เราสามารถสร้างการเปลี่ยนรูปแบบอิสระ k-wise บน [n] โดยใช้เวลาและพื้นที่คงที่ได้หรือไม่?

ให้เป็นค่าคงที่คงที่ ด้วยจำนวนเต็มเราต้องการสร้างการเรียงสับเปลี่ยนเช่นนั้น: $k>0$ $n$ $\sigma \in S_n$

การก่อสร้างใช้เวลาและพื้นที่คงที่ (เช่นการประมวลผลล่วงหน้าใช้เวลาและพื้นที่คงที่) เราสามารถใช้การสุ่ม
จาก ,สามารถคำนวณได้ในเวลาและพื้นที่คงที่ $i\in[n]$ $\sigma(i)$
เปลี่ยนแปลงมี -wise อิสระกล่าวคือสำหรับทุกตัวแปรสุ่มมีความเป็นอิสระและกระจายอย่างสม่ำเสมอมากกว่า[N] $\sigma$ $k$ $i_1, \ldots, i_k$ $\sigma(i_1), \ldots, \sigma(i_k)$ $[n]$

สิ่งเดียวที่ฉันรู้ในปัจจุบันใช้พื้นที่ลอการิทึมและเวลาคำนวณพหุนามต่อค่าของโดยใช้เครื่องกำเนิดไฟฟ้าแบบหลอกเทียม $\sigma(i)$

พื้นหลัง

ฉันต้องการบางอย่างเช่นข้างต้นสำหรับงานล่าสุดและฉันลงเอยด้วยการใช้สิ่งที่อ่อนแอกว่า: ฉันอนุญาตให้ทำรายการซ้ำแล้วซ้ำอีกและตรวจสอบว่าตัวเลขทั้งหมดที่ฉันต้องการได้รับการคุ้มครอง (เช่นระเบียบ) โดยเฉพาะฉันได้ลำดับ -wise อิสระที่สามารถคำนวณได้ในเวลาและใช้พื้นที่คงที่ มันคงจะดีถ้ามีอะไรที่ง่ายกว่านี้หรือแค่รู้ว่าอะไรเป็นที่รู้จัก $k$ $O(1)$

สมมติฐาน

ฉันกำลังสมมติรุ่น RAM ราคาต่อหน่วย คำในหน่วยความจำของทุกคน / ลงทะเบียนมีขนาด $O(\log n)$ และการดำเนินการทุกทางคณิตศาสตร์ขั้นพื้นฐานใช้เวลา $O(1)$ เวลา ฉันยินดีที่จะสมมติสมมติฐานการเข้ารหัสลับที่สมเหตุสมผล (ฟังก์ชันทางเดียวบันทึกที่ไม่ต่อเนื่อง ฯลฯ )

สิ่งปัจจุบัน

$\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$ $p$ $p$ $n$ $a_i$ $[p]$ $\sigma(1), \sigma(2), \ldots, \sigma(n)$ $k$ $n(1-1/e)$ $[n]$ ปรากฏในลำดับนี้ อย่างไรก็ตามโปรดทราบว่าเนื่องจากตัวเลขซ้ำในลำดับนี้จึงไม่ใช่การเปลี่ยนแปลง

— Sariel Har-Peled
แหล่งที่มา

เลขที่ในช่วงเวลาคงที่คุณสามารถเพียง แต่ให้มีจำนวนคงที่ของการส่งออกดังนั้นสำหรับขั้นตอนวิธีการอย่างต่อเนื่องในเวลาใด ๆ สำหรับขนาดใหญ่พอสนับสนุนของตัวแปรสุ่มอยู่ในสภาพที่ 3 จะเป็นส่วนย่อยที่เข้มงวดของ[N]

$\:$

n

$n$

[n]

$[n]$

$\;\;\;\;$

ฉันต้องการจำนวนคงที่ของการคำนวณต่อรายการของการเปลี่ยนแปลงดังนั้นเวลาการคำนวณโดยรวมสามารถเป็นเส้นตรงสำหรับการเปลี่ยนแปลงทั้งหมด

— Sariel Har-Peled

สำหรับสเปซ - ฉันสมมติว่าตัวแบบคำ - ดังนั้นทุกคำต้องใช้พื้นที่จำนวนคงที่แม้ว่ามันจะมีจำนวนบิตลอการิทึม

— Sariel Har-Peled

วิธีการแก้ปัญหาบางส่วน: สมมติว่าเป็นอำนาจนายกรัฐมนตรีและ 2 Letจะฟิลด์ด้วย nชุดสำหรับสุ่มกับ0 จากนั้นคือการเปลี่ยนรูปแบบอิสระจากจำนวนคู่บนองค์ประกอบที่สามารถคำนวณได้ใน "เวลาคงที่" บางทีนี่เป็นการสรุป

n

$n$

k = 2

$k=2$

F

$\mathbb{F}$

| F | = n

$|\mathbb{F}|=n$

σ (x) = a x + b

$\sigma(x)=ax+b$

a, b \in F

$a,b \in \mathbb{F}$

a \neq 0

$a \ne 0$

σ

$\sigma$

n

$n$

— โทมัส

Yeh ฉันรู้สิ่งนี้;) ปัญหาคือว่าจะต้องมีขนาดใหญ่กว่ามากและมีเพียงชื่อพหุนามเชิงเส้นเท่านั้นที่มีการเรียงสับเปลี่ยนไม่ใช่ระดับที่สูงกว่า

k

$k$

— Sariel Har-Peled

หากคุณยินดีที่จะใช้เทคนิคการเข้ารหัสและใช้สมมติฐานการเข้ารหัสลับและยอมรับแนวคิดการคำนวณความเป็นอิสระของ -wise มันเป็นไปได้ที่การเข้ารหัสรูปแบบการรักษารูปแบบ (FPE) อาจเป็นประโยชน์ ขอผมร่างภาพโครงสร้างที่แตกต่างกันสองสามแบบ $k$

(โดย "ความคิดคำนวณของความเป็นอิสระของ -wise" ฉันหมายความว่าไม่มีศัตรูที่มีเวลาทำงานที่สมเหตุสมผลสามารถแยกแยะจาก -wise การเปลี่ยนแปลงอิสระยกเว้นด้วยความได้เปรียบเล็กน้อยแผนการเหล่านี้จะไม่เป็นข้อมูลเชิงทฤษฎี - เป็นอิสระอย่างชาญฉลาด แต่พวกเขาจะ "ดีเท่า ๆ กับ -wise อิสระ" สมมติว่าการคำนวณทั้งหมดในภาพนั้นถูก จำกัด ขอบเขตการคำนวณ) $k$ $\sigma$ $k$ $k$ $k$

รูปแบบการปฏิบัติสำหรับขนาดเล็ก $n$

โดยเฉพาะอย่างยิ่งใช้ก่อสร้าง FPE ที่จะสร้างตัวเลขบล็อก (pseudorandom เปลี่ยนแปลง, PRP) พร้อมเซ็น[N] สำหรับค่าของที่น้อยกว่าอาจเป็นโครงร่างที่ดีที่สุดคือใช้โครงสร้าง Feistel ที่มีจำนวนรอบคงที่ (พูด 10) และฟังก์ชันรอบที่เป็น PRF ที่ได้มาจาก AES เวลาทำงานเพื่อประเมินสำหรับค่าเดียวของจะเป็นการร้องขอ AES การร้องขอ AES แต่ละครั้งจะทำงานในเวลาคงที่ $\sigma_k : [n] \to [n]$ $n$ $2^{128}$ $\sigma_k(i)$ $i$ $O(1)$

สุดท้ายโปรดทราบว่าการเปลี่ยนรูปแบบสุ่มใด ๆ นั้นมีความเป็นอิสระ -wise โดยอัตโนมัติ โดยเฉพาะอย่างยิ่งทฤษฎีบท Luby-Rackoff รับประกันได้ว่าอย่างน้อย 3 รอบคุณจะได้รับอิสระ (โดยประมาณ) -wise ถ้าโดยสมมติว่า AES นั้นปลอดภัย ด้วยรอบมากขึ้นก็เป็นไปได้ว่าจะมีผลแข็งแกร่ง แต่ทฤษฎีบทยากที่จะพิสูจน์และเป็นทางด้านเทคนิคมากขึ้น แต่ก็เชื่อกันอย่างกว้างขวางว่าเป็นจำนวนคงที่ของรอบควรจะพอเพียงที่จะได้รับการรักษาความปลอดภัยสูงมาก (และดังนั้นจึงจำเป็นอย่างยิ่งที่สมบูรณ์แบบ - ความเป็นอิสระที่ชาญฉลาดสำหรับค่าที่สมเหตุสมผลทั้งหมดของ ) $k$ $k$ $k \ll n^{1/4}$ $k$ $k$

การสรุปสิ่งนี้ให้ใหญ่ขึ้น $n$

เมื่อมีขนาดใหญ่ขึ้นสิ่งต่าง ๆ ก็น่าแปลกใจเพราะโมเดลแรมราคาต่อหน่วยโดยปริยายจะอนุญาตให้ขนานได้มากถึงฟรี ยังไม่ชัดเจนสำหรับฉันว่าราคาของ PRP ควรเป็นอย่างไรในโมเดลนี้ (ค่าคงที่หรือไม่เพิ่มขึ้นกับฉันไม่รู้) $n$ $O(\lg n)$ $n$

การก่อสร้างที่เป็นไปได้ที่สาม

ให้เป็นโมดูลัส RSA ที่มีขนาดใหญ่กว่าเล็กน้อย กำหนดจะเป็นกลุ่มย่อยของมีองค์ประกอบที่มีสัญลักษณ์ Jacobi เป็น1กำหนดโดย $m$ $2n$ $G$ $(\mathbb{Z}/m\mathbb{Z})^*$ $+1$ $\pi : G \to G$

π (x) = x^{3} mod m .

$\pi(x) = x^3 \bmod m.$

ถัดไปกำหนดโดย $\sigma$

σ (i) = g (π (f (i)),

$\sigma(i) = g(\pi(f(i)),$

โดยที่เป็นฟังก์ชันแฮช bijective แบบสุ่ม 2 แบบอิสระ $f,g$

ฉันสงสัยว่าการก่อสร้างนี้มีโอกาสที่จะเป็นอิสระโดยประมาณ -wise ภายใต้สมมติฐานที่คล้ายกับ RSA ฉันไม่มีข้อพิสูจน์เพียงแค่สัญชาตญาณ ระเบียบที่รู้จักหลักของคือว่ามันเป็น homomorphic multiplicatively:(y) ฉันไม่ทราบถึงระเบียบปฏิบัติที่เกี่ยวข้องอื่น ๆ แม้แต่การพึ่งพา -wise การใช้แฮชแบบ 2 อิสระก่อนและหลังสามารถกำจัดความเป็นระเบียบนี้ได้: ถ้าคือ -wise เป็นอิสระยกเว้นการ homomorphicity แบบ multiplicative ดังนั้นแฮชแบบอิสระ 2 ตัวที่ดูเหมือนว่าพวกมันควรจะให้เต็ม $k$ $\pi$ $\pi(xy) = \pi(x) \pi(y)$ $k$ $\pi$ $\pi$ $k$ $k$ อิสระแบบสองทาง แต่นี่เป็นภาพร่างที่สั้นและเฉียบแหลมจากการพิสูจน์ความเป็นอิสระของ -wise $k$

โปรดทราบว่าคุณจะต้องใช้เทคนิคการเข้ารหัสรูปแบบการรักษา (เช่นเทคนิคการขี่จักรยาน) เพื่อให้มั่นใจว่าทำงานในมากกว่า{Z}) แบบแผนนี้ควรมีเวลาทำงาน (คาดว่า) เพื่อประเมินที่อินพุตที่กำหนดพร้อมตัวเลือกเหมาะสม $f,g$ $G$ $(\mathbb{Z}/m\mathbb{Z})$ $O(1)$ $\sigma(i)$ $i$ $f,g$

นอกจากนี้ในบางแง่มุมการสร้างผู้สมัครคนนี้กำลังใช้โมเดลหน่วยต้นทุน RAM โดยใช้ความสามารถในการทำงานกับตัวเลขบิตในเวลาสำหรับค่าขนาดใหญ่ของซึ่งไม่สมเหตุสมผลจริง ๆ ใน การปฏิบัติ (ซึ่งการก่อสร้างที่ผ่านมาจะไม่ปลอดภัยสำหรับค่าเล็ก ๆ ของดังนั้นวิธีการที่ผ่านมานี้โดยพื้นฐานอาศัยอยู่กับขนาดใหญ่ระบอบการปกครองเพื่อให้มีโอกาสในการทำงาน ... ว่าระบอบการปกครองที่รุ่น RAM หน่วยค่าใช้จ่ายเป็นส่วนใหญ่ พิรุธ.) $\lg n$ $O(1)$ $n$ $n$ $n$

ฉันยอมรับได้อย่างอิสระว่าอันนี้ค่อนข้างยืด แต่ฉันพูดถึงมันในกรณีที่มันเป็นต้นเหตุของแรงบันดาลใจในการหาทางออกที่ดีกว่า

ยกตัวอย่างเช่นอาจเป็นไปได้ที่จะแทนที่ด้วยกลุ่มรูปไข่รูปไข่ที่เหมาะสมเพื่อให้เรามีมากกว่า (จำได้ว่ากลุ่มรูปไข่รูปไข่มักจะใช้สัญลักษณ์เพิ่มเติมมากกว่าสัญกรณ์แบบทวีคูณ) สิ่งที่ดีเกี่ยวกับเรื่องนี้คือมันไม่มีเหตุผลที่จะคาดเดาได้อย่างสมบูรณ์ว่าถ้ากลุ่มเส้นโค้งรูปไข่ถูกเลือกจะทำตัวเหมือน "กลุ่มกล่องดำ" ซึ่งฉันคิดว่าอาจหมายความว่าจะเป็น - อิสระ 8 นิ้ว "ยกเว้นผลกระทบที่มีนัยจากโฮโมมอร์ฟิซึมแบบหลายค่า" ฉันยังไม่มีการก่อสร้างที่สมบูรณ์พร้อมที่จะเสนอ (ชิ้นส่วนที่ขาดหายไปคือวิธีเลือก $G$ $\pi(x) = e x$ $G$ $G$ $G$ $\pi$ $k$ $G$ และวิธีการสร้างและวิธีการพิสูจน์ความเป็นอิสระของ -wise จากนี้) แต่มันอาจเป็นไปได้ที่จะรวมชิ้นส่วนเข้าด้วยกัน $f,g$ $k$

— ใบสำคัญแสดงสิทธิอนุพันธ์
แหล่งที่มา

นี่เป็นเรื่องที่น่าสนใจมาก - ฉันกำลังเดินทางในอีกไม่กี่สัปดาห์ข้างหน้า แต่ฉันจะมองว่าเมื่อฉันกลับมา ขอบคุณ!

— Sariel Har-Peled

เราสามารถสร้างการเปลี่ยนรูปแบบอิสระ k-wise บน [n] โดยใช้เวลาและพื้นที่คงที่ได้หรือไม่?

พื้นหลัง

สมมติฐาน

สิ่งปัจจุบัน

รูปแบบการปฏิบัติสำหรับขนาดเล็กnnn

การสรุปสิ่งนี้ให้ใหญ่ขึ้นnnn

การก่อสร้างที่เป็นไปได้ที่สาม

รูปแบบการปฏิบัติสำหรับขนาดเล็ก $n$

การสรุปสิ่งนี้ให้ใหญ่ขึ้น $n$