Konsequenzen von OWFs für die Komplexität


9

Es ist bekannt, dass die Existenz von Einwegfunktionen für einen Großteil der Kryptographie (digitale Signaturen, Pseudozufallsgeneratoren, Verschlüsselung mit privatem Schlüssel usw.) notwendig und ausreichend ist. Meine Frage ist: Was sind die komplexitätstheoretischen Konsequenzen der Existenz von Einwegfunktionen? OWFs implizieren beispielsweise, dass , und . Gibt es andere bekannte Konsequenzen? Bedeuten OWFs insbesondere, dass die Polynomhierarchie unendlich ist?NPPBPP=PCZK=IP

Ich hoffe, die Beziehung zwischen der Worst-Case- und der Average-Case-Härte besser verstehen zu können. Ich bin auch daran interessiert, dass Ergebnisse in die andere Richtung gehen (dh komplexitätstheoretische Ergebnisse, die OWFs implizieren würden).


4
Haben Sie die Literatur zu Impagliazzos Welten überprüft?
Kaveh

2
@ MohammadAl-Turkistany so bedeutet PP H . Ein Zusammenbruch ist jedoch nicht ausgeschlossen: Er stimmt immer noch mit N P = P H überein . PNPPPHNP=PH
Sasho Nikolov

2
Thomas, es gibt einige kryptografische Untergrenzen für effizientes PAC-Lernen. Ich glaube, sie sind in Impagliazzos Fünf-Welten-Zeitung angedeutet
Sasho Nikolov

4
Ich glaube nicht, dass die Existenz von OWFs (gemäß ihrer Standarddefinition) impliziert . Für solche Derandomisierungen benötigen wir Pseudozufallsgeneratoren mit exponentieller Dehnung, und OWFs sind für solche Zwecke nicht geeignet. P.=B.P.P.
Mahdi Cheraghchi

3
@MarzioDeBiasi: wenn OWFs existieren, ist für die Art von OWFs mit "struktureller Komplexität" (injektive polyzeitlich berechenbare Funktionen ohne polyzeitliche Inverse). Die Art der OWFs, die für Krypto benötigt werden, scheint, wie in der Frage, etwas stärker zu sein (was eine Nichtinvertierbarkeit durch zufällige oder ungleichmäßige Gegner bei Eingaben im Durchschnitt erfordert). P.U.P.
Joshua Grochow

Antworten:


3

Dies ist eine späte Antwort.

Um zu korrigieren, was Sie geschrieben haben: Die kryptografische Pseudozufälligkeit (die von OWFs erhalten wurde) reicht nicht aus, um "natürlich definierte" rechnerische Komplexitätsklassen zu derandomisieren. In einem alten Artikel (Anfang der 80er Jahre) zeigt Andrew Yao eine subexponentielle zeitliche Derandomisierung für RP usw. unter Verwendung dieser Objekte (übrigens ist dies unmittelbar), aber es ist keine stärkere Derandomisierung bekannt. Beachten Sie, dass kryptografische PRGs in Bezug auf die Narrleistung stärker sind als das, was Sie für die Derandomisierung benötigen, aber gleichzeitig in Bezug auf ihre Ausdehnung schwächer sind als ihre typischen komplexitätstheoretischen Analoga (dies folgt in der Reihenfolge der Quantifizierung in der Definition der PRGs).

Wie Sasho Nikolov erwähnte, gibt es viele Beispiele für PAC-Lernen. Schauen Sie sich einen sehr frühen Artikel von Kearns und Valiant über die Unmöglichkeit des Lernens von Formeln und Automaten an (folgen Sie in Google Scholar den Referenzen von dort). Auch die Komplexität von Beweisen durch Interpolation hat Konsequenzen - schauen Sie sich auch die frühen Arbeiten von Jan Krajicek und Pavel Pudlak an. Ich bin mir jedoch nicht sicher, ob Sie dies als komplexitätstheoretische Implikationen betrachten (aber ich tue es).

- Periklis


2

Die Ganzzahlfaktorisierung wird allgemein als der beste Kandidat für Einwegfunktionen angesehen und befindet sich in TFNP. Kollabiert die Polynomhierarchie aus der Zusammenfassung dieses Dokuments, wenn Funktionen invertierbar sind? Es ergibt ein relativiertes negatives Ergebnis, indem ein Orakel konstruiert wird, unter dem TFNP-Funktionen effizient berechenbar sind, die Polynom-Zeit-Hierarchie jedoch unendlich ist. Das Ergebnis ist jedoch nicht genau das, wonach Sie suchen.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.