일정한 시간과 공간만을 사용하여 [n]에 k- 와이드 독립 순열을 구성 할 수 있습니까?

하자 고정 상수. 정수 n이 주어지면 다음과 같이 순열 σ ∈ S n 을 구성하려고 합니다.$k>0$$n$$\sigma \in S_n$

1. 시공에는 일정한 시간과 공간이 사용됩니다 (즉, 전처리에는 일정한 시간과 공간이 필요함). 무작위 화를 사용할 수 있습니다.

2. 주어진 , σ ( i ) 는 일정한 시간과 공간에서 계산 될 수 있습니다.$i\in[n]$$\sigma(i)$

3. 순열 는 k와 독립적이며, 즉 모든 i 1 , … , i k 에 대해 랜덤 변수 σ ( i 1 ) , … , σ ( i k ) 는 독립적이고 [ n ]에 균일하게 분포 됩니다.$\sigma$$k$$i_1, \ldots, i_k$$\sigma(i_1), \ldots, \sigma(i_k)$$[n]$

내가 현재 아는 유일한 것은 의사 난수 생성기를 사용하여 값당 로그 공간과 다항식 계산 시간을 사용한다는 것 입니다.$\sigma(i)$

배경

나는 최근의 작업을 위해 위와 같은 것이 필요했고 더 약한 것을 사용하게되었습니다. 나는 반복 된 항목을 허용하고 필요한 모든 숫자가 포함되었는지 확인했습니다 (즉, 혼란). 구체적으로, 나는 O ( 1 ) 시간 으로 계산 하고 일정한 공간을 사용하여 wise 독립 시퀀스를 얻었습니다 . 더 간단한 것을 가지고 있거나 알려진 것을 아는 것이 좋을 것입니다.$k$$O(1)$

가정

단가 RAM 모델을 가정하고 있습니다. 메모리 / 레지스터의 모든 단어의 크기는 이며 모든 기본 산술 연산에는 O ( 1 ) 시간 이 걸립니다 . 합리적인 암호화 가정 (단방향 기능, 이산 로그 등)을 가정합니다.$O(\log n)$$O(1)$

현재 물건

P의 P N I [ P ] σ ( 1 ) , σ ( 2 ) , ... , σ ( N ) K N ( 1 - 1 / E ) [ n $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$$p$$p$$n$$a_i$$[p]$$\sigma(1), \sigma(2), \ldots, \sigma(n)$$k$$n(1-1/e)$$[n]$이 순서로 나타납니다. 그러나이 순서에서 숫자가 반복되므로 순열이 아닙니다.

암호화 기술을 기꺼이 사용하고 암호화 가정에 의존하고 독립성 의 계산 개념을 받아들이는 경우 형식 보존 암호화 (FPE)가 도움이 될 수 있습니다. 이런 종류의 몇 가지 구성을 스케치하겠습니다.$k$

( "의 계산 개념으로 -wise 독립"나는 합리적인 실행 시간이 더 적을 구별 할 수 없습니다 것을 의미 A로부터 무시할 수있는 장점이있는 경우를 제외하고, 독립적 인 순열 -wise이 계획은 정보 이론적으로하지 않습니다. - 현명한 독립적이지만 가시적 인 모든 계산이 계산적으로 묶여 있다고 가정하면 "필수적으로 wise 독립적 인 것" 입니다.)σ k k $k$$\sigma$$k$$k$$k$

더 작은 대한 실용적인 계획$n$

특히 FPE 구성을 사용하여 서명을 사용하여 블록 암호 (의사 난수 순열, PRP)를 작성하십시오 . 보다 작은 값의 경우 아마도 가장 좋은 방법은 고정 된 라운드 수 (예 : 10)와 AES에서 파생 된 PRF 인 라운드 함수를 가진 Feistel 구성을 사용하는 것입니다. 단일 값에 대해 를 평가하는 실행 시간 은 AES 호출입니다. 각 AES 호출은 일정한 시간에 실행됩니다.n 2 128 σ k ( i ) i O ( 1 $\sigma_k : [n] \to [n]$$n$$2^{128}$$\sigma_k(i)$$i$$O(1)$

마지막으로 의사 난수 순열은 자동으로 독립적입니다. 특히 Luby-Rackoff 정리 는 AES가 안전하다고 가정 할 때 최소 3 라운드에서 인 경우 (대략적인) 독립성을 보장합니다. 라운드가 많을수록 더 강한 결과가 나올 수 있지만 이론은 증명하기가 더 어렵고 기술적으로 발전하기는 어렵지만 일정한 라운드 수는 보안을 높이기 위해서는 충분하다고 . 모든 합리적인 값에 대한 현명한 독립 ).K K « n은 1 / 4 K $k$$k$$k \ll n^{1/4}$$k$$k$

이것을 더 큰 일반화$n$

때 큰 단위 비용 RAM 모델은 암시 적으로 최대 수 있기 때문에, 가지, 괴상 얻을 무료로 병렬 처리. 이 모델에서 PRP의 비용이 얼마인지 명확하지 않습니다 (상수? 증가 ? 모르겠다).$n$$O(\lg n)$$n$

세 번째 가능한 건설

보다 약간 큰 RSA 계수라고 하자 . Jacobi 기호가 인 요소를 포함하는 를 의 하위 그룹으로 정의하십시오 . 정의 by$m$$2n$$G$$(\mathbb{Z}/m\mathbb{Z})^*$$+1$$\pi : G \to G$

다음으로 를$\sigma$

여기서 는 무작위 bijective 2 독립 해시 함수입니다.$f,g$

나는이 구조가 RSA와 같은 가정 하에서 (약) 독립적 일 가능성이 있다고 생각 한다. 증거가없고 직감 만 있습니다. 의 알려진 기본 규칙 은 곱하기 동형이라는 것입니다 : . 나는 와 같은 다른 관련 규칙을 모른다 . 전후 2 독립적 인 해시를 적용 라도 유용이 규칙을 제거 : 경우 인 -wise 독립성이 곱셈 homomorphicity을 제외하고, 다음 2 현명한 독립적 인 해시들이 전체 제공해야처럼 보인다$k$$\pi$$\pi(xy) = \pi(x) \pi(y)$$k$$\pi$$\pi$$k$$k$현명한 독립. 그러나 이것은 현명한 독립 의 증거로 인해 초박형 이며 광년 입니다.$k$

가 아닌 작동 하도록하려면 형식 보존 암호화 기술 (예 : 순환 기술)을 사용해야 합니다. 이 체계는 주어진 입력 에서 를 평가하기 위해 (예상) 실행 시간을 가져야하며 , 적절한 선택해야 합니다.$f,g$$G$$(\mathbb{Z}/m\mathbb{Z})$$O(1)$$\sigma(i)$$i$$f,g$

또한, 어떤 의미에서이 후보의 구조에서 작동 할 수있는 능력에 의존하여 단위 비용 RAM 모델을 남용 에서 비트 숫자 의 큰 값, 시간을 정말 합리적인 아닌, 연습. (이 마지막 구성은 작은 값의 대해 안전하지 않으므로이 마지막 접근 방식은 기본적으로 큰 체제에 의존하여 작동 할 수있는 기회를 얻습니다 ... 정확히 단위 비용 RAM 모델이 가장 큰 체제 모호한.)$\lg n$$O(1)$$n$$n$$n$

나는 이것이 상당히 스트레칭이라는 것을 자유롭게 인정하지만, 더 나은 해결책을 얻기 위해 영감을 얻는 경우를 언급합니다.

예를 들어, 교체 할 수있을 우리가 가지고 적당한 타원 곡선 그룹 통해 (타원 곡선 그룹은 일반적 첨가제 표기보다는 곱셈 표기법을 사용하고 있다는 점을 상기하라). 이것에 대한 좋은 점은 타원 곡선 그룹 가 올바르게 선택되면 가 "블랙 박스 그룹"처럼 행동한다는 것입니다. 가 가 될 것임을 효과적으로 암시합니다 -독립적 독립적 인 "증식 동형에 의해 암시 된 효과는 제외". 제안 할 준비가 완료되지 않았습니다 (누락 된 부분은 를 선택하는 방법입니다)π ( x ) = e x G G G π k G f , g $G$$\pi(x) = e x$$G$$G$$G$$\pi$$k$$G$그리고 를 구성하는 방법 과 이것으로부터 와의 독립성 을 증명하는 방법 ), 어떻게 든 조각을 모을 수 있습니다.$f,g$$k$