Доведення безпеки генератора псевдовипадкових чисел Нісана-Вігдерсона

Нехай - часткове ( m , k ) -дизайн, а f : { 0 , 1 } m → { 0 , 1 } - булева функція. Генератор Нісана-Вігдерсона G f : { 0 , 1 } l → { 0 , 1 } n визначається так:$\cal{S}=\{S_i\}_{1\leq i\leq n}$$(m,k)$$f: \{0,1\}^m \to \{0,1\}$$G_f: \{0,1\}^l \to \{0,1\}^n$

Для обчислення го біта G f беремо біти x з індексами в S i, а потім застосовуємо до них f .$i$$G_f$$x$$S_i$$f$

Припустимо, що дорівнює $f$ твердий для ланцюгів розміромnc,деc- константа. Як ми можемо довести, щоGfє(n$\frac{1}{n^c}$$n^c$$c$$G_f$-безпечний генератор псевдовипадкових чисел?$(\frac{n^c}{2}, \frac{2}{n^c})$

Визначення:

Часткове -проектування - це сукупність підмножин S 1 , … , S n ⊆ [ l ] = { 1 , … , l } таких, що$(m,k)$$S_1, \ldots, S_n \subseteq [l] = \{1, \ldots, l\}$

• для всіх : | S i | = m , і$i$$|S_i|=m$
• для всіх : | S i ∩ S j | ≤ k .$i \neq j$$|S_i \cap S_j| \leq k$

Функція є ε -Жорсткий для ланцюгів розміром з МФЛ НЕ ланцюга розміру s може передбачити п з імовірністю е краще , ніж жеребкування.$f$$\epsilon$$s$$s$$f$$\epsilon$

Функція є ( s , ϵ ) -безпечний генератор псевдовипадкових чисел, якщо жодна схема розміру s не може розрізнити випадкове число і число, породжене G f за допомогою ймовірність краща, ніж ϵ .$G:\{0,1\}^l \to \{0,1\}^n$$(s, \epsilon)$$s$$G_f$$\epsilon$

Ми використовуємо Для рядка , що складається з ї біт «и з індексами в A .$x|_A$$x$$A$

Ось відповідь Рана Г., згадана в коментарях: Google дає досить приємні результати: 1 , 2 .