Одностороння функція

У інформатиці, односторонньою функцію є функція, яку легко обчислити на кожному вході, але важко знайти прообраз елемента області значень функції. Тут «легко» і «складно» слід розуміти з точки зору теорії складності, зокрема теорії проблеми поліноміального часу. Те, що функція не є бієкцією не є достатнім, щоб функція була односторонньою.

Існування таких односторонніх функцій досі є відкритою проблемою. З їхнього існування випливає твердження, що класи складності P та NP не рівні. Сучасна асиметрична криптографія ґрунтується на припущенні, що односторонні функції все-таки існують.

У прикладному контексті, терміни «легко» і «складно», як правило, інтерпретуються як «досить дешево для легітимних користувачів» і «занадто витратно для будь-яких несанкціонованих агентів». Односторонні функції, в цьому сенсі, є основними інструментами криптографії, ідентифікації особистості, аутентифікації, та інших складових безпеки даних. Хоча наявність таких функцій також є відкритою проблемою, є кілька кандидатів, які витримали десятиліття пильного розгляду. Деякі з них є необхідними елементами телекомунікаційних систем і, систем електронної комерції і Інтернет-банкінгу по всьому світу.

Функція f: {0, 1}ⁿ → {0, 1}^* є односторонньою, якщо f може бути обчислена алгоритмом поліноміальної складності, але для кожного довільного, поліноміальної складності, алгоритму A виконується:

${\displaystyle Pr[f(A(f(x)))=f(x)]<{\frac {1}{p(n)}}}$

для будь-якого позитивного многочлену р(n) і достатньо великих n, вважаючи, що x обирається за рівномірним розподілом з {0, 1} ⁿ та випадковості A.

Відзначимо що, за цим визначенням має бути «складною» для обернення у середньостатистичному випадку, а не в найгіршому, на відміну від теорії складності, де під складним зазвичай розуміють складне у найгіршому випадку.

Відзначимо знову, що просто зробити функцію не бієкцією не робить її односторонньою функції. У цьому контексті, обернення функції означає визначення хоч якогось одного прообразу заданого значення, що не вимагає існування оберненої функції. Наприклад, f(x) = x² не є оборотньою (наприклад, f(2) = f(-2) = 4), але також не є односторонньою, бо для будь-якого значення можна обчислити один з елементів його прообразу за поліноміальний час, взявши його квадратний корінь.

Одностороння перестановка — одностороння функція, яка є перестановкою. Односторонні перестановки є важливим криптографічним примітивом, і не відомо, чи їхнє існування випливає з існування односторонніх функцій.

Хеш-функція без колізій f є односторонньою функцією, яка також стійка до колізій, тобто жоден довільний поліноміальночасовий алгоритм не може знайти колізію — значення x, y, що f(x) = f(y) — з не незначною ймовірністю.

Одностороння функція з секретом (англ. trapdoor function) — це одностороння функція ${\displaystyle f(x):D\rightarrow R}$, яку легко обчислити для будь-якого ${\displaystyle x\in D}$, але майже для всіх значень ${\displaystyle y\in R}$ важко обчислити значення ${\displaystyle x}$ таке що ${\displaystyle y=f(x)}$. Однак якщо існує секрет k, то знаючи його легко обчислити x ${\displaystyle \forall y\in R}$^[1]. Односторонні функції широко використовуються в криптографії.

Односторонні функції набули поширеності в криптографії в середині 1970-х з оприлюдненням Діффі, Геллманом і Мерклом асиметричних алгоритмів шифрування. Діффі і Геллман запропонували кілька варіантів побудови таких функцій^[1], дуже швидко виявилось, що знайти односторонню функцію важче ніж видавалось на перший погляд, бо перші функції не були ас

Прикладом такої функції може слугувати одностороння функція RSA. Через наявність секрету, що дозволяє легко обчислити першовзір більшість цифрових підписів покладаються саме на RSA функцію.

Якщо f є односторонньою функцією, то обернення f буде задачею, вихід якого важко обчислити (за означенням), але легко перевірити (шляхом обчислення f від нього). Таким чином, з існування односторонньої функції випливає, що P ≠ NP. Однак, невідомо, чи з P ≠ NP випливає існування односторонніх функцій.

З існування односторонньої функції випливає існування багатьох інших корисних концепцій, у тому числі:

• Псевдовипадкових генераторів;
• сімей Псевдовипадкових функції;
• Бітова схема зобов'язання;
• Приватний ключ шифрування схем, безпечний проти адаптивної атаки з вибором шифрованого тексту;
• MAC підпис;
• Схема цифрового підпису (безпечна проти адаптивної атаки з вибором повідомлень).

Є численна кількість кандидатів на звання односторонньої функції (станом на квітень 2009 року). Ясно, що невідомо, чи є ці функції дійсно односторонніми, але значні дослідження досі не змогли створити ефективний алгоритм обернення для хоч однієї з них.

Функція f приймає на вхід два прості числа p і q в двійковому вигляді і повертає їхній добуток. Ця функція може бути обчислена за час O(n²), де n є сумарною довжиною (кількістю цифр) аргументів. Обернення цієї функція вимагає факторизацію заданого цілого числаN. Найкращі алгоритми факторизації, відомі для цієї задачі, працюють час ${\displaystyle 2^{O({(\log N)^{1/3}(\log \log N})^{2/3})}}$, який є всього-лише псевдо-поліноміальний у ${\displaystyle \log N}$, число бітів, необхідних для поданняN.

Ця функція може бути узагальнена покладанням p і q у підходящому наборі напівпростих чисел. Відзначимо, що f не одностороння для довільних p, q>1, так як добуток буде мати 2 як дільник з імовірністю 3/4.

Функція f приймає два натуральних числа x і N, де N — добуток двох простих p іq. На виході — остача від ділення x² на N. Знаходження оберненої функції вимагає обчислення квадратного кореня за модулем N, тобто x, якщо відомо y і x² mod N = y. Можна показати, що останнє завдання таке ж складне, як і розкладання N на множники.

Криптосистема Рабіна ґрунтується на припущенні, що функція Рабіна (тобто, ця) є односторонньою.

Функція f приймає просте число p і ціле x між 0 і p−1; і повертає залишок частини 2^x поділеного на p. Ця функція дискретного експоненціювання може бути легко обчислена за час O(n³), де n — кількість біт у p. Обернення цієї функції вимагає обчислення дискретного логарифма за модулем p; якщо дано просте p і ціле y між 0 і p−1;, знаходимо таке x, що 2^x = y. Станом на 2009, немає опублікованих алгоритмів цієї задачі, які працюють за поліноміальний час. Схема ElGamal заснована на цій функції.

Є ряд криптографічних хеш-функцій, які швидко обчислюються (наприклад, SHA 256). Деякі простіші версії не проходили складний аналіз, але найсильніші версії продовжують пропонувати швидкі, практичні рішення для розрахунку в один бік. Більшу частину теоретичної підтримки складають методи зриву деяких раніше успішних атак.

Інші претенденти в односторонні функції ґрунтуються на складності декодування випадкових лінійних кодів та інших завданнях.

Існує явна функція, яка є односторонньою, тоді і тільки тоді, коли односторонні функції існують. Так як ця функція була першою знайденою комбінаторно повною односторонньою функцією буде показано, вона відома як «універсальна одностороння функція». Задача визначення існування односторонніх функцій, таким чином, зводиться до задачі доведення того, що дана функція є односторонньою.

1. ↑ ^{а б} Гулак та ін., 2011, с. 111.

• Гулак, Г. М; Мухачов, В. А.; Хорошко, В. О.; Яремчук, Ю. Є. (2011). Основи криптографічного захисту інформації. Вінниця: ВНТУ. ISBN 978-966-641-430-7.

• Diffie, W.; Hellman, M. (1976), New directions in cryptography (PDF), IEEE Transactions on Information Theory, 22 (6): 644—654, CiteSeerX 10.1.1.37.9720, doi:10.1109/TIT.1976.1055638

Це незавершена стаття з математики. Ви можете допомогти проєкту, виправивши або дописавши її.

Це незавершена стаття з криптографії. Ви можете допомогти проєкту, виправивши або дописавши її.