Chúng ta có thể xây dựng một hoán vị độc lập k-khôn ngoan trên [n] chỉ bằng cách sử dụng thời gian và không gian không đổi?

Đặt là hằng số cố định. Cho một số nguyên , chúng tôi muốn xây dựng một hoán vị sao cho:$k>0$$n$$\sigma \in S_n$

1. Việc xây dựng sử dụng thời gian và không gian không đổi (tức là quá trình tiền xử lý mất thời gian và không gian không đổi). Chúng ta có thể sử dụng ngẫu nhiên.

2. Cho$i\in[n]$ , $\sigma(i)$ có thể được tính trong thời gian và không gian không đổi.

3. Các hoán vị $\sigma$ là $k$ -wise độc lập, tức là, cho tất cả $i_1, \ldots, i_k$ , các biến ngẫu nhiên $\sigma(i_1), \ldots, \sigma(i_k)$ là độc lập và phân bố đều trên $[n]$ .

Điều duy nhất tôi biết hiện nay sử dụng không gian logarit và thời gian tính toán đa thức mỗi giá trị của $\sigma(i)$ sử dụng máy phát điện giả ngẫu nhiên.

Lý lịch

Tôi cần một cái gì đó giống như ở trên cho một số công việc gần đây và cuối cùng tôi đã sử dụng một thứ yếu hơn: Tôi cho phép các mục lặp đi lặp lại và xác minh rằng tất cả các số mà tôi cần đã được bảo hiểm (ví dụ, một mớ hỗn độn). Cụ thể, tôi có một chuỗi độc lập $k$ chiều có thể được tính trong thời gian $O(1)$ và sử dụng không gian không đổi. Sẽ thật tốt nếu có một cái gì đó đơn giản hơn, hoặc chỉ cần biết những gì đã biết.

Giả định

Tôi giả sử mô hình RAM chi phí đơn vị. Mỗi từ trong bộ nhớ / thanh ghi có kích thước và mọi thao tác số học cơ bản đều mất O ( 1 ) thời gian. Tôi sẵn sàng giả định bất kỳ giả định mật mã hợp lý nào (hàm một chiều, nhật ký rời rạc, v.v.).$O(\log n)$$O(1)$

Hiện tại điều

$\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$$p$$p$$n$$a_i$$[p]$$\sigma(1), \sigma(2), \ldots, \sigma(n)$$k$$n(1-1/e)$$[n]$ xuất hiện trong chuỗi này. Tuy nhiên, lưu ý rằng vì các số lặp lại trong chuỗi này, nó không phải là một hoán vị.

Nếu bạn sẵn sàng sử dụng các kỹ thuật mã hóa và dựa vào các giả định về mật mã và chấp nhận một khái niệm tính toán về tính độc lập theo chiều , thì có thể thấy rằng mã hóa bảo toàn định dạng (FPE) có thể hữu ích. Hãy để tôi phác thảo một vài công trình khác nhau của loại này.$k$

(Bằng cách "khái niệm tính toán của -wise độc lập", tôi muốn nói rằng không có kẻ thù với một thời gian chạy hợp lý có thể phân biệt từ một -wise hoán vị độc lập, trừ trường hợp có lợi thế đáng kể Những đề án sẽ không được thông tin về mặt lý thuyết. - độc lập khôn ngoan, nhưng họ sẽ "về cơ bản tốt như độc lập -wise", giả sử tất cả các tính toán trong tầm nhìn bị giới hạn tính toán.)$k$$\sigma$$k$$k$$k$

Một kế hoạch thực tế, cho nhỏ hơn$n$

Cụ thể, sử dụng cấu trúc FPE để xây dựng một mật mã khối (hoán vị giả ngẫu nhiên, PRP) với chữ ký . Đối với các giá trị nhỏ hơn , có lẽ sơ đồ tốt nhất là sử dụng cấu trúc Feistel với số vòng cố định (giả sử, 10) và hàm tròn là PRF có nguồn gốc từ AES. Thời gian chạy để đánh giá cho một giá trị duy nhất của sẽ là các lệnh AES . Mỗi lần gọi AES chạy trong thời gian không đổi.$\sigma_k : [n] \to [n]$$n$$2^{128}$$\sigma_k(i)$$i$$O(1)$

Cuối cùng, lưu ý rằng mọi hoán vị giả ngẫu nhiên đều tự động độc lập theo chiều . Đặc biệt, định lý Luby-Rackoff đảm bảo rằng có ít nhất 3 viên đạn, bạn sẽ có được (xấp xỉ) độc lập -wise nếu , giả sử AES được an toàn. Với nhiều vòng hơn, có khả năng sẽ có kết quả mạnh hơn, nhưng các định lý khó chứng minh và trở nên kỹ thuật hơn, mặc dù người ta tin rằng một số vòng không đổi sẽ đủ để có được bảo mật cực cao (và về cơ bản là hoàn hảo - độc lập khôn ngoan cho tất cả các giá trị hợp lý của ).$k$$k$$k \ll n^{1/4}$$k$$k$

Tổng quát hóa điều này để n lớn hơn$n$

Khi lớn hơn, mọi thứ trở nên kỳ lạ hơn, bởi vì mô hình RAM chi phí đơn vị hoàn toàn cho phép lên tới song song O ( lg n ) miễn phí. Tôi không rõ chi phí PRPs trong mô hình này là bao nhiêu (không đổi? Tăng theo n ? Tôi không biết).$n$$O(\lg n)$$n$

Một công trình thứ ba có thể

Đặt là mô đun RSA lớn hơn 2 n một chút . Xác định G là nhóm con của ( Z / m Z ) * có chứa các yếu tố có Kí hiệu Jacobi là + 1 . Xác định π : G → G bằng$m$$2n$$G$$(\mathbb{Z}/m\mathbb{Z})^*$$+1$$\pi : G \to G$

Tiếp theo, xác định bởi$\sigma$

Trong đó là các hàm băm 2 độc lập ngẫu nhiên.$f,g$

Tôi nghi ngờ công trình này có cơ hội độc lập (xấp xỉ) chiều, theo giả định giống như RSA. Tôi không có bằng chứng, chỉ là một trực giác. Tính đều đặn chính được biết đến của là nó là phép đồng hình nhân: . Tôi không biết về bất kỳ sự đều đặn liên quan nào khác, thậm chí phụ thuộc -wise. Áp dụng hàm băm 2 độc lập trước và sau có thể loại bỏ tính đều đặn này: nếu là độc lập theo chiều trừ trường hợp đồng nhất nhân, thì băm độc lập 2 chiều có vẻ như chúng sẽ cung cấp đầy đủ$k$$\pi$$\pi(xy) = \pi(x) \pi(y)$$k$$\pi$$\pi$$k$$k$độc lập theo chiều. Nhưng đây là siêu sơ sài và năm ánh sáng từ một bằng chứng về sự độc lập -wise.$k$

Lưu ý rằng bạn sẽ cần sử dụng các kỹ thuật mã hóa bảo toàn định dạng (ví dụ: kỹ thuật đạp xe) để đảm bảo rằng hoạt động trên G thay vì trên ( Z / m Z ) . Đề án này cần có O ( 1 ) thời gian chạy (dự kiến) để đánh giá σ ( i ) tại một đầu vào cho tôi , với sự lựa chọn phù hợp của f , g .$f,g$$G$$(\mathbb{Z}/m\mathbb{Z})$$O(1)$$\sigma(i)$$i$$f,g$

Ngoài ra, trong một số trường hợp, việc xây dựng ứng cử viên này đang lạm dụng mô hình RAM chi phí đơn vị bằng cách dựa vào khả năng hoạt động trên các số -bit trong thời gian O ( 1 ) , đối với các giá trị lớn của n , không thực sự hợp lý trong thực tế . (Xây dựng cuối cùng này sẽ không được an toàn cho các giá trị nhỏ của n , vì vậy phương pháp cuối cùng này về cơ bản phụ thuộc vào việc mô lớn n chế độ cho nó để có cơ hội làm việc ... chính xác chế độ nơi mô hình RAM đơn vị chi phí là nhất mơ hồ.)$\lg n$$O(1)$$n$$n$$n$

Tôi thoải mái thừa nhận rằng cái này khá căng, nhưng tôi đề cập đến nó trong trường hợp nó kích hoạt một số cảm hứng cho một giải pháp tốt hơn.

Ví dụ, có thể thay thế bằng một nhóm đường cong elip phù hợp, do đó chúng ta có π ( x ) = e x trên G (nhớ lại rằng các nhóm đường cong elliptic thường sử dụng ký hiệu cộng chứ không phải ký hiệu nhân). Điểm hay của việc này là không hoàn toàn vô lý khi phỏng đoán rằng, nếu nhóm đường cong elip G được chọn đúng, G sẽ hành xử giống như một "nhóm hộp đen", mà tôi nghĩ có thể ngụ ý rằng π sẽ là $G$$\pi(x) = e x$$G$$G$$G$$\pi$$k$- độc lập theo chiều "ngoại trừ các hiệu ứng được ngụ ý bởi phép đồng hình nhân". Tôi chưa có một công trình hoàn chỉnh sẵn sàng để đề xuất (phần còn thiếu là cách chọn và cách xây dựng f , g và cách chứng minh tính độc lập k -wise từ điều này), nhưng có thể bằng cách nào đó có thể ghép các mảnh lại với nhau .$G$$f,g$$k$