หากคุณยินดีที่จะใช้เทคนิคการเข้ารหัสและใช้สมมติฐานการเข้ารหัสลับและยอมรับแนวคิดการคำนวณความเป็นอิสระของ -wise มันเป็นไปได้ที่การเข้ารหัสรูปแบบการรักษารูปแบบ (FPE) อาจเป็นประโยชน์ ขอผมร่างภาพโครงสร้างที่แตกต่างกันสองสามแบบk
(โดย "ความคิดคำนวณของความเป็นอิสระของ -wise" ฉันหมายความว่าไม่มีศัตรูที่มีเวลาทำงานที่สมเหตุสมผลสามารถแยกแยะจาก -wise การเปลี่ยนแปลงอิสระยกเว้นด้วยความได้เปรียบเล็กน้อยแผนการเหล่านี้จะไม่เป็นข้อมูลเชิงทฤษฎี - เป็นอิสระอย่างชาญฉลาด แต่พวกเขาจะ "ดีเท่า ๆ กับ -wise อิสระ" สมมติว่าการคำนวณทั้งหมดในภาพนั้นถูก จำกัด ขอบเขตการคำนวณ)kσkkk
รูปแบบการปฏิบัติสำหรับขนาดเล็กn
โดยเฉพาะอย่างยิ่งใช้ก่อสร้าง FPE ที่จะสร้างตัวเลขบล็อก (pseudorandom เปลี่ยนแปลง, PRP) พร้อมเซ็น[N] สำหรับค่าของที่น้อยกว่าอาจเป็นโครงร่างที่ดีที่สุดคือใช้โครงสร้าง Feistel ที่มีจำนวนรอบคงที่ (พูด 10) และฟังก์ชันรอบที่เป็น PRF ที่ได้มาจาก AES เวลาทำงานเพื่อประเมินสำหรับค่าเดียวของจะเป็นการร้องขอ AES การร้องขอ AES แต่ละครั้งจะทำงานในเวลาคงที่σk:[n]→[n]n2128σk(i)iO(1)
สุดท้ายโปรดทราบว่าการเปลี่ยนรูปแบบสุ่มใด ๆ นั้นมีความเป็นอิสระ -wise โดยอัตโนมัติ โดยเฉพาะอย่างยิ่งทฤษฎีบท Luby-Rackoff รับประกันได้ว่าอย่างน้อย 3 รอบคุณจะได้รับอิสระ (โดยประมาณ) -wise ถ้าโดยสมมติว่า AES นั้นปลอดภัย ด้วยรอบมากขึ้นก็เป็นไปได้ว่าจะมีผลแข็งแกร่ง แต่ทฤษฎีบทยากที่จะพิสูจน์และเป็นทางด้านเทคนิคมากขึ้น แต่ก็เชื่อกันอย่างกว้างขวางว่าเป็นจำนวนคงที่ของรอบควรจะพอเพียงที่จะได้รับการรักษาความปลอดภัยสูงมาก (และดังนั้นจึงจำเป็นอย่างยิ่งที่สมบูรณ์แบบ - ความเป็นอิสระที่ชาญฉลาดสำหรับค่าที่สมเหตุสมผลทั้งหมดของ )kkk≪n1/4kk
การสรุปสิ่งนี้ให้ใหญ่ขึ้นn
เมื่อมีขนาดใหญ่ขึ้นสิ่งต่าง ๆ ก็น่าแปลกใจเพราะโมเดลแรมราคาต่อหน่วยโดยปริยายจะอนุญาตให้ขนานได้มากถึงฟรี ยังไม่ชัดเจนสำหรับฉันว่าราคาของ PRP ควรเป็นอย่างไรในโมเดลนี้ (ค่าคงที่หรือไม่เพิ่มขึ้นกับฉันไม่รู้)nO(lgn)n
การก่อสร้างที่เป็นไปได้ที่สาม
ให้เป็นโมดูลัส RSA ที่มีขนาดใหญ่กว่าเล็กน้อย กำหนดจะเป็นกลุ่มย่อยของมีองค์ประกอบที่มีสัญลักษณ์ Jacobi เป็น1กำหนดโดยm2nG(Z/mZ)∗+1π:G→G
π(x)=x3modm.
ถัดไปกำหนดโดยσ
σ(i)=g(π(f(i)),
โดยที่เป็นฟังก์ชันแฮช bijective แบบสุ่ม 2 แบบอิสระf,g
ฉันสงสัยว่าการก่อสร้างนี้มีโอกาสที่จะเป็นอิสระโดยประมาณ -wise ภายใต้สมมติฐานที่คล้ายกับ RSA ฉันไม่มีข้อพิสูจน์เพียงแค่สัญชาตญาณ ระเบียบที่รู้จักหลักของคือว่ามันเป็น homomorphic multiplicatively:(y) ฉันไม่ทราบถึงระเบียบปฏิบัติที่เกี่ยวข้องอื่น ๆ แม้แต่การพึ่งพา -wise การใช้แฮชแบบ 2 อิสระก่อนและหลังสามารถกำจัดความเป็นระเบียบนี้ได้: ถ้าคือ -wise เป็นอิสระยกเว้นการ homomorphicity แบบ multiplicative ดังนั้นแฮชแบบอิสระ 2 ตัวที่ดูเหมือนว่าพวกมันควรจะให้เต็มkππ(xy)=π(x)π(y)kππkkอิสระแบบสองทาง แต่นี่เป็นภาพร่างที่สั้นและเฉียบแหลมจากการพิสูจน์ความเป็นอิสระของ -wisek
โปรดทราบว่าคุณจะต้องใช้เทคนิคการเข้ารหัสรูปแบบการรักษา (เช่นเทคนิคการขี่จักรยาน) เพื่อให้มั่นใจว่าทำงานในมากกว่า{Z}) แบบแผนนี้ควรมีเวลาทำงาน (คาดว่า) เพื่อประเมินที่อินพุตที่กำหนดพร้อมตัวเลือกเหมาะสมf,gG(Z/mZ)O(1)σ(i)if,g
นอกจากนี้ในบางแง่มุมการสร้างผู้สมัครคนนี้กำลังใช้โมเดลหน่วยต้นทุน RAM โดยใช้ความสามารถในการทำงานกับตัวเลขบิตในเวลาสำหรับค่าขนาดใหญ่ของซึ่งไม่สมเหตุสมผลจริง ๆ ใน การปฏิบัติ (ซึ่งการก่อสร้างที่ผ่านมาจะไม่ปลอดภัยสำหรับค่าเล็ก ๆ ของดังนั้นวิธีการที่ผ่านมานี้โดยพื้นฐานอาศัยอยู่กับขนาดใหญ่ระบอบการปกครองเพื่อให้มีโอกาสในการทำงาน ... ว่าระบอบการปกครองที่รุ่น RAM หน่วยค่าใช้จ่ายเป็นส่วนใหญ่ พิรุธ.)lgnO(1)nnn
ฉันยอมรับได้อย่างอิสระว่าอันนี้ค่อนข้างยืด แต่ฉันพูดถึงมันในกรณีที่มันเป็นต้นเหตุของแรงบันดาลใจในการหาทางออกที่ดีกว่า
ยกตัวอย่างเช่นอาจเป็นไปได้ที่จะแทนที่ด้วยกลุ่มรูปไข่รูปไข่ที่เหมาะสมเพื่อให้เรามีมากกว่า (จำได้ว่ากลุ่มรูปไข่รูปไข่มักจะใช้สัญลักษณ์เพิ่มเติมมากกว่าสัญกรณ์แบบทวีคูณ) สิ่งที่ดีเกี่ยวกับเรื่องนี้คือมันไม่มีเหตุผลที่จะคาดเดาได้อย่างสมบูรณ์ว่าถ้ากลุ่มเส้นโค้งรูปไข่ถูกเลือกจะทำตัวเหมือน "กลุ่มกล่องดำ" ซึ่งฉันคิดว่าอาจหมายความว่าจะเป็น - อิสระ 8 นิ้ว "ยกเว้นผลกระทบที่มีนัยจากโฮโมมอร์ฟิซึมแบบหลายค่า" ฉันยังไม่มีการก่อสร้างที่สมบูรณ์พร้อมที่จะเสนอ (ชิ้นส่วนที่ขาดหายไปคือวิธีเลือกGπ(x)=exGGGπkGและวิธีการสร้างและวิธีการพิสูจน์ความเป็นอิสระของ -wise จากนี้) แต่มันอาจเป็นไปได้ที่จะรวมชิ้นส่วนเข้าด้วยกันf,gk