[N] üzerinde sadece sabit zaman ve mekan kullanarak bağımsız bir permütasyon oluşturabilir miyiz?

Let sabit sabit. tamsayısı verildiğinde bir permütasyonu oluşturmak istiyoruz : $k>0$ $n$ $\sigma \in S_n$

Konstrüksiyon sabit zaman ve mekan kullanır (yani ön işleme sabit zaman ve mekan gerektirir). Rasgeleleştirmeyi kullanabiliriz.
Verilen , sabit zaman ve mekan olarak hesaplanabilir. $i\in[n]$ $\sigma(i)$
Permütasyon isimli tarzında bağımsız yani tüm , rastgele değişkenler bağımsız ve düzgün dağılmış olan . $\sigma$ $k$ $i_1, \ldots, i_k$ $\sigma(i_1), \ldots, \sigma(i_k)$ $[n]$

Şu anda bildiğim tek şey, yalancı rasgele üreteçler kullanarak değeri başına logaritmik uzay ve polinom hesaplama süresini kullanıyor. $\sigma(i)$

Arka fon

Bazı yeni işler için yukarıdaki gibi bir şeye ihtiyacım vardı ve daha zayıf bir şey kullandım: Tekrarlanan girişlere izin verdim ve ihtiyacım olan tüm numaraların kapsandığını doğruladım (yani bir karmaşa). Özellikle, zamanda hesaplanabilen ve sabit boşluk kullanılarak yönlü bağımsız bir dizi aldım . Daha basit bir şeye sahip olmak ya da sadece bilineni bilmek güzel olurdu. $k$ $O(1)$

Varsayımlar

Birim maliyetli RAM modelini varsayıyorum. Bellek / kayıttaki her kelime boyutundadır ve her temel aritmetik işlem zaman alır. Makul bir kriptografik varsayım (tek yönlü işlev, ayrık günlük, vb.) $O(\log n)$ $O(1)$

Mevcut şey

Kaveh tarafından önerildiği gibi, şu anda sahip olduğum "kolay" kesmek (bu oldukça standart): Let asal üzerinde bir polinom olmak ( olarak düşünün ). Burada, her den homojen ve rastgele örneklenir . O görmek kolaydır tekrarları sahip bir dizidir, ama o kabaca tarzında, bağımsız ve öğesinin bu sırada görünür. Ancak, sayılar bu sırayla tekrarlandığından, bir permütasyon olmadığını unutmayın. $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$ $p$ $p$ $n$ $a_i$ $[p]$ $\sigma(1), \sigma(2), \ldots, \sigma(n)$ $k$ $n(1-1/e)$ $[n]$

— Sariel Har-Peled
kaynak

Hayır. Sabit zamanda yalnızca sabit miktarda çıktı verebilirsiniz, bu nedenle herhangi bir sabit zamanlı algoritma için yeterince büyük , koşul 3'teki rastgele değişkenlerin destekleri nin katı alt kümeleri olacaktır .

$\:$

n

$n$

[n]

$[n]$

$\;\;\;\;$

Permütasyon girişi başına sabit miktarda hesaplama gerektirir - böylece toplam hesaplama süresi tüm permütasyon için doğrusal olabilir.

— Sariel Har-Peled

Boşluğa gelince - model kelimesini varsayıyorum - bu yüzden logaritmik bit sayısı olsa bile her kelime sabit miktarda yer kaplar.

— Sariel Har-Peled

Kısmi çözüm: diyelim ki birinci güç ve . Let ile bir alan olabilir . Takım rasgele için ile . O zaman , "sabit zaman" içinde hesaplanabilen element üzerinde çift bağımsız bir permütasyon olur . Belki bu genelleme yapar.

n

$n$

k = 2

$k=2$

F

$\mathbb{F}$

| F | = n

$|\mathbb{F}|=n$

σ (x) = a x + b

$\sigma(x)=ax+b$

a, b \in F

$a,b \in \mathbb{F}$

a \neq 0

$a \ne 0$

σ

$\sigma$

n

$n$

— Thomas

Yeh. Bunu biliyordum ;). Sorun şu ki, çok daha büyük olmalı ve sadece lineer polinomlar yüksek dereceli olanlar değil permütasyonlardır.

k

$k$

— Sariel Har-Peled

Kriptografik teknikler kullanmaya ve kriptografik varsayımlara güvenmeye ve yönlü bağımsızlık için hesaplamalı bir nosyonu kabul etmeye istekli iseniz , formatı koruyan şifrelemenin (FPE) yardımcı olabileceği düşünülebilir . Bu türden birkaç farklı yapı çizeyim. $k$

( "Hesaplama kavramı ile tarzında bağımsızlık", ben makul çalışma süresi ile hiçbir düşman ayırt anlamına bir gelen önemsiz avantajla dışında bağımsız permütasyon tarzında Bu şemalar bilgi teorik olmayacaktır. - bilge bağımsızdırlar, ancak görünürdeki tüm hesaplamanın hesaplamaya bağlı olduğu varsayılarak, "temelde yönlü bağımsızlar kadar iyi " olacaklardır.) $k$ $\sigma$ $k$ $k$ $k$

Daha küçük için pratik bir şema $n$

Özellikle, imzalı bir blok şifreleme ( , PRP) oluşturmak için bir FPE yapısı kullanın . den küçük değerleri için , muhtemelen en iyi şema, sabit sayıda mermi (örneğin, 10) ve AES'den türetilen bir PRF olan yuvarlak bir işlevi olan bir Feistel yapısı kullanmaktır. Çalışma süresi değerlendirmek tek bir değeri olacak , AES çağrıların. Her AES çağrısı sabit zamanda çalışır. $\sigma_k : [n] \to [n]$ $n$ $2^{128}$ $\sigma_k(i)$ $i$ $O(1)$

Son olarak, herhangi bir sözde permütasyonun otomatik olarak yönünden bağımsız olduğuna dikkat edin . Özellikle, Luby-Rackoff teoremi, AES'nin güvenli olduğu varsayılarak , en az 3 turda olursa (yaklaşık) yönlü bağımsızlık elde edeceğinizi garanti eder . Daha fazla mermi ile, daha güçlü bir sonuç olacağı muhtemeldir, ancak teoremlerin kanıtlanması ve daha teknik hale gelmesi daha zordur, ancak sabit sayıda merminin son derece yüksek güvenlik elde etmek için yeterli olduğuna inanılmaktadır (ve aslında mükemmel - ) tüm makul değerleri için akıllı bağımsızlık . $k$ $k$ $k \ll n^{1/4}$ $k$ $k$

Bunu daha büyük genelleme $n$

Ne zaman büyüktür birim maliyetli RAM modeli örtülü kadar izin verir, çünkü işler, daha tuhaf olsun ücretsiz paralellik. Bu modelde PRP'lerin maliyetinin ne olması gerektiği bana net değil ( ile arttı ? Bilmiyorum). $n$ $O(\lg n)$ $n$

Mümkün olan üçüncü bir inşaat

, biraz daha büyük bir RSA modülü olsun . , Jacobi sembolü olan öğeleri içeren alt grubu olarak tanımlayın . Define tarafından $m$ $2n$ $G$ $(\mathbb{Z}/m\mathbb{Z})^*$ $+1$ $\pi : G \to G$

π (x) = x^{3} mod m .

$\pi(x) = x^3 \bmod m.$

Ardından, by $\sigma$

σ (i) = g (π (f (i)),

$\sigma(i) = g(\pi(f(i)),$

burada rasgele iki-bağımsız karma fonksiyonlardır. $f,g$

Bu yapının RSA benzeri bir varsayım altında (yaklaşık) yönlü bağımsız olma şansına sahip olduğundan şüpheleniyorum . Kanıtım yok, sadece sezgim var. bilinen ana düzenliliği , çarpma olarak homomorfik olmasıdır: . İlgili başka düzenlilikler, hatta yönlü bağımlılık bile bilmiyorum. Önce ve sonra 2 bağımsız karma uygulamak kanıtlanabilir bu düzenlilik ortadan kaldırır: eğer olduğunu tarzında bağımsızlık çarpımsal homomorphicity haricinde sonra 2-bilge bağımsız karmaları onlar tam sağlamalıdır gibi görünebilir $k$ $\pi$ $\pi(xy) = \pi(x) \pi(y)$ $k$ $\pi$ $\pi$ $k$ $k$ yönlü bağımsızlık. Ancak bu, yönlü bağımsızlığın bir kanıtı olan süper taslak ve ışık yılları . $k$

yerine üzerinde çalışmasını sağlamak için biçimi koruyan şifreleme tekniklerini (örn. Döngü tekniği) kullanmanız gerektiğini unutmayın . Bu şema, belirli bir girişinde , uygun seçimi ile değerini değerlendirmek için (beklenen) çalışma süresine sahip olmalıdır . $f,g$ $G$ $(\mathbb{Z}/m\mathbb{Z})$ $O(1)$ $\sigma(i)$ $i$ $f,g$

Ayrıca, bir anlamda bu aday yapı, gerçekten makul olmayan büyük değerleri için zamanında bit sayıları üzerinde çalışabilme yeteneğine güvenerek birim maliyetli RAM modelini kötüye kullanıyor . uygulama. (Bu son inşaat küçük değerleri için güvenli olmayacak bu son yaklaşım temelde orta serili dayanır, böylece bu çalışma şansı için rejim birim maliyetli RAM model en nerede ... tam rejimi şüpheli.) $\lg n$ $O(1)$ $n$ $n$ $n$

Bunun oldukça gergin olduğunu itiraf ediyorum, ancak daha iyi bir çözüm için biraz ilham tetiklemesi durumunda bahsediyorum.

Örneğin, uygun bir eliptik eğri grubu ile değiştirmek mümkün olabilir , böylece üzerinde var (eliptik eğri gruplarının genellikle çarpımsal gösterimden ziyade ek gösterim kullandığını hatırlayın). Bununla ilgili iyi olan şey, eğer eliptik eğri grubu doğru seçilirse, "kara kutu grubu" gibi davranacağını, etkili bir şekilde olacağını ima edebileceğini varsaymak tamamen mantıksız değildir. -yönlü bağımsız "çarpımsal homomorfizmanın ima ettiği etkiler hariç". Teklif etmeye hazır eksiksiz bir yapım yok (eksik parça nasıl seçeceğidir) $G$ $\pi(x) = e x$ $G$ $G$ $G$ $\pi$ $k$ $G$ ve nasıl kurulacağı ve bundan yönlü bağımsızlığın nasıl kanıtlanacağı ), ancak parçaları bir şekilde bir araya getirmek mümkün olabilir. $f,g$ $k$

— DW
kaynak

Bu çok ilginç - önümüzdeki birkaç hafta boyunca seyahat ediyorum, ama geri döndüğümde içine bakmak istiyorum. Teşekkürler!

— Sariel Har-Peled

[N] üzerinde sadece sabit zaman ve mekan kullanarak bağımsız bir permütasyon oluşturabilir miyiz?

Arka fon

Varsayımlar

Mevcut şey

Daha küçük için pratik bir şemannn

Bunu daha büyük genellemennn

Mümkün olan üçüncü bir inşaat

Daha küçük için pratik bir şema $n$

Bunu daha büyük genelleme $n$