Consequências dos OWFs para a complexidade

É sabido que a existência de funções unidirecionais é necessária e suficiente para grande parte da criptografia (assinaturas digitais, geradores pseudo-aleatórios, criptografia de chave privada, etc.). Minha pergunta é: Quais são as consequências teóricas da complexidade da existência de funções unidirecionais? Por exemplo, os OWFs sugerem que , e . Existem outras consequências conhecidas? Em particular, os OWFs implicam que a hierarquia polinomial é infinita? $\mathsf{NP}\ne\mathsf{P}$ $\mathsf{BPP}=\mathsf{P}$ $\mathsf{CZK}=\mathsf{IP}$

Espero entender melhor a relação entre o pior caso e a dureza do caso médio. Também estou interessado em resultados que vão para o outro lado (ou seja, resultados teóricos da complexidade que implicariam OWFs).

— Thomas
fonte

Você checou a literatura sobre os mundos de Impagliazzo?

— Kaveh 5/05

@ MohammadAl-Turquistanês, então implica . No entanto, não descarta um colapso: ainda é consistente com .

P \neq N P

$\mathsf{P} \neq \mathsf{NP}$

P \neq P H

$\mathsf{P} \neq \mathsf{PH}$

N P = P H

$\mathsf{NP} = \mathsf{PH}$

— Sasho Nikolov 5/05

Thomas, existem alguns limites inferiores de criptografia para um aprendizado eficiente do PAC. Eu acredito que eles são indicados no papel cinco mundos de Impagliazzo

— Sasho Nikolov

Não acho que a existência de OWFs (de acordo com sua definição padrão) implique . Para essas derandomizações, precisamos de geradores pseudo-aleatórios com alongamento exponencial e os OWFs não são adequados para esses fins.

P = B P P

$P=BPP$

— Mahdi Cheraghchi

@MarzioDeBiasi: se existirem OWFs são para o tipo de "complexidade estrutural" de OWFs (funções computáveis injetáveis em politempo, sem inversão de politempo). O tipo de OWFs necessário para criptografia, como na pergunta, parece um pouco mais forte (exigindo não-invertibilidade por adversários aleatórios ou não uniformes em entradas de casos médios).

P \neq U P

$P \neq UP$

— Joshua Grochow 6/13

Respostas:

Esta é uma resposta tardia.

Primeiro, para corrigir o que você escreveu: A pseudo-aleatoriedade criptográfica (a obtida de OWFs) não tem extensão suficiente para derandomizar aleatoriamente as classes de complexidade computacional "naturalmente definidas". Em um artigo antigo (início dos anos 80), Andrew Yao mostra uma derandomização subexponencial no tempo para RP etc. usando esses objetos (btw, isso é imediato), mas nenhuma derandomização mais forte é conhecida. Observe que, em termos de poder de enganação, os PRGs criptográficos são mais fortes do que o necessário para deserandomização, mas, ao mesmo tempo, em termos de extensão, são mais fracos que seus análogos teóricos da complexidade típicos (isso segue a ordem da quantificação na definição do PRGs).

Como Sasho Nikolov mencionou, há muitos exemplos no aprendizado do PAC. Dê uma olhada em um artigo muito antigo de Kearns e Valiant sobre a impossibilidade de aprender fórmulas e autômatos (siga no google scholar as referências de lá). Além disso, há consequências na complexidade da prova através da interpolação - veja também os primeiros trabalhos de Jan Krajicek e Pavel Pudlak. No entanto, não tenho certeza se você considera essas implicações teóricas da complexidade (mas eu considero).

- Periklis

— user17164
fonte

A fatoração de número inteiro é amplamente considerada o melhor candidato para funções de sentido único e está no TFNP. A partir do resumo deste artigo, a hierarquia polinomial entra em colapso se as funções Onto são invertíveis? , fornece um resultado negativo relativizado construindo um oráculo sob o qual as funções TFNP são eficientemente computáveis, mas a hierarquia de tempo polinomial é infinita. No entanto, o resultado não é exatamente o que você está procurando.

— Mohammad Al-Turkistany
fonte