Чи можемо ми побудувати k-мудрі незалежні перестановки на [n], використовуючи лише постійний час та простір?

Нехай - нерухома константа. З огляду на ціле число , ми хочемо побудувати перестановку таким чином:n σ ∈ S $k>0$$n$$\sigma \in S_n$

1. Конструкція використовує постійний час і простір (тобто попередня обробка займає постійний час і простір). Ми можемо використовувати рандомізацію.

2. З огляду на , можна обчислити в постійному часі та просторі.σ ( i $i\in[n]$$\sigma(i)$

3. Перестановка є -wise незалежних, тобто для всіх випадкові величини незалежні і рівномірно розподілені по .k i 1 , … , i k σ ( i 1 ) , … , σ ( i k ) [ n $\sigma$$k$$i_1, \ldots, i_k$$\sigma(i_1), \ldots, \sigma(i_k)$$[n]$

Єдине, що мені відомо в даний час, - це логарифмічний простір та поліноміальний час обчислення на значення використанням псевдовипадкових генераторів.$\sigma(i)$

Фон

Мені було потрібно щось подібне до вищезгаданої для недавньої роботи, і я в кінцевому підсумку використовував щось слабкіше: я дозволяв повторні записи і перевіряв, що всі номери, які мені потрібні, були вкриті (тобто безлад). Зокрема, я отримав незалежну послідовність, яку можна обчислити за час та використовувати постійний простір. Було б непогано мати щось простіше або просто знати, що відомо.O ( 1 $k$$O(1)$

Припущення

Я припускаю модель одиничної вартості оперативної пам'яті. Кожне слово в пам'яті / регістрі має розмір , і кожна основна арифметична операція займає час . Я готовий припустити будь-яке розумне криптографічне припущення (функція в одну сторону, дискретний журнал тощо).O ( 1 $O(\log n)$$O(1)$

Поточні речі

Як запропонував Kaveh, ось "легкий" хак, який у мене зараз є (це цілком стандартно): Нехай бути многочленом над простим (подумайте про як про ). Тут кожен рівномірно та випадковим чином відбирається з . Неважко помітити, що - це послідовність, що має повтори, але вона -поле незалежна і приблизно числа відображаються в цій послідовності. Однак зауважте, що оскільки числа повторюються в цій послідовності, це не перестановка.p p n a i [ p ] σ ( 1 ) , σ ( 2 ) , … , σ ( n ) k n ( 1 - 1 / e ) [ n $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$$p$$p$$n$$a_i$$[p]$$\sigma(1), \sigma(2), \ldots, \sigma(n)$$k$$n(1-1/e)$$[n]$

Якщо ви готові використовувати криптографічні прийоми і покладатися на криптографічні припущення та приймати обчислювальне поняття незалежності -wise, можливо, що шифрування, що зберігає формат (FPE), може бути корисним. Дозвольте мені накреслити кілька подібних конструкцій.$k$

(Під "обчислювальним поняттям незалежності" я маю на увазі, що жоден противник з розумним часом роботи не може відрізнити від -значно незалежної перестановки, за винятком незначної переваги. Ці схеми теоретично не будуть інформаційно - мудрі незалежні, але вони будуть «по суті так само хорошими, як і незалежні», якщо припустити, що всі обчислення в зорі обчислюються обчислювально.)σ k k $k$$\sigma$$k$$k$$k$

Практична схема, для менших$n$

Зокрема, використовуйте конструкцію FPE для побудови блокового шифру (псевдовипадкова перестановка, PRP) з підписом . Для значень , менших за , мабуть, найкращою схемою є використання конструкції Фейстеля з фіксованою кількістю кругів (скажімо, 10) та функцією кругла, яка є PRF, отриманою з AES. Час запуску для оцінки для одного значення буде Виклики AES. Кожне виклик AES працює в постійний час.n 2 128 σ k ( i ) i O ( 1 $\sigma_k : [n] \to [n]$$n$$2^{128}$$\sigma_k(i)$$i$$O(1)$

Нарешті, зауважте, що будь-яка псевдовипадкова перестановка автоматично є незалежною від . Зокрема, теорема Любі-Раккоффа гарантує, що принаймні за 3 раунди ви отримаєте (приблизну) -значну незалежність, якщо , вважаючи, що AES є безпечним. При більшій кількості раундів, ймовірно, буде більш сильний результат, але теореми важче довести і стати більш технічними, хоча поширена думка, що для отримання надзвичайно високої безпеки (і, таким чином, по суті, ідеального - достатньо постійної кількості раундів. мудра незалежність для всіх розумних значень ).до до « п 1 / 4 до $k$$k$$k \ll n^{1/4}$$k$$k$

Узагальнення цього на більші$n$

Коли більше, речі стають більш дивними, тому що модель оперативної пам’яті з одиничною вартістю неявно дозволяє отримати до паралелізм безкоштовно. Мені незрозуміло, якою має бути вартість PRP в цій моделі (постійне? Зростає з ? Я не знаю).O ( lg n ) $n$$O(\lg n)$$n$

Третя можлива конструкція

Нехай - модуль RSA, який трохи більше . Визначте як підгрупу що містить елементи, символом Якобі яких є . Визначте до2 n G ( Z / m Z ) ∗ + 1 π : G → $m$$2n$$G$$(\mathbb{Z}/m\mathbb{Z})^*$$+1$$\pi : G \to G$

Далі визначте за$\sigma$

де - випадкові бієктивні 2-незалежні хеш-функції.$f,g$

Я підозрюю, що ця конструкція має шанс бути (приблизно) незалежною, за припущенням, подібним до RSA. У мене немає доказів, просто інтуїція. Основна відома закономірність полягає в тому, що він мультиплікативно гомоморфний: . Я не знаю жодних інших релевантних закономірностей, навіть -wise залежності. Застосування 2-незалежного хешу до і після доказово усуває цю закономірність: якщо - незалежність, за винятком мультиплікативної гомоморфічності, то 2-мудрі незалежні хеші здаються такими, що вони повинні забезпечити повний$k$$\pi$$\pi(xy) = \pi(x) \pi(y)$$k$$\pi$$\pi$$k$$k$-не незалежність. Але це супер-схематично і світло-роки з доказів -wise незалежності.$k$

Зауважте, що вам потрібно використовувати методи шифрування, що зберігають формат (наприклад, техніку циклічного циклу), щоб працював на а не на . Ця схема повинна мати (очікуваний) час роботи для оцінки на заданому вході , з відповідним вибором .$f,g$$G$$(\mathbb{Z}/m\mathbb{Z})$$O(1)$$\sigma(i)$$i$$f,g$

Крім того, у певному сенсі ця конструкція-кандидата зловживає моделлю оперативної пам’яті з одиничною вартістю, покладаючись на можливість оперувати бітними номерами в час, для великих значень , що насправді не є розумним у практика. (Ця остання конструкція не буде безпечною для малих значень , тому цей останній підхід принципово покладається на великий режим, щоб він мав шанс працювати ... саме той режим, коли модель оперативної пам'яті за одиницю найбільше сумнівний.)$\lg n$$O(1)$$n$$n$$n$

Я вільно визнаю, що цей напрямок є досить розтяжним, але я згадую його у випадку, якщо це викликає натхнення для кращого рішення.

Наприклад, можливо, можливо, замінити на відповідну еліптичну групу кривих, так що у нас над (нагадаємо, що групи еліптичних кривих зазвичай використовують позначення адитивів, а не мультиплікативні позначення). Хороша річ у тому, що не зовсім розумно припускати, що якщо група еліптичних кривих буде обрана правильно, поводитиметься як "група чорних коробок", що, на мою думку, може ефективно означати, що буде -незалежно ", за винятком ефектів, що маються на увазі мультиплікативним гомоморфізмом". Я не готовий запропонувати повну конструкцію (відсутня деталь - як вибратиπ ( x ) = e x G G G π k G f , g $G$$\pi(x) = e x$$G$$G$$G$$\pi$$k$$G$і як сконструювати і як довести -wise незалежність від цього), але можливо, можна якось скласти частини.$f,g$$k$