaissons un tas de fonctions que nous ne savons pas encore inverser. Je vais voir si je peux en trouver un.

— Peter Shor

1

@Anonymous: re: "croire largement [sic] que l' affacturage est pas dans

" vous pouvez vérifier les récentes améliorations dans le journal discret: eprint.iacr.org/ 2013/400 (suivant eprint.iacr.org/2013/095 ).

D T I M E (e x p (n^{1 / 4}))

$DTIME(exp(n^{1/4}))$

— Joshua Grochow

-5

L'argument de Sasho repose sur l'éternel problème P = NP pour lequel aucun consensus n'existe actuellement.

Cependant, si nous suivons la cryptanalyse par C. Shannon du bloc ponctuel, déclassifié en 1947, c'est-à-dire: il n'y a pas d'algorithme de chiffrement mathématiquement sécurisé autre que le bloc temporel. Son argument est basé sur l'idée que, si nous avons une séquence vraiment aléatoire de nombres et pour une séquence à chiffrer, , nous chiffrons comme suit: $r_1,r_2,r_3,\ldots,r_n$ $s_1,s_2,s_3,\ldots,s_n$

$f(r_i,s_i) = r_i \oplus s_i = c_i$

Si la séquence est vraiment aléatoire, nous essaierions de calculer et le résultat serait alors que toutes les séquences sont équiprobables. $f^{-1}(r_i,s_i)$

Nous pourrions imiter le résultat de Shannon pour les fonctions unidirectionnelles.

La fonction est la carte et la fonction inverse est la carte . $f:\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}$ $f:\mathbb{Z}/n\mathbb{Z}\rightarrow\mathbb{Z}/n\mathbb{Z}\times \mathbb{Z}/n\mathbb{Z}$

Le hic, c'est que nous ne savons pas s'il existe des nombres vraiment aléatoires car la question équivaut au commentaire d'Einstein sur «Dieu ne joue pas aux dés».

Cependant, à toutes fins utiles, un générateur de nombres aléatoires basé sur un processus physique est considéré comme suffisamment aléatoire par les experts.

Cela dit, au moment où nous essayons d'inverser , c'est-à-dire que les nombres aléatoires ne sont plus secrets, l'inversion est triviale. $(c_i,r_i)$

De plus, cette fonction unidirectionnelle n'a pas les propriétés intéressantes de la plupart des fonctions de hachage sécurisées cryptographiquement telles que la résistance aux collisions. De plus, nous avons la situation que . Cela signifie qu'une même valeur est hachée à deux valeurs différentes. Et est commun. $f(r_i,s_k)\neq f(r_j,s_k)$ $s_k$ $f(r_i,s_i) = f(r_j,s_j)$

— mathersjj1
source

5

Le résultat de Shannon concerne la sécurité théorique de l'information (où l'adversaire a une puissance de calcul illimitée). Ce n'est pas ce que la question pose. La question porte sur les fonctions unidirectionnelles avec sécurité de calcul (où l'adversaire est limité aux calculs en temps polynomial). Par conséquent, les arguments de style Shannon ne disent rien sur l'existence de fonctions unidirectionnelles sécurisées par calcul.

— DW

Lisez la définition de la fonction unidirectionnelle .

— Kaveh

Ker-I Ko définit une fonction à sens unique en ce qui concerne le problème P = NP et l'isomorphisme polynomial. Plus précisément, s'il existe des fonctions unidirectionnelles, la conjecture de Cook sur la complétude NP, c'est-à-dire l'isomorphisme entre les ensembles NP complets, ne tient pas. L'intérêt de poser des choses du point de vue de l'entropie de l'information est de montrer que la classe d'isomorphisme des fonctions mathématiquement définissables n'est sécurisée (irréversible) que si un ensemble aléatoire peut être défini. Je ne suis pas certain de l'apport de Shannon sur l'intraçabilité et l'utilisation de l'expression "mathématiquement sécurisé".

— mathersjj1

2

cstheory n'est pas un forum de discussion ou un blog personnel, c'est un site de questions / réponses. Votre message n'est pas une réponse à la question posée sur les fonctions unidirectionnelles (telles que définies dans le lien). Consultez la visite guidée et le centre d'aide pour l'explication de la portée de la théorie.

— Kaveh

-6

Serait-ce aussi simple que de suggérer par exemple la fonction Sine?

Parce que pour une entrée et une sortie données, l'entrée peut être augmentée ou diminuée de 360 degrés (ou 2 pi si vous êtes en radians), c'est plusieurs à un, donc vous ne pouvez jamais être sûr de quelle entrée vous aviez?

Dites-moi si j'ai mal compris la question.

— Aaron Robson
source

4

Vérifiez la définition .

— Kaveh

3

Vous mélangez deux concepts: les fonctions unidirectionnelles et les fonctions non inversibles. Bien que la fonction sinus ne soit pas inversible, ce n'est pas à sens unique. En particulier, vous pouvez toujours créer une pré-image (avec la précision que vous souhaitez), même si ce n'est pas la pré-image.

— MS Dousti

Je vois, merci d'avoir expliqué la distinction.

— Aaron Robson