Bisakah kita membangun permutasi k-wise independen pada [n] hanya menggunakan ruang dan waktu yang konstan?

Biarkan $k>0$ menjadi konstanta tetap. Diberikan bilangan bulat $n$ , kami ingin membangun permutasi $\sigma \in S_n$ sedemikian rupa sehingga:

1. Konstruksi menggunakan waktu dan ruang konstan (yaitu preprocessing membutuhkan waktu dan ruang konstan). Kita bisa menggunakan pengacakan.

2. Mengingat $i\in[n]$ , $\sigma(i)$ dapat dihitung dalam ruang dan waktu yang konstan.

3. Permutasi $\sigma$ adalah $k$ -wise independen, yaitu, untuk semua $i_1, \ldots, i_k$ , variabel acak $\sigma(i_1), \ldots, \sigma(i_k)$ adalah independen dan didistribusikan secara seragam melalui $[n]$ .

Satu-satunya hal yang saya ketahui saat ini menggunakan ruang logaritmik dan waktu komputasi polinomial per nilai $\sigma(i)$ menggunakan generator pseudo-acak.

Latar Belakang

Saya membutuhkan sesuatu seperti di atas untuk beberapa pekerjaan baru-baru ini, dan saya akhirnya menggunakan sesuatu yang lebih lemah: Saya memperbolehkan entri berulang dan memverifikasi bahwa semua angka yang saya butuhkan tertutup (yaitu, berantakan). Secara khusus, saya mendapat urutan independen $k$ -wise yang dapat dihitung dalam waktu $O(1)$ dan menggunakan ruang konstan. Akan menyenangkan untuk memiliki sesuatu yang lebih sederhana, atau hanya tahu apa yang diketahui.

Asumsi

Saya mengasumsikan model RAM unit-cost. Setiap kata dalam memori / register berukuran , dan setiap operasi aritmatika dasar membutuhkan O ( 1 ) waktu. Saya bersedia untuk mengasumsikan asumsi kriptografi yang masuk akal (fungsi satu arah, log diskrit, dll).$O(\log n)$$O(1)$

Thingy saat ini

p p n a i [ p ] σ ( 1 ) , σ ( 2 ) , ... , σ ( n ) k n ( 1 - 1 / e ) [ n $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$$p$$p$$n$$a_i$$[p]$$\sigma(1), \sigma(2), \ldots, \sigma(n)$$k$$n(1-1/e)$$[n]$ muncul dalam urutan ini. Perhatikan, bagaimanapun, bahwa karena angka berulang dalam urutan ini, itu bukan permutasi.

Jika Anda bersedia menggunakan teknik kriptografi dan bergantung pada asumsi kriptografi dan menerima gagasan komputasi tentang independensi - , mungkin saja enkripsi pelestarian format (FPE) dapat membantu. Biarkan saya membuat sketsa beberapa konstruksi yang berbeda dari jenis ini.$k$

(Dengan "gagasan komputasi -wise independensi", maksud saya bahwa tidak ada musuh dengan waktu berjalan yang wajar dapat membedakan σ dari permutasi independen k -wise, kecuali dengan keuntungan yang dapat diabaikan. Skema ini tidak akan menjadi informasi-secara teoritis k -wise independen, tetapi mereka akan "pada dasarnya sama baiknya dengan k -wise independent", dengan asumsi semua perhitungan yang terlihat dibatasi secara komputasi.)$k$$\sigma$$k$$k$$k$

Skema praktis, untuk yang lebih kecil $n$

Secara khusus, gunakan konstruksi FPE untuk membangun blok sandi (permisi acak acak, PRP) dengan tanda tangan . Untuk nilai n yang lebih kecil dari 2 128 , mungkin skema terbaik adalah menggunakan konstruksi Feistel dengan jumlah putaran tetap (katakanlah, 10) dan fungsi bundar yang merupakan PRF yang berasal dari AES. Waktu berjalan untuk mengevaluasi σ k ( i ) untuk nilai tunggal i akan menjadi O ( 1 ) doa AES. Setiap doa AES berjalan dalam waktu yang konstan.$\sigma_k : [n] \to [n]$$n$$2^{128}$$\sigma_k(i)$$i$$O(1)$

Akhirnya, perhatikan bahwa permutasi pseudorandom apa pun secara otomatis bebas- . Secara khusus, Luby-Rackoff Teorema menjamin bahwa dengan minimal 3 putaran, Anda mendapatkan (perkiraan) k kemerdekaan-bijaksana jika k « n 1 / 4 , dengan asumsi AES adalah aman. Dengan lebih banyak putaran, kemungkinan akan ada hasil yang lebih kuat, tetapi teorema lebih sulit untuk dibuktikan dan menjadi lebih teknis, meskipun secara luas diyakini bahwa jumlah putaran yang konstan cukup untuk mendapatkan keamanan yang sangat tinggi (dan dengan demikian pada dasarnya sempurna k - kemandirian bijak untuk semua nilai wajar k ).$k$$k$$k \ll n^{1/4}$$k$$k$

Membuat generalisasi ini menjadi lebih besar $n$

Ketika lebih besar, segalanya menjadi lebih aneh, karena model RAM unit-biaya secara implisit memungkinkan paralelisme O ( lg n ) secara gratis. Tidak jelas bagi saya berapa biaya PRP dalam model ini (konstan? Meningkat dengan n ? Saya tidak tahu).$n$$O(\lg n)$$n$

Kemungkinan konstruksi ketiga

Biarkan menjadi modulus RSA yang sedikit lebih besar dari 2 n . Tentukan G menjadi subkelompok ( Z / m Z ) * mengandung unsur-unsur yang simbol Jacobi adalah + 1 . Tentukan π : G → G oleh$m$$2n$$G$$(\mathbb{Z}/m\mathbb{Z})^*$$+1$$\pi : G \to G$

Selanjutnya, tentukan oleh$\sigma$

di mana adalah fungsi hash 2-independent bijective acak.$f,g$

Saya menduga konstruksi ini memiliki kemungkinan (kira-kira) -bebas independen, berdasarkan asumsi mirip RSA. Saya tidak punya bukti, hanya intuisi. Keteraturan yang diketahui utama dari π adalah bahwa itu adalah homomorfik multiplikasi: π ( x y ) = π ( x ) π ( y ) . Saya tidak tahu adanya keteraturan lain yang relevan, bahkan ketergantungan k- bijaksana. Menerapkan hash 2-independen sebelum dan sesudah π terbukti menghilangkan keteraturan ini: jika π adalah $k$$\pi$$\pi(xy) = \pi(x) \pi(y)$$k$$\pi$$\pi$$k$Kemandirian-bijaksana kecuali untuk homomorfisitas multiplikasi, maka hash independen 2-bijaksana sepertinya mereka harus memberikan kebebasan penuh bijaksana. Tapi ini super-samar dan tahun cahaya dari bukti k kemerdekaan-bijaksana.$k$$k$

Perhatikan bahwa Anda harus menggunakan teknik enkripsi pelestarian format (misalnya, teknik bersepeda) untuk memastikan bahwa bekerja pada G daripada pada ( Z / m Z ) . Skema ini harus memiliki waktu berjalan O ( 1 ) (diharapkan) untuk mengevaluasi σ ( i ) pada input i yang diberikan , dengan pilihan f , g yang sesuai .$f,g$$G$$(\mathbb{Z}/m\mathbb{Z})$$O(1)$$\sigma(i)$$i$$f,g$

Juga, dalam beberapa hal konstruksi kandidat ini menyalahgunakan model RAM unit-cost dengan mengandalkan kemampuan untuk beroperasi pada bit angka dalam waktu O ( 1 ) , untuk nilai n yang besar , yang dalam praktiknya tidak masuk akal. . (Konstruksi terakhir ini tidak akan aman untuk nilai-nilai kecil dari n , sehingga pendekatan terakhir ini secara fundamental bergantung pada-besar n rezim untuk itu untuk memiliki kesempatan untuk bekerja ... persis rezim di mana model RAM unit biaya yang paling meragukan.)$\lg n$$O(1)$$n$$n$$n$

Saya dengan bebas mengakui bahwa ini cukup melelahkan, tetapi saya sebutkan kalau-kalau itu memicu beberapa inspirasi untuk solusi yang lebih baik.

Misalnya, dimungkinkan untuk mengganti dengan kelompok kurva elips yang sesuai, sehingga kita memiliki π ( x ) = e x di atas G (ingat bahwa kelompok kurva eliptik biasanya menggunakan notasi aditif daripada notasi multiplikatif). Hal yang baik tentang hal ini adalah bahwa tidak sepenuhnya tidak masuk akal untuk menduga bahwa, jika kelompok kurva eliptik G dipilih dengan benar, G akan berperilaku seperti "kelompok kotak hitam", yang menurut saya mungkin secara efektif menyiratkan bahwa π akan menjadi $G$$\pi(x) = e x$$G$$G$$G$$\pi$$k$-bebas independen "kecuali untuk efek yang tersirat oleh homomorfisme multiplikasi". Saya tidak memiliki konstruksi yang lengkap yang siap untuk diusulkan (bagian yang hilang adalah bagaimana memilih dan bagaimana membangun f , g dan bagaimana membuktikan k -bebas dari ini), tetapi mungkin saja bisa menyatukan potongan-potongan itu entah bagaimana .$G$$f,g$$k$