Existem classes de funções que exigem recursos comprovadamente diferentes para calcular versus calcular sua inversa?

Pedimos desculpas antecipadamente se esta pergunta for muito simples.

Basicamente, o que eu quero saber é se há alguma função com as seguintes propriedades: $f(x)$

Tome para ser quando o domínio e codomain são restritas a cadeias de bits. Então $f_n(x)$ $f(x)$ $n$

$f_n(x)$ é injetivo
$f_n(x)$ é adjetivo
$f_n(x)$ consome estritamente menos recursos (espaço / tempo / profundidade do circuito / número de portas) para calcular sob algum modelo razoável que , onde . $f^{-1}_n(y)$ $y=f_n(x)$
A diferença de recursos para vs escalada como uma função estritamente crescente de . $f_n(x)$ $f^{-1}(y)$ $n$

Posso apresentar exemplos em que a função é adjetiva ou injetiva, mas não ambos, a menos que eu recorra a um modelo computacional artificial. Se eu escolher um modelo computacional que permita mudanças à esquerda em unidade de tempo em algum anel, mas não mudanças à direita, é claro que é possível criar uma sobrecarga linear (ou superior, se você considerar uma permutação mais complicada como primitiva) . Por esse motivo, estou interessado apenas em modelos razoáveis, pelos quais quero dizer principalmente máquinas de Turing, circuitos NAND ou similares.

Obviamente, isso deve ser verdade se , mas parece que isso também é possível se , e, portanto, não deve ser uma decisão para essa pergunta. $P\neq NP$ $P=NP$

É perfeitamente possível que essa pergunta tenha uma resposta óbvia ou um obstáculo óbvio à resposta que eu perdi.

cc.complexity-theory

— Joe Fitzsimons
fonte

Esta não é uma área que eu entendo bem, mas parece que você está procurando uma permutação em n bits que é difícil de inverter. Lembro-me de ler em um artigo de Hastad ( nada.kth.se/~johanh/onewaync0.ps ) que existem permutações que estão em , mas são difíceis de inverter.

N C^{0}

$NC^0$

— Robin Kothari

Veja também referências a trabalhos anteriores no artigo de Håstad, de 1987. Menciona que Boppana e Lagarias (1986) dão um exemplo de permutação que está em NC , mas não pode ser invertida em NC .

^{0}

$^0$

^{0}

$^0$

— Jukka Suomela

Obrigado, é exatamente isso que eu estava procurando. Talvez um de vocês queira repassar como resposta? Você sabe se existe algo semelhante para a complexidade do tempo?

— Joe Fitzsimons

Respostas:

Me pediram para repassar meu comentário. Eu apontei este artigo de Hastad, que mostra que existem permutações em que são difíceis de inverter: $NC^0$

http://dx.doi.org/10.1016/0020-0190(87)90053-6 (PS)

— Robin Kothari
fonte

Obrigado, isso e o acompanhamento de Jukka eram exatamente o tipo de coisa que eu estava procurando.

— Joe Fitzsimons

Para circuitos booleanos em uma base binária completa (com a medida de complexidade sendo o número de portas em um circuito mínimo), a razão mais conhecida para permutações . Até onde eu sei, a melhor constante foi obtida neste trabalho por Hiltgen e é igual a 2. $C(f)$ $\frac{C(f^{-1})}{C(f)} = const$

Editar. Como você deseja que a proporção aumente quando cresce, isso não responde à sua pergunta. No entanto, para circuitos booleanos em uma base binária completa, nada melhor é conhecido. $n$

— Grigory Yaroslavtsev
fonte

Bem, o fato de que nada melhor é conhecido é realmente uma resposta.

— Joe Fitzsimons

Sugiro também a leitura da seção 1.2 "Assimetria computacional" do seguinte artigo: Jean-Camille Birget, permutações unidirecionais, assimetria e distorção computacional, Journal of Algebra, Journal of Algebra, 320 (11), Computational Algebra, 1 de dezembro de 2008, páginas 4030-4062 . Além disso, você pode estar interessado neste link: springerlink.com/content/4318u2t21682752u

— MS Dousti

Uma continuação do trabalho de Hiltgen é um artigo de Hirsh e Nikolenko mostrando uma função com uma lacuna constante entre computá-la e invertê-la, mas onde há também um alçapão que permite uma inversão mais fácil: logic.pdmi.ras.ru/~hirsch/ papers / 09csr.ps.gz

— user686

Veja também esta palestra de Massey: iacr.org/publications/dl/massey96/html/massey.html

— user686

Por fim, deixe-me acrescentar que seria um grande avanço mostrar a existência de uma família de funções com uma diferença super constante: mostrar essa diferença implicaria que (a versão de pesquisa de) circuit-SAT não possui circuitos de tamanho linear .

— user686

Antes de tudo, eu queria ressaltar que a sujetividade não é bem definida sem antes definir o codomain da função. Então, na minha descrição abaixo, vou me referir explicitamente ao codomain sobre o qual a função é adjetiva.

Tanto o logaritmo discreto quanto as funções RSA são permutações que são conjecturadas por serem difíceis de inverter. Abaixo, descreverei a função de logaritmo discreto.

Seja um primo de bits seja um gerador do grupo multiplicativo . Defina como $p_n$ $n$ $g$ $\mathbb{Z}_{p_n}^*$ $f_n \colon \mathbb{Z}_{p_n} \to \mathbb{Z}_{p_n}$ . $f_n(x) = g^x \pmod{p_n}$

Então, é uma função cujas propriedades são as indicadas na sua pergunta: é ao mesmo tempo injetiva e adjetiva (sobre o codomain ), é computável em tempo polinomial, mas é conjecturado que nenhum algoritmo eficiente possa inverter em média. $f_n$ $\mathbb{Z}_{p_n}$ $f_n$

— MS Dousti
fonte

Bem, eles têm a mesma complexidade de calcular e inverter em um computador quântico, então eu meio que assumi que não havia uma prova de que eles exigissem recursos diferentes, apenas um monte de tentativas fracassadas de criar algoritmos de tempo polinomial.

— Joe Fitzsimons

Ok, acho que talvez você entenda mal o ponto da minha pergunta. Eu sei que há muitas funções que se acredita serem difíceis de inverter, e isso forma a base da criptografia de chave pública. O que estou procurando é um caso em que haja uma diferença comprovada, mesmo que seja relativamente leve (eu ficaria perfeitamente satisfeito com uma função que leva O (n) para calcular e O (n log n) para inverter, por exemplo).

— Joe Fitzsimons

[Sobre o 1º comentário] Você está procurando uma família de permutações unidirecionais. A mera existência de tais construções, mesmo no modelo de computação de Máquina de Turing, ainda está para ser comprovada (provando que resulta em uma prova da existência de criptografia de chave pública. Veja o caso 5 em cstheory.stackexchange.com/questions/ 1026 /… ) Portanto, você não pode confiar em suposições não comprovadas. No entanto, se você quiser uma suposição que funcione tanto no modelo de Turing Machine quanto no modelo quântico, posso fornecer detalhes de suposições com base na dureza do "Problema da Malha".

— MS Dousti 16/09/10

Só estou procurando uma forma muito fraca de função unidirecional e não tenho certeza do status do problema para condições suficientemente fracas. Eu certamente não exijo uma diferença exponencial.

— Joe Fitzsimons

Não, a complexidade do tempo é governada pela complexidade do exponencial modular em todos os casos mencionados. O exponencial modular é a parte lenta do algoritmo de Shor, portanto, não há mais do que uma diferença constante no dimensionamento assintótico.

— Joe Fitzsimons