Kurz gesagt : Können wir unter der Annahme , dass Einwegpermutationen existieren, eine konstruieren, die keine Falltür hat?
Mehr Info:
Eine Einweg-Permutation ist eine Permutation die einfach zu berechnen, aber schwer zu invertieren ist ( eine formellere Definition finden Sie im Einweg-Funktions-Tag-Wiki ). Wir betrachten normalerweise Familien der Einwegpermutation, , wobei jede eine Einwegpermutation ist, die auf eine endliche Domäne wirkt . Eine Falltür -Einwegpermutation ist wie oben definiert, außer dass es eine Falltürmenge und einen mehrzeitinvertierenden Algorithmus , so dass für alle , undπ = { π n } n ∈ N π n D n { t n } n ∈ N I n | t n | ≤ p o l y ( n ) I π n t n kann invertieren, vorausgesetzt, es wird .
Ich kenne Einweg-Permutationen, die so generiert werden, dass es unmöglich ist , die Falltür zu finden (die Falltür existiert jedoch). Ein Beispiel, das auf der RSA-Annahme basiert, wird hier gegeben . Die Frage ist,
Gibt es (Familien von) Einweg-Permutationen, die keine Falltür (Set) haben?
Edit: (Mehr Formalisierung)
Angenommen, es gibt eine Einwegpermutation mit (unendlicher) Domäne . Das heißt, es gibt einen probabilistischen Polynom-Zeit-Algorithmus (der bei Eingabe eine gewisse Verteilung über induziert ), so dass z ein beliebiger polynomialer Zeitgegner , ein beliebiger und alle ausreichend große ganze Zahl :D ⊆ { 0 , 1 } ∗ D 1 n D n =A c > 0 n
(Die Wahrscheinlichkeit wird über die internen Münzwürfe von und .)
Die Frage ist, ob wir eine Einwegpermutation konstruieren können , für die es einen probabilistischen Polynomzeitalgorithmus so dass für jede Familie von Schaltungen mit Polygröße , jedes und alle ausreichend große ganze Zahl :
(Die Wahrscheinlichkeit wird über die internen Münzwürfe von , da deterministisch ist.)
quelle
Antworten:
Betrachten Sie die folgenden Fälle:
1) One-Way-Permutationen (OWP) existieren, Trapdoor-Permutationen (TDP) jedoch nicht (dh wir befinden uns in einer Variante von Impagliazzos " Minicrypt " -Welt ). In diesem Fall nehmen Sie einfach das OWP, das garantiert existiert, und Sie wissen, dass es keine Falltür hat.
2) Es gibt sowohl OWP als auch TDP. Hier haben Sie zwei Möglichkeiten:
(a) Jedes OWP hat einen Schlüsselerzeugungsalgorithmus G, der die "öffentliche" Beschreibung f der Funktion zusammen mit einer abgetasteten Falltür t ausgibt. Betrachten Sie in diesem Fall eine modifizierte Schlüsselgenerierung, die nur f ausgibt. Dies gibt Ihnen einen OWP, und außerdem ist es unmöglich, t gegebenes f zu finden (da Sie sonst eine effiziente Möglichkeit haben, f zu invertieren). Dies sollte auch für eine ungleichmäßige Variante gelten.
(b) Es gibt ein OWP f, so dass kein Algorithmus G sowohl f als auch t ausgeben kann, so dass t die Inversion von f (x) für ein zufälliges x ermöglicht. In diesem Fall ist f ein OWP ohne Falltür.
Einer der Kommentare im obigen Thread scheint darauf hinzudeuten, dass Sie sich tatsächlich fragen, ob die Existenz von OWP bekanntermaßen die Existenz von TDP impliziert. Es hat sich gezeigt , dass dies keine Black-Box-Konstruktionen / -Reduktionen enthält, und es ist im Allgemeinen offen (siehe meinen Kommentar im obigen Thread).
quelle
Ich kenne Konstruktionen aus allgemeinen Annahmen nicht, aber Sie können einen plausiblen Kandidaten für eine "Einwegpermutation ohne Falltür" erhalten, indem Sie diskretes log modulo a prime . Das heißt, sei ein primitives Wurzelmodulo und definiere . Dann ist eine Permutation auf den ganzen Zahlen zwischen und , und es wird allgemein angenommen, dass es sich um eine Einbahnstraße handelt. Für den Teil "keine Falltür" müssen Sie wahrscheinlich genau definieren, was das bedeutet, aber soweit ich weiß, haben wir keine Möglichkeit, Dinge so einzurichten, dass eine Inversion möglich ist. (Wenn wir das tun würden, hätte es alle möglichen coolen (positiven) Anwendungen in der Kryptographie!)g pp g p π(x)=gxmodp π 1 p−1
quelle