一方向性関数

一方向性関数（いちほうこうせいかんすう,oneway function）とは、簡単に計算できるが逆関数の計算は非常に困難である関数の事。暗号理論の概念。素因数分解問題の困難性を用いたものが代表的。以下特に断りがなければ、単に「多項式時間アルゴリズム」といったら平均多項式時間確率アルゴリズムを指すものとする。

Table of contents

1 厳密な定義
 2 一方向性関数の存在性
 3 一方向性関数族
 4 弱一方向性関数
 5 non uniform な一方向性関数
 6 一方向性関数の候補
 7 必要十分条件

厳密な定義

Nで自然数の集合を現す。 ∑={0,1}とし、∑^*=∪_k∈N∑^kとする。

関数f:∑^*→∑^*が以下を満たす時、関数fは一方向性関数であるという：

fは多項式時間で計算可能。すなわちある多項式時間アルゴリズムCがあってC(x)=f(x)。
任意の多項式時間アルゴリズムAに対し、あるnegligibleな関数νとあるk₀∈Nが存在して、全てのk>k₀に対し、Pr[x←A(1^k,y) | x←_R∑^k, y←f(x)]<ν(l)。

一方向性関数の存在性

現在のところ、一方向性関数の存在性は証明されていない。（一方向性関数の存在性が示せれば、P≠NPが系として従う）。しかし、一方向性関数の候補となる関数はいくつか知られている。一方向性関数が本当に存在するのかどうかは誰も分からないものの、暗号理論では一方向性関数の存在性を仮定して議論を進める。

一方向性関数族

Ｉを∑^*の部分集合とし、Ｄ＝{Ｄ_n}_n∈Ｉ、Ｒ＝{Ｒ_n}_n∈Ｉを∑^*の部分集合の族とする。Ｇ₁、Ｇ₂を多項式時間アルゴリズムとし、 F={f_k:Ｄ_k→Ｒ_k}を関数の族とする。組（Ｄ,Ｒ,Ｇ₁、Ｇ₂,F）が以下を満たすとき、（Ｄ,Ｒ,Ｇ₁、Ｇ₂,F）を一方向性関数族という：

Ｇ₁は1^kを入力するとn∈Ｉ∩∑^kを出力するアルゴリズム。
Ｇ₂はn∈Ｉを入力するとx∈Ｄ_nを出力するアルゴリズム。
ある多項式時間アルゴリズムCがあってC(x,n)=f_n(x)。
任意の多項式時間アルゴリズムAに対し、あるnegligibleな関数νとあるk₀∈Nが存在して、全てのk>k₀に対し、Pr[x←A(n,y) | n←Ｇ₁(1^k),x←Ｇ₂(n), y←f(x)]<ν(l)。

一方向性関数が存在する事は一方向性関数族が存在する事の必要十分条件である事が知られている。

弱一方向性関数

関数f:∑^*→∑^*が以下を満たす時、関数fは弱一方向性関数であるという：

fは多項式時間で計算可能。
ある多項式Pが存在し、任意の多項式時間アルゴリズムAに対し、あるk₀が存在し、

全てののk₀>0に対し、Pr[z≠f(x)| x←_R∑^k, y←f(x),z←A(1^k,y)]>1/P(k)。

定理　一方向性関数が存在する必要十分条件は弱一方向性関数が存在する事である。
証明の概略（⇒）自明。
（←）fを弱一方向性関数とする。gをg(x₁||・・・||x_N)=f(x₁)||・・・||f(x_N)と定義する。ただしここで「||」はビット列の連接、N=2kP(k)。（Pは弱一方向性関数の定義の条件2にあるもの）。この時g^-1を求めるには、f^-1をN回計算しなければならない。
どのようなアルゴリズムを用いてもf^-1を計算するには1/P(k)ステップかかるので、f^-1をN回計算するのは多項式時間ではできない。□

non uniform な一方向性関数

関数f:∑^*→∑^*が以下を満たす時、関数fはnon uniformな一方向性関数であるという：

fは多項式時間で計算可能。
任意の多項式時間サイズの回路族A={A_k}に対し、あるnegligibleな関数νが存在して、Pr[x←A_k(y) | x←_R∑^k, y←f(x)]<ν(l)。

多項式時間アルゴリズムは多項式時間サイズの回路族で表す事ができるので、non uniform な一方向性関数は必ず一方向性関数である。しかし逆はよく分かっていない。

一方向性関数の候補

集合{(p,q)∈N²|p,qは素数で、pのビット数＝qのビット数}から自然数の集合Nへの写像 (p,q)→pqは一方向性関数であると予想されている。

必要十分条件

以下は全て同値である。

一方向性関数が存在する
弱一方向性関数が存在する
一方向性関数族が存在する
(暗号論的)擬似乱数生成機が存在する
擬似ランダム関数の族が存在する。
署名方式が存在する。