Argumente für die Existenz von Einwegfunktionen

25

Ich habe in mehreren Artikeln gelesen, dass die Existenz von Einwegfunktionen weithin angenommen wird. Kann jemand Aufschluss darüber geben, warum dies der Fall ist? Welche Argumente haben wir für die Existenz von Einwegfunktionen?

Anonym
quelle
1
Ich finde es etwas irreführend, dass in vielen Veröffentlichungen die Existenz von Einwegfunktionen weithin angenommen wird, da wir bisher kein starkes Argument für ihre Existenz haben. Das Schreiben "Das Vorhandensein von Einwegfunktionen wird von Experten allgemein als plausible Annahme akzeptiert, die mit unserer Erfahrung in der Praxis und dem aktuellen Wissensstand übereinstimmt" ist angemessener und ausgewogener.

Antworten:

22

Hier ist ein Argument, dass Einwegfunktionen schwer zu invertieren sein sollten. Angenommen, es gibt eine Klasse von 3-SAT-Problemen mit gepflanzten Lösungen, die schwer zu lösen sind. Betrachten Sie die folgende Karte:

(x,r)s

Dabei ist eine beliebige Bitfolge, eine Bitfolge (Sie können diese verwenden, um einen Zufallszahlengenerator zu generieren, oder Sie können nach so vielen Zufallsbits fragen, wie Sie benötigen) und ist ein SAT-Problem mit als Eine gepflanzte Lösung, bei der der Zufallsgenerator genau bestimmt, welches SAT-Problem Sie wählen. Um diese Einwegfunktion umzukehren , müssen Sie ein SAT-Problem mit einer gepflanzten Lösung lösen .r s k x k kxrskxkk

Dieses Argument zeigt, dass das Invertieren einer Einwegfunktion genauso schwierig ist wie das Lösen von SAT-Problemen mit gepflanzten Lösungen. Und da SAT ein NP-vollständiges Problem ist, können Sie Lösungen in SAT-Formeln pflanzen, wenn Sie herausfinden, wie Sie Hard Instances mit gepflanzten Lösungen für jedes NP-Problem konstruieren können.k kkkk

Es wurde nicht bewiesen, dass es möglich ist, eine Klasse von NP-vollständigen Problemen mit gepflanzten Lösungen zu finden, die genauso schwierig sind wie beliebige NP-vollständige Probleme (und selbst wenn dies zutrifft, wird es unglaublich schwierig sein, dies zu beweisen). Aber die Leute wissen definitiv, wie man Lösungen für SAT-Probleme auf eine Weise anlegt, die derzeit niemand zu lösen weiß.k

ADDED: Mir ist jetzt klar, dass diese Verbindung bereits in Abadi, Allender, Broder, Feigenbaum und Hemachandra (genauer) angegeben wurde . Sie weisen darauf hin, dass One-Way-Funktionen gelöste Hard Instances von SAT liefern können und umgekehrt.

Wenn man es informeller formuliert, zeigt das Nichtvorhandensein von Einwegfunktionen, dass wirklich harte Rätsel nicht existieren können. Wenn es eine Art von Rätsel gibt, bei der jemand sowohl ein Rätsel als auch dessen Lösung algorithmisch entwickeln kann, gibt es auch einen Polynom-Zeit-Algorithmus, um eine Lösung für das Rätsel zu finden. Dies scheint mir sehr kontraintuitiv zu sein. Natürlich könnte eine Polynomlücke bestehen; Es kann vorkommen, dass das Erstellen des Puzzles in Schritten und das Lösen in Schritten erfolgt. Meine Intuition besagt jedoch, dass es eine Superpolynomlücke geben sollte. O ( n 3 )nO(n3)

Peter Shor
quelle
1
Ist dies nicht letztendlich dasselbe Argument wie das von Sadeq, in dem Sinne, dass beide auf einige Probleme zurückgreifen, die derzeit trotz großer Anstrengungen niemand zu lösen weiß?
Tsuyoshi Ito
2
@Sadeq: Sie können dem Algorithmus im Wesentlichen alle Zufallsbits geben, die Sie für dieses Argument benötigen. Sie brauchen nicht wirklich ein PRG und schon gar nicht ein kryptografisch starkes.
Peter Shor
6
@ Tsuyoshi: Ich denke, dass das Generieren schwerer Fälle von NP-Problemen mit gepflanzten Lösungen etwas allgemeiner ist als Factoring oder diskretes Log; Zum einen ist nicht bekannt, dass es in BQP ist.
Peter Shor
3
@ Tsuyoshi: Ich würde gerne einen anderen Ansatz sehen; Leider habe ich keine. Dies bedeutet jedoch, dass es keine wirklich harten Rätsel geben kann. Wenn es eine Art Puzzle gibt, bei der jemand ein Puzzle und dessen Lösung algorithmisch finden kann, gibt es auch einen Polynom-Zeit-Algorithmus zum Lösen des Puzzles. Dies scheint mir sehr kontraintuitiv zu sein.
Peter Shor
4
@ Tsuyoshi: Ich denke, Peters Argument ist, dass es nicht nur zwei oder drei Kandidaten für OWFs gibt. Die Kandidaten sind äußerst zahlreich und fast trivial. Wenn Sie sich zum Beispiel die Arbeit im Zusammenhang mit dem SHA-3-Wettbewerb von NIST ansehen, scheint es "einfach" zu sein, OWFs zu konstruieren, und die meisten Leute befassen sich mit dem Entwurf superschneller OWFs, die immer noch einen sehr strengen Begriff von Sicherheit erfüllen.
Timothy Chow
13

Ich gebe eine kurze Antwort: Die Existenz scheinbar schwieriger Probleme wie FACTORING oder DISCRETE LOG ließ Theoretiker glauben, dass OWF existiert. Insbesondere haben sie jahrzehntelang (seit den 1970er Jahren) versucht, effiziente (probabilistische Polynomialzeit-) Algorithmen für solche Probleme zu finden, aber kein Versuch war erfolgreich. Diese Überlegungen ähneln stark der Annahme der meisten Forscher, dass P ≠ NP.

MS Dousti
quelle
Was mir an dieser Überzeugung nicht gefällt, ist, dass beide Probleme bei BQP auftreten. Wenn sich also Einweg- und Quantencomputer als praktisch herausstellen, sollte die Definition der Einwegfunktion geändert werden (um Quantenpoly zu widerstehen) Gegner statt nur zufällig). Kennen Sie in diesem Sinne Kandidaten für starke Einwegfunktionen? Gibt es Kandidaten für solche starken Einwegfunktionen, die Rasborow-Ruditsch in ihrem Theorem übernehmen?
Diego de Estrada
1
Antwort auf meine erste Frage: dx.doi.org/10.1016/j.tcs.2007.03.013
Diego de Estrada
3
Dh wir haben kein anderes Argument dafür, als dass noch niemand diese Probleme gebrochen hat. Das ist ein sehr wöchentliches Argument. In diesem Sinne würden wir an die Härte von allem glauben, was wir noch nicht gelöst haben. Wir könnten sagen, dass es allgemein angenommen wird, dass Factoring nicht in aber ich habe niemanden gesehen, der dies behauptet. Es muss einen anderen Grund geben, weithin an die Existenz von OWF zu glauben. Der Vergleich mit P vs NP ist nicht fair. Es gibt viele natürliche äquivalente NP-vollständige Probleme. DTIME(exp(n1/4))
Anonym
10
Es muss ein besseres Argument dafür geben, warum es Einwegfunktionen gibt, als dass wir eine Reihe von Funktionen kennen, die wir noch nicht invertieren können. Ich werde sehen, ob ich mir eins einfallen lassen kann.
Peter Shor
1
@Anonymous: re: "Ich bin weithin der Meinung, dass Factoring nicht in " Lesen Sie die jüngsten Verbesserungen im diskreten Protokoll: eprint.iacr.org/2013/400 (folgt auf eprint.iacr.org/2013/095 ). DTIME(exp(n1/4))
Joshua Grochow
-5

Sashos Argument stützt sich auf das ewige P = NP-Problem, für das derzeit kein Konsens besteht.

r1,r2,r3,,rns1,s2,s3,,sn

f(ri,si)=risi=ci

f1(ri,si)

Wir könnten Shannons Ergebnis für Einwegfunktionen nachahmen.

f:Z/nZ×Z/nZZ/nZf:Z/nZZ/nZ×Z/nZ

Der Haken ist, dass wir nicht wissen, ob es wirklich Zufallszahlen gibt, da die Frage Einsteins Kommentar zu "Gott würfelt nicht" entspricht.

In jedem Fall wird ein Zufallszahlengenerator, der auf einem physikalischen Prozess basiert, von Experten als ausreichend zufällig angesehen.

(ci,ri)

f(ri,sk)f(rj,sk)skf(ri,si)=f(rj,sj)

mathersjj1
quelle
5
In Shannons Ergebnis geht es um informationstheoretische Sicherheit (wo der Gegner uneingeschränkte Rechenleistung besitzt). Darum geht es in der Frage nicht. Die Frage betrifft Einwegfunktionen mit rechnerischer Sicherheit (wobei sich der Gegner auf polynomielle Zeitberechnungen beschränkt). Folglich sagen Argumente im Shannon-Stil nichts darüber aus, ob es rechensichere Einwegfunktionen gibt.
DW
Lesen Sie die Definition der Einwegfunktion .
Kaveh
Ker-I Ko definiert eine Einwegfunktion in Bezug auf das P = NP-Problem und den Polynomisomorphismus. Insbesondere wenn Einwegfunktionen existieren, gilt Cooks Vermutung über die NP-Vollständigkeit, dh den Isomorphismus zwischen NP-vollständigen Mengen, nicht. Das Interesse, Dinge aus der Perspektive der Informationsentropie zu positionieren, besteht darin, zu zeigen, dass die Isomorphismusklasse mathematisch definierbarer Funktionen nur dann sicher (irreversibel) ist, wenn eine zufällige Menge definiert werden kann. Ich bin mir nicht sicher, ob Shannon etwas zur Unlösbarkeit und zur Verwendung des Ausdrucks "mathematisch sicher" beigetragen hat.
mathersjj1
2
cstheory ist kein Diskussionsforum oder persönliches Blog, es ist eine Q & A-Site. Ihr Beitrag ist keine Antwort auf die Frage zu Einwegfunktionen (wie im Link definiert). Überprüfen Tour und Hilfe für die Erklärung des Umfangs der cstheory.
Kaveh
-6

Wäre es so einfach, beispielsweise die Sinus-Funktion vorzuschlagen?

Weil für eine bestimmte Eingabe und Ausgabe die Eingabe um 360 Grad erhöht oder verringert werden kann (oder 2 pi, wenn Sie im Bogenmaß arbeiten), ist es ein Eins-zu-Eins-Verhältnis, sodass Sie nie sicher sein können, welche Eingabe Sie hatten?

Sagen Sie mir, wenn ich die Frage falsch verstanden habe.

Aaron Robson
quelle
4
Überprüfen Sie die Definition .
Kaveh
3
Sie mischen zwei Konzepte: Einwegfunktionen und nicht umkehrbare Funktionen. Die Sinusfunktion ist zwar nicht umkehrbar, aber nicht in eine Richtung. Insbesondere können Sie immer ein Vorbild erstellen ( mit einer beliebigen Genauigkeit), auch wenn es nicht das Vorbild ist.
MS Dousti
Ich verstehe, danke für die Erklärung des Unterschieds.
Aaron Robson