Věta o pseudonáhodném generátoru - Pseudorandom generator theorem

v teorie výpočetní složitosti a kryptografie, existence pseudonáhodné generátory souvisí s existencí jednosměrné funkce prostřednictvím řady vět, souhrnně označovaných jako věta o generátoru pseudonáhod.

Úvod

Pseudonáhodnost

Uvažuje se o distribuci pseudonáhodné pokud ho žádný efektivní výpočet nedokáže odlišit od skutečného rovnoměrné rozdělení ne-zanedbatelný výhoda. Formálně rodina distribucí D_n je pseudonáhodné pokud pro jakýkoli obvod polynomiální velikosti Ca jakékoli ε nepřímo polynom v n

| Prob_X∈U [C(X) = 1] - Prob_X∈D [C(X)=1] | ≤ ε.

Generátory pseudonáhodností

Funkce G_l: {0,1}^l → {0,1}^m, kde l < m je pseudonáhodný generátor, pokud:

• G_l lze vypočítat v čase polynomu v l
• G_l(X) je pseudonáhodný, když X je jednotně náhodné.

Jeden další pseudonáhodný bit implikuje polynomiálně více pseudonáhodných bitů

Je možné ukázat, že pokud existuje pseudonáhodný generátor G_l: {0,1}^l → {0,1}^l+1, tj. generátor, který přidá jen jeden pseudonáhodný bit, pak pro libovolný m = poly(l), existuje pseudonáhodný generátor G'_l: {0,1}^l → {0,1}^m.

Myšlenka důkazu je následující: zaprvé s bity z rovnoměrného rozdělení U_l jsou vybrány a použity jako semeno pro první instanci G_l, o kterém je známo, že je pseudonáhodný generátor. Dále výstup první instance G_l je rozdělena na dvě části: první l bity jsou přiváděny do druhé instance G_l jako seed, zatímco poslední bit se stane prvním bitem výstupu. Opakování tohoto procesu pro m krát poskytuje výstup m pseudonáhodné bity.

Je možné ukázat, že takové G'_l, který se skládá z m instance G_l, je skutečně pseudonáhodný generátor pomocí a hybridní přístup a důkaz rozporem jak následuje:

Zvážit m + 1 mezilehlé distribuce H_i: 0 ≤ i ≤ m, kde první i bity jsou vybrány z jednotného rozdělení a poslední m - i bity jsou vybrány z výstupu G'_l. Tím pádem, H₀ je plný výkon G'_l a H_m je skutečné jednotné rozdělení U_m. Proto distribuce H_i a H_{i + 1} se bude lišit pouze v jednom bitu (číslo bitu) i+1).

Předpokládejme to G'_l není pseudonáhodná distribuce; to znamená, že existuje nějaký obvod C které mohou rozlišovat mezi G'_l a U_m s výhodou ε  =   1/poly(l). Jinými slovy, tento obvod může rozlišovat mezi H₀ a H_m. Proto takové existují i že obvod C může rozlišovat mezi H_i a H_{i + 1} minimálně ε / m. Všimněte si, že od té doby m jsou polynomy v l, pak ε / m je také polynom v l a stále je nezanedbatelnou výhodou.

Nyní předpokládejme, že jsme dostali l + 1 bity, které jsou buď výstupem z G_l nebo vycházející z jednotného rozdělení. Pojďme znovu použít přístup k vytváření velkých pseudonáhodných generátorů z instancí G_l a zkonstruujte řetězec pseudonáhodných bitů délky m − i − 1 stejným způsobem G'_l byl postaven výše pomocí prvního l dané bity jako semeno. Poté vytvořme řetězec skládající se z i bity čerpané z uniformy, zřetězené s posledním z daných bitů, následované vytvořenými m − i − 1 bity. Výsledný výstup je buď H_i nebo H_{i + 1}, protože i + 1 bit je čerpán z uniformy nebo z G_l. Protože podle předpokladu můžeme rozlišovat mezi H_i a H_{i + 1} s nezanedbatelný výhodou pak můžeme rozlišovat mezi U a G_l, což z toho vyplývá G_l není pseudonáhodný generátor, což je v rozporu s hypotézou. Q.E.D.

Nyní si ukážeme, že pokud existuje, obvod pro rozlišení mezi G_l a U_{l + 1} nemusí házet náhodné mince. Jak jsme ukázali výše, pokud existuje obvod C pro rozlišení mezi G'_l a U_m, kde m = poly(l), pak existuje obvod C' pro rozlišení mezi G_l a U_{l + 1} který používá i náhodné bity. Pro tento obvod C' : | Prob_{u, s} [C' (u₁, ..., u_i,G_l(s)) = 1] - Prob_{u, y} [C' (u₁,>, ..., u_i, y) = 1] | ≥ ε / m,

kde u je řetězec i rovnoměrně náhodné bity, s je řetězec l rovnoměrně náhodné bity a y je řetězec l+1 rovnoměrně náhodné bity.

Pak,

Prob_u[| Prob_s [C' (u₁, ..., u_i,G_l(s)) = 1] - Prob_y [C' (u₁, ..., u_i, y) = 1] | ] ≥ ε / m;

Což znamená, že existuje nějaký pevný řetězec u z i bity, které lze použít jako „radu“ do obvodu C' pro rozlišení mezi G_l a U_{l + 1}.

Existence pseudonáhodných generátorů

Existence pseudonáhodných generátorů souvisí s existencí jednosměrné funkce a hard-core predikáty. Formálně existují pseudonáhodné generátory tehdy a jen tehdy, pokud existují jednosměrné funkce, nebo

PRG ↔ OWF

Definice

Jednosměrné funkce

Intuitivně jednosměrné funkce jsou funkce, které lze snadno vypočítat a je těžké je invertovat. Jinými slovy, složitost (nebo velikost obvodu) funkce je mnohem menší než složitost její inverze. Formálně: Funkce ƒ: {0,1}ⁿ → {0,1}ⁿ je (S,ε) jednosměrný pokud pro jakýkoli obvod C o velikosti ≤ S,

Prob [ƒ (C(ƒ (X))) = ƒ (X)] ≤ ε.

Navíc ƒ je jednosměrná funkce -li

• ƒ lze vypočítat v polynomiálním čase
• ƒ je (poly(n), 1/poly(n)) jednosměrný

Tvrdý predikát

Funkce B: {0,1}ⁿ → {0,1} je a hard-core predikát pro funkci ƒ pokud

• B lze vypočítat v polynomiálním čase
• pro libovolný obvod polynomiální velikosti C a jakékoli nezanedbatelné ε = 1/poly(n), Prob_{x ~ U}[C(ƒ (X))  = B(X)] ≤ 1/2+ε

Jinými slovy je těžké předvídat B(X) z funkce ƒ (X).

Důkaz

Zde je uveden přehled důkazu. Podrobné důkazy najdete v referencích.

PRG → OWF

Zvažte pseudonáhodný generátor G_l: {0,1}^l → {0,1}^{2 l}. Vytvořme následující jednosměrnou funkci ƒ: {0,1}ⁿ → {0,1}ⁿ který používá první polovinu výstupu z G_l jako jeho výstup. Formálně,

ƒ (X,y) → G_l(X)

Klíčovým postřehem, který odůvodňuje takový výběr, je, že obraz funkce má velikost 2ⁿ a je zanedbatelným zlomkem předobrazového vesmíru velikosti 2²ⁿ.

Abychom dokázali, že ƒ je skutečně jednosměrná funkce, vytvořme argument rozporem. Předpokládejme, že existuje obvod C že převrací ƒ s výhodou ε:

Prob [ƒ (C(ƒ (X,y))) = ƒ (X,y)] > ε

Pak můžeme vytvořit následující algoritmus, který bude rozlišovat G_l z uniformy, což je v rozporu s hypotézou. Algoritmus by vyžadoval zadání 2n bity z a vypočítat (X,y) = C(z). Li G_l(X) = z algoritmus by přijal, jinak odmítne.

Teď když z je čerpáno z rovnoměrného rozdělení, pravděpodobnost, kterou výše uvedený algoritmus akceptuje, je ≤ 1/2^l, protože velikost obrázku je 1/2^l velikosti předobrazu. Pokud však z byl čerpán z výstupu G_l pak je pravděpodobnost přijetí> ε za předpokladu existence obvodu C. Proto je výhodou, že obvod C má rozlišovat mezi uniformou U a výstup G_l je> ε − 1/2^l, což je nezanedbatelné, a je tedy v rozporu s naším předpokladem G_l být generátorem pseudonáhod. Q.E.D.

OWF → PRG

V tomto případě dokážeme a slabší verze věty:

Jednosměrný permutace → generátor pseudonáhod

Jednosměrná permutace je jednosměrná funkce, která je také permutací vstupních bitů. Generátor pseudonáhod lze zkonstruovat z jednosměrné permutace ƒ následovně:

G_l: {0,1}^l→{0,1}^l+1 = ƒ (X).B(X), kde B je tvrdý predikát ƒ a "." je operátor zřetězení. Všimněte si, že podle věty prokázané výše je potřeba pouze ukázat existenci generátoru, který přidává pouze jeden pseudonáhodný bit.

Hard-core predikát → PRG

Nejprve si ukážeme, že pokud B je pak tvrdý predikát pro ƒ G_l je skutečně pseudonáhodný. Opět použijeme argument rozporem.

Předpokládat, že G_l není pseudonáhodný generátor; to znamená, že existuje obvod C polynomiální velikosti, která odlišuje G_l(X) = ƒ (X).B(X) z U_{l + 1} s výhodou ≥ε, kde ε je nezanedbatelný. Všimněte si, že od ƒ (X) je permutace, pak pokud X je čerpáno z rovnoměrného rozdělení, takže pokud ƒ (X). Proto, U_{l + 1} je ekvivalentní ƒ (X).b, kde b je trochu vykreslen nezávisle na rovnoměrném rozdělení. Formálně,

Prob_{x ~ U} [C(G(X)) = 1] - Prob_{x ~ U, b ~ U} [C(x.b)=1]  ≥ ε

Vytvořme následující algoritmus C':

1. Vzhledem k tomu, že z = f (x) hádejte bit b 2. Spusťte C na z.b3. IF C (z.b) = 14. výstup b5. JINÉ6. výstup 1-b

Vzhledem k výstupu ƒ algoritmus nejprve hádá bit b tím, že hodí náhodnou minci, tj. Prob [b= 0] = Prob [b= 1] = 0,5. Poté algoritmus (obvod) C běží dál f (x). b a pokud je výsledek 1, pak b je na výstupu, jinak inverzní k b je vrácen.

Pak pravděpodobnost C' hádám B(X) správně je:

Prob_{x ~ U} [C'(z)=B(X)] =

Prob [b=B(X) ∧ C(z.b.) = 1] + Prob [b≠B(X) ∧ C(z.b.)=0] =

Prob [b=B(X)] ⋅Prob [C(z.b.)=1 | b=B(X)] + Prob [b≠B(X)] ⋅Prob [C(z.b.)=0 | b≠B(X)] =

1 / 2⋅Prob [C(z.b.)=1 | b=B(X)] + 1 / 2⋅Prob [C(z.b.)=0 | b≠B(X)] =

(1−1 / 2) robProb [C(z.b.)=1 | b=B(X)] + 1 / 2⋅ (1 − Prob [C(z.b.)=1 | b≠B(X)]) =

1/2 + Prob_{z.b ~ G (x)} [C(z.b.) = 1] −1 / 2⋅ (Prob [C(z.b.)=1 | b=B(X)] + Prob [C(z.b.)=1 | b≠B(X)]) =

1/2 + Prob_{z.b ~ G (x)} [C(z.b.) = 1] - Prob_{z.b ~ U} [C(z.b.)=1] ≥ 1/2+ε

To znamená, že obvod C' umí předvídat B(X) s pravděpodobností více než 1/2 + ε, což znamená, že B nemůže být tvrdým predikátem pro ƒ a hypotéza je v rozporu. Q.E.D.

OWP → predikát hard-core

Osnova dokladu je následující:

Pokud ƒ {0,1}ⁿ→{0,1}ⁿ je jednosměrná permutace, pak také ƒ '{0,1}²ⁿ→{0,1}²ⁿ, kde ('(X,y) = ƒ (X).y podle definice. Pak B(X,y)=X⋅y je tvrdý predikát pro ƒ ', kde ⋅ je vektor Tečkovaný produkt. Abychom dokázali, že jde skutečně o tvrdé jádro, předpokládejme opak a prokažme rozpor s hypotézou, že ƒ je jednosměrný. Li B není tvrdý predikát, pak existuje obvod C který to předpovídá, takže

Prob_{x, y}[C(ƒ (X),y)=X⋅y] ≥ 1/2+ε. Tuto skutečnost lze použít k obnovení X chytrou konstrukcí permutací y že izolovat kousky dovnitř X. Ve skutečnosti za konstantní zlomek X, existuje polynomiální časový algoritmus, který uvádí Ó(1/& epsilon²) kandidáti, kteří zahrnují všechny platné X. Algoritmus tedy může invertovat ƒ (X) v polynomiálním čase pro nezanedbatelný zlomek X, což je v rozporu s hypotézou.

Reference

• W. Diffie, ME Hellman. „Nové směry v kryptografii.“ Transakce IEEE na teorii informací, IT-22, str. 644–654, 1976.
• AC Yao. „Teorie a aplikace funkcí padacích dveří.“ 23. IEEE Symposium on Foundations of Computer Science, str. 80–91, 1982.
• M. Blum a S. Micali „Jak generovat kryptograficky silné sekvence pseudonáhodných bitů.“ SIAM Journal on Computing, v13, s. 850–864, 1984.
• J. Hastad, R. Impagliazzo, L.A. Levin a M. Luby. „Generátor pseudonáhodnosti z jakékoli jednosměrné funkce.“ SIAM Journal on Computing, v28 n4, str. 1364-1396, 1999.