У чому полягає мотивація визначення псевдовипадковості у Нісана / Вігдерсона?

Я читаю класику "Твердість проти випадковості" Нісана та Вігдерсона. Нехай , і зафіксувати функцію л : N → N . Вони визначають сімейство функцій G = { G n : B l ( n ) → B n }, щоб бути псевдовипадковим у випадку, якщо для кожної схеми розміру n ми маємо$B=\{0,1\}$$l\colon \mathbb{N} \to \mathbb{N}$$G = \{G_n : B^{l(n)} \to B^n\}$$n$

$(*) \ \ | P(C(x) = 1) - P(C(G(y))=1) | < 1/n$

(де - рівномірні випадкові величини).$x \in B^{n},y \in B^{l(n)}$

Я розумію, що я повинен вважати і y як випадкові змінні, і що я хочу порівняти відстань між x і G ( y ) як випадкові величини. Я розумію, що схеми використовуються як "тести", щоб побачити, чи можна G визначити ". З чим я справді боюся, це те, що умова ( ∗ ) є правильною. Хтось має поради, як думати про це визначення?$x$$y$$x$$G(y)$$G$$(*)$

Є два аспекти, які потрібно згадати.

Перший - це загальна ідея визначення PRG, маючи його вихідний вигляд, відмінний від рівномірного для малих ланцюгів . Ця ідея сходить до Яо і справді є найсильнішим можливим визначенням, яке ви можете запропонувати, коли чітко націлюєтесь на псевдовипадковість для обчислювально обмежених спостерігачів.

Другий аспект - це вибір параметрів, де ми обмежуємо розмір схеми до а різниця ймовірності прийняття дорівнює 1 / n , де n - також вихідний розмір PRG. Цей вибір дещо інший, ніж звичайний криптовалюта, де розмір ланцюга p o l y ( n ) і різниця ймовірностей повинна бути меншою, ніж будь-яка p o l y ( n ) . У нашому випадку конкретні параметри (а не p $n$$1/n$$n$$poly(n)$$poly(n)$$poly(n)$) потрібні були для отримання найбільш чітких результатів, зокрема, поліноміального моделювання. Хоча в принципі можна було мати 3 різні параметри, виявилося, що в наших результатах вони працювали по суті однаково, тому ми склали їх до єдиного (на додаток до вхідного розміру який розглядався як функція $l(n)$$n$ ).

Я аж ніяк не експерт з цього питання, але ключовим компонентом визначення псевдовипадковості (на відміну від спроб визначити випадковість) є те, що мета чогось "псевдовипадкового" - обдурити ланцюг. Іншими словами, мотивація полягає в тому, щоб думати про те, що псевдовипадкова рядок подається в ланцюг замість справді випадкової рядки.

У цьому сенсі, насправді ви не намагаєтесь зробити вигляд, що і G ( y $x$$G(y)$ "виглядають однаково". Це те, що вони «виглядають однаково» до схеми (обов'язково обмеженої складності).

Тому роль схеми є вирішальною, на відміну від того, щоб бути просто "тестовою функцією".

Сподіваюся, я можу трохи розширити відповідь Суреша. По- перше, я не думаю , що строгість нерівності необхідно в вашому , і я також не знаю , чому 1 / п потрібно, а не 1 / +2 п або що - то інше. Однак практично, я думаю, що 1 / n достатньо для отримання цікавих теоретичних результатів.$(*)$$1/n$$1/2n$

Але тоді ви майже напевно хочете стверджувати, що кожне є обчислюваним за деякий проміжок часу, скажімо, експоненціальне. Далі, я думаю, вам доведеться стверджувати, що l ( n ) < n . Ви можете вважати l ( n ) як довжину насіння. Таким чином, G i є псевдовипадковою, якщо вона може збільшити кількість бітів у випадковій рядку довжиною l ( n ) без виявлення схемою розміром менше n .$G_i$$l(n) < n$$l(n)$$G_i$$l(n)$$n$