Zbylé hashové lemma - Leftover hash lemma

The zbytkové hashové lemma je lemma v kryptografie nejprve uvedl Russell Impagliazzo, Leonid Levin, a Michael Luby.^[1]

Představte si, že máte tajemství klíč $X$ to má $n$ uniforma náhodná bity a chcete tento tajný klíč použít k zašifrování zprávy. Bohužel jste s klíčem byli trochu neopatrní a víte, že protivník byl schopen naučit se hodnoty některých $t < n$ kousky toho klíče, ale nevíte který $t$ bity. Můžete svůj klíč stále používat, nebo ho musíte vyhodit a zvolit nový klíč? Zbylé hashové lemma nám říká, že můžeme vytvořit klíč o $n - t$ bitů, nad kterými má protivník téměř ne znalost. Protože protivník ví všechno kromě $n - t$ bitů, to je téměř optimální.

Přesněji řečeno, zbylé hashové lemma nám říká, že můžeme extrahovat délku asymptotickou ${displaystyle H_ {infty} (X)}$ (dále jen min. entropie z $X$ ) bity z a náhodná proměnná $X$ které jsou téměř rovnoměrně rozloženy. Jinými slovy, protivník, který má nějaké částečné znalosti o $X$ , nebude mít téměř žádné znalosti o extrahované hodnotě. Proto se tomu také říká zesílení soukromí (viz část o ochraně osobních údajů v článku Kvantová distribuce klíčů ).

Náhodné extraktory dosáhnout stejného výsledku, ale použijte (obvykle) menší náhodnost.

Nechat $X$ být náhodná proměnná ${displaystyle {mathcal {X}}}$ a nechte ${displaystyle m> 0}$ . Nechat ${extstyle hcolon {mathcal {S}} je {mathcal {X}} ightarrow {0,, 1} ^ {m}}$ být 2-univerzální hashovací funkce. Li

{extstyle mleq H_ {infty} (X) -2log left ({frac {1} {varepsilon}} ight)}

pak pro $S$ uniforma skončila ${displaystyle {mathcal {S}}}$ a nezávisle na $X$ , my máme:

{extstyle delta left [(h (S, X), S), (U, S) ight] leq varepsilon.}

kde $U$ je jednotná ${displaystyle {0,1} ^ {m}}$ a nezávisle na $S$ .^[2]

${extstyle H_ {infty} (X) = - přihlásit max _ {x} Pr [X = x]}$ je min-entropie $X$ , který měří míru náhodnosti $X$ má. Min-entropie je vždy menší nebo rovna Shannonova entropie. Všimněte si, že ${extstyle max _ {x} Pr [X = x]}$ je pravděpodobnost správného hádání $X$ . (Nejlepší odhad je odhadnout nejpravděpodobnější hodnotu.) Min-entropie proto měří, jak těžké je uhodnout $X$ .

${extstyle 0leq delta (X, Y) = {frac {1} {2}} součet _ {v} left | Pr [X = v] -Pr [Y = v] ight | leq 1}$ je statistická vzdálenost mezi $X$ a $Y$ .

Viz také

Reference

^ Impagliazzo, Russell; Levin, Leonid A.; Luby, Michael (1989), „Pseudo-random Generation from one-way functions“, v Johnson, David S. (ed.), Proceedings of the 21th Annual ACM Symposium on Theory of Computing, 14-17 May, 1989, Seattle, Washington, USA, {ACM}, s. 12–24, doi:10.1145/73007.73009
^ Rubinfeld, Ronnit; Drucker, Andy (30. dubna 2008), „Lecture 22: The Leftover Hash Lemma and Explicit Extractions“ (PDF), Poznámky k přednášce k kurzu MIT 6.842, Náhodnost a výpočet, MIT, vyvoláno 2019-02-19

[1] Impagliazzo, Russell; Levin, Leonid A.; Luby, Michael (1989), „Pseudo-random Generation from one-way functions“, v Johnson, David S. (ed.), Proceedings of the 21th Annual ACM Symposium on Theory of Computing, 14-17 May, 1989, Seattle, Washington, USA, {ACM}, s. 12–24, doi:10.1145/73007.73009

[2] Rubinfeld, Ronnit; Drucker, Andy (30. dubna 2008), „Lecture 22: The Leftover Hash Lemma and Explicit Extractions“ (PDF), Poznámky k přednášce k kurzu MIT 6.842, Náhodnost a výpočet, MIT, vyvoláno 2019-02-19

[1]

[2]