Ist es möglich, einen CNF zu verschlüsseln?

Ist es möglich, einen CNF in einen anderen CNF umzuwandeln, so dass $\mathcal C$ $\Psi(\mathcal C)$

Die Funktion kann in Polynomzeit aus einem geheimen Zufallsparameter berechnet werden . $\Psi$ $r$
hat genau danneine Lösung,wenn eine Lösung hat. $\Psi(\mathcal C)$ $\mathcal C$
Jede Lösung von kann mit effizient in eine Lösung von werden . $x$ $\Psi(\mathcal C)$ $\mathcal C$ $r$
Ohne , die Lösung (oder eine andere Eigenschaft der ) gibt keine Hilfe bei der Lösung . $r$ $x$ $\Psi(\mathcal C)$ $\mathcal C$

Wenn es ein solches , kann es verwendet werden, um andere dazu zu bringen, rechnerische Herausforderungen für uns zu lösen (wobei möglicherweise das Lösen eines CNF durch andere Probleme ersetzt wird - ich habe CNF gewählt, weil ich das Problem spezifischer machen wollte) Auf diese Weise können sie nicht von einer möglichen Lösung profitieren, selbst wenn sie wissen, welches Problem wir mit ihnen gelöst haben. Zum Beispiel könnten wir ein Faktorisierungsproblem in ein Computerspiel einbetten, das es den Spielern ermöglicht, nur dann zu spielen, wenn sie im Hintergrund an unserem Problem arbeiten, und von Zeit zu Zeit Berechnungsnachweise zurücksenden. Vielleicht kann Software auf diese Weise sogar "kostenlos" gemacht werden, wobei "kostenlos" (möglicherweise höhere) Kosten in der Stromrechnung Ihrer Eltern verbirgt. $\Psi$

— domotorp
quelle

Tippfehler "... gibt keine Hilfe beim Lösen von

"? Übrigens, wenn Sie nicht über die Struktur von

besorgt sind, dh der "Spieler" hat keinen Zugriff auf

sondern nur auf die Lösung

, dann eine einfache zufällige Permutation des Vorzeichens der Variablen (

) und eine zufällige Permutation der Indizes der Variablen sollten eine Lösung

von

für die Lösung von

völlig unbrauchbar machen .

C

$\mathcal C$

Ψ

$\Psi$

Ψ (C)

$\Psi(\mathcal C)$

x

$x$

π_{ℓ} (ℓ_{i}) = \pm ℓ_{i}

$\pi_{\ell}(\ell_i) = \pm \ell_i$

x

$x$

Ψ (C)

$\Psi(\mathcal C)$

C

$\mathcal C$

— Marzio De Biasi

@ Marzio Thx, fester Tippfehler. Aber ich verstehe Ihren Kommentar nicht - nehmen Sie an, dass der "Spieler" keinen Zugriff auf

sondern nur auf

? Aus der Beschreibung sollte klar sein, dass sie hat.

Ψ (C)

$\Psi(\mathcal C)$

x

$x$

— Domotorp

Ja, die einfachen "shuffle literals and variable indexes" funktionieren sicher, wenn der Spieler keinen Zugriff auf die Struktur von

(meiner war nur ein kurzer Kommentar). Aber vielleicht könnte die "Shuffle" -Idee auf diese Weise erweitert werden: Wenn

3-CNF ist, dann gibt es nur

mögliche unterschiedliche Klauseln, und das Wissen über

(eine gemischte Version von

) könnte nur hilfreich sein, wenn man weiß ein effizienter Weg, um einen Isomorphismus zwischen

und

Ψ (C)

$\Psi(\mathcal C)$

C

$\mathcal C$

(2 n)^{3}

$(2n)^3$

Ψ (C)

$\Psi(\mathcal C)$

C

$\mathcal C$

Ψ (C)

$\Psi(\mathcal C)$

C

$\mathcal C$

— Marzio De Biasi

@Marzio Da die Dinge auf dem Vormarsch sind, ist wahrscheinlich (Hyper-) Graphisomorphismus schnell lösbar.

— Domotorp

Schauen Sie sich die verschlüsselte Komplettsatz-Vermutung an. Dies legt nahe, dass Ihr Vorschlag plausibel ist. Es gibt an, dass es eine injektiv längenerhöhende

-sichere Einwegfunktion

so dass SAT und

nicht p-isomorph sind.

2^{n^{ϵ}}

$2^{n^\epsilon}$

f

$f$

f (S A T)

$f(SAT)$

— Mohammad Al-Turkistany

Antworten:

Feigenbaum in, Encrypting Problem Instances , schlägt eine Definition (Def. 1) der Verschlüsselungsfunktion für NP-vollständige Probleme vor, die Ihren Anforderungen entspricht. Sie beweist, dass das NP-vollständige Problem Comparative Vector Inequalities eine solche Verschlüsselungsfunktion zulässt. Sie schließt mit dem Hauptsatz, dass alle NP-vollständigen Probleme, die p-isomorph zu CNF-SAT sind, verschlüsselt werden können.

— Mohammad Al-Turkistany
quelle

Und in den Nacharbeiten kommen sie zu dem Schluss, dass NP-vollständige Probleme wahrscheinlich nicht verschlüsselt werden können! doi.org/10.1016/0022-0000(89)90018-4 Diese Papiere sind genau das, wonach ich gesucht habe. Ich frage mich, warum ich sie so viel besser verstehen kann als die jüngsten Ergebnisse in der Kryptographie - vielleicht ist das Gebiet seitdem zu sehr von der Komplexitätstheorie

— abgewichen

Die Anwendung, die Sie erwähnen, wird in der Literatur als "Nachweis nützlicher Arbeit" bezeichnet, siehe beispielsweise diesen Artikel .

Sie können ein vollständig homomorphes Verschlüsselungsschema (wobei der Klartext die CNF-Instanz ist) verwenden, um die Berechnung an eine nicht vertrauenswürdige Partei zu delegieren, ohne die Eingabe offenzulegen.

Dies beantwortet nicht genau Ihre Frage, da ein solches Schema einen CNF keinem anderen CNF zuordnet, aber für die beabsichtigte Anwendung funktioniert.

— Diego de Estrada
quelle

Afaik, homomorphe Verschlüsselung dient zur Berechnung einiger Zahlen. Wie genau würden Sie es für mein Problem verwenden?

— Domotorp

FHE ist für Boolesche Kreise definiert. Behandle die CNF-Instanz als Bitvektor. Bei gegebener Eingabegröße können Sie eine Boolesche Schaltung erstellen, die gegebenenfalls eine Zuweisung ausgibt (siehe cs.stackexchange.com/q/72289/627 ).

— Diego de Estrada

Ich denke, dass der Unterschied darin besteht, dass bei Ihrer Lösung die Kodierung im Vergleich zu der Aufgabe, die wir lösen möchten, recht kostspielig ist, obwohl die Privatsphäre gewahrt bleibt. Ich möchte einen exponentiellen Arbeitsaufwand in Polynomialzeit kodieren.

— Domotorp

@domotorp Ich verstehe. Es gibt eine Möglichkeit, FHE ohne Schaltkreise zu verwenden, siehe eprint.iacr.org/2013/229.pdf

— Diego de Estrada,

Da immer mehr Nutzer Ihre Antwort positiv bewerten, enthält sie möglicherweise etwas, das ich verpasst habe. Behauptest du gerade, dass es für meine Frage oder nur für die Anwendung funktioniert? Ich habe mir auch das Papier angesehen, aber es ist nicht so leicht zu fassen. Können Sie mir sagen, welches konkrete Ergebnis / welcher Satz in meinem Fall anwendbar wäre?

— Domotorp