Naor-Reingold 의사난수 함수

1997년, Moni Naor와 Omer Reingold는 공개 키 암호뿐만 아니라 개인 키의 다양한 암호 원형을 위한 효율적인 구조를 설명했습니다.그 결과 효율적인 의사 난수 함수가 구축되었습니다.p와 i를 l p-1의 소수라고 하자.곱셈순서 l의 원소 g ${\mathbb {F} _{p}}^{*}$ ${\mathbb {F} _{p}}^{*}$ p ${\$ {\ $displaystyle$ {\ $mathbb {F}$ _ ${p}}^{*}$ 를 ${{\mathbb F}_{p}}^{*}$ 선택합니다.그런 다음 각 (n+1)차원 벡터 a = (a₀, a₁, ..., a_n)solv $(\mathbb {F} _{l})^{n+1}$ ( $(\mathbb {F} _{l})^{n+1}$ l ) $(\mathbb {F} _{l})^{n+1}$ $(\mathbb {F} _{l})^{n+1}$ $(\$ (\ $mathbb {F} _{l})^{n+1})$ 에 $(\mathbb {F} _{l})^{n+1}$ 대해 함수를 정의합니다.

{{displaystyle f_{a}(x)=g^{a_{0}\cdot a_{1}^{x_{1}a_{2}^{x_{2}}...a_{n}^{x_{n}}\in \mathbb {F}_{p}

여기서 x = x₁ … x는_n 정수 x, 0 µ x µⁿ⁻¹ 2의 비트 표현이며, 필요한 ^[1]경우 선행 0이 몇 개 더 있습니다.

예

p = 7 및 l = 3으로 하자. 즉, l p-1이다.곱셈 순서 3의 g = 4 ${\mathbb {F} _{7}}^{*}$ ${\mathbb {F} _{7}}^{*}$ 7 ${\mathbb {F} _{7}}^{*}$ { $displaystyle$ { $mathbb {F}$ _ ${7}}^{*}}$ 을 ${{\mathbb F}_{7}}^{*}$ 선택합니다(4 = 64 mod 1 mod 7이므로³).n = 3, a = (1, 1, 2, 1) 및 x = 5(5의 비트 표현은 101)의 경우 $f_{a}(5)$ 과 같이 f a $f_{a}(5)$ ( $f_{a}(5)$ { $display f_{a}(5)$ 를 $f_{a}(5)$ $f_{a}(5)$ 할 수 있습니다.

{{displaystyle f_{a}(x)=g^{a_{0}\cdot a_{1}^{x_{1}a_{2}^{x_{2}}...a_{n}^{x_{n}}\in \mathbb {F}_{p}

\displaystyle f_{a}(5)=4^{1\cdot 1^{1}2^{0}1^{1}=4\in \mathbb {F}_{7}

효율성.

Naor-Reingold 구조에서 $f_{a}(x)$ $f_{a}(x)$ a $f_{a}(x)$ ( $f_{a}(x)$ ) { $displaystyle f_{a$ }( $x)$ 의 $f_{a}(x)$ 평가는 매우 효율적으로 수행할 수 있습니다.임의의 $f_{a}(x)$ 에서 $f_{a}(x)$ f $f_{a}(x)$ ( x $f_{a}(x)$ )(\ $displaystyle f_{a}($ x))의 $f_{a}(x)$ 값을 계산하는 것은 1개의 모듈식 지수 및 n개의 모듈식 곱셈과 비교할 수 있습니다.이 함수는 경계 깊이 및 다항식 크기의 임계값 회로에 의해 병렬로 계산될 수 있습니다.

Naor-Reingold 함수는 대칭 암호화, 인증 및 디지털 서명을 포함한 많은 암호화 스킴의 기반으로 사용할 수 있습니다.

기능의 보안

예를 $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ f $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ ( $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ ) $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ a $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ , $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ ( $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ 2 ) $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ 2 $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ , $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ ( 3 $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ ) $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ 2 $f_{a}(1)=g^{a_{1}},f_{a}(2)=g^{a_{2}},f_{a}(3)=g^{a_{1}a_{2}}$ { $displaystyle f_{a$ } (1) = $g^{a }$ = $f_{a}$ = g^{ $a}$ (a) {g = $f^{g}$ (a) 등, f^{a} (a) 등, f^{a} (a) 등, f^3) 등의 여러 가지 출력이 있다고 합니다. $displaystyle f_{a}(k)=g^{a_{1}^{x_{1}a_{2}^{x_{2}...$ $a_{n}^{x_{n}}}}:$ $f_{a}(k+1)$ ( $f_{a}(k+1)$ + $f_{a}(k+1)$ $){displaystyle f_{a}(k+1)}$ 을 $f_{a}(k+1)$ 를) $f_{a}(k+1)$ 하려고 합니다.단순성을 위해 x = 0이라고₁ 가정하면 공격자는 계산 차이를 풀어야 합니다. $f_{a}(1)=g^{a_{1}}$ a $f_{a}(1)=g^{a_{1}}$ ( $f_{a}(1)=g^{a_{1}}$ ) $f_{a}(1)=g^{a_{1}}$ $f_{a}(1)=g^{a_{1}}$ a $f_{a}(1)=g^{a_{1}}$ ${\$ (1) = $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ $^{a_{1}}$ = $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ a ( $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ ) $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ a $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ . a $f_{a}(k)=g^{a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ { $displaystyle f_{a}(k$ ) = $g^{a_{2}$ } 사이의 Hellman(CDH) $a_{n}^{x_{n}}}:$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ a ( $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ + $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ ) $=$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ x $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ … $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ n $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ { $display f_{a$ }( $k+$ 1)= $g^{a_{1}a_{$ 2}^{ $x_{2}}\partern$ a_ ${n}^{n$ }^{x_x_ ${n$ 일반적으로 k $f_{a}(k+1)=g^{a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ 에서 k 패턴으로 이동합니다.따라서 계산은 Diffie 계산과 일치한다.Hellman 키는 이전 두 결과 사이에 있습니다.이 공격자는 다음 시퀀스 요소를 예측하려고 합니다.그러한 공격은 매우 나쁘지만, Diffie와 함께 작업함으로써 싸우는 것도 가능합니다.Hellman 문제(DHP).

예: $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ 는 f $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ ( $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ 1 $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ = 4 1 $=$ 4 $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ = $4$ ^ { 1 $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ ^ { $1 } 2$ ^ { $0$ ^ { 1 } $=$ 4 = 4 ^ { 1 } = 4 $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ = $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ 과 $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ , $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ ( ) $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ = 0 $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ $f_{a}(1)=4^{1^{0}2^{0}1^{1}}=4^{1}=4$ 과 $f_{a}(5)=4^{1^{1}2^{0}1^{1}}=4^{1}=4$ 함수의 출력을 몇 개 검출합니다.그 후 공격자는 이 함수의 $f_{a}(6)$ 시퀀스 $f_{a}(6)$ f $f_{a}(6)$ ( $6$ ){displaystyle $f_{a}(6$ 를 예측하려고 합니다. $f_{a}(1)$ $f_{a}(1)$ 는 f $f_{a}(1)$ ( $f_{a}(6)$ 6 $){display style$ f_ $f_{a}(5)$ $a}(6)$ 의 $f_{a}(6)$ $f_{a}(6)$ 를 f ( 1) $f_{a}(1)$ { $display$ $f_{a$ $1)$ 및 $f_{a}(5)$ (5 $)$ 를 $f_{a}(1)$ 는 예측할 수 없습니다.

의사난수 생성기에는 매우 나쁜 다른 공격도 있습니다.사용자는 출력에서 랜덤한 번호를 얻을 것으로 예상하기 때문에 스트림을 예측할 수 없습니다.또한 랜덤 문자열과 구별할 수 없습니다. $f_{a}(x)$ $($ $f_{a}(x)$ {displaystyle $f_{a}($ x ${\mathcal {A}}^{f}$ ) { $f_{a}(x)$ $f_{a}(x)}$ {displaystyle f_ ${$ }( $x$ $)}$ {displaystyle $}$ {A} {displaystyle} {A}} {displaystyle} {a}} {disp}} {dispositional Diffiefief} {a}} {a}}}}}} {diff}}}}}}}}Hellman 가정은 $\mathbb {F} _{p}$ p \ $displaystyle \mathbb {F} _{p$ , Naor 및 Leingold에 대해 모든 확률론적 다항식 시간 ${\mathcal {A}}$ A \ $displaystyle \mathcal {A}}$ 에 ${\mathcal {A}}$ $\mathbb {F} _{p}$ 충분히 큰 n을 보여준다.

Pr

[

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

f

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

(

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

) (

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

,

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

)

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

[

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

(

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

,

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

)

{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)\to 1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)\to 1]

]{

display

style { text {

Pr }}[

{ \

mathcal

{

A

} {

f

_ {

a

} ( x ) } (

p

,

g

) \

text

{

Pr

} } - { \

mathcal { Pr

} } （ 1 } } } （ { \ mathcal { \ text { Pr } } } }

첫 번째 확률은 시드 s = (p, g, a)의 선택에 이어지며, 두 번째 확률은 ${\mathcal {I}}{\mathcal {G}}(n)$ G ${\mathcal {I}}{\mathcal {G}}(n)$ ( $)$ { $display$ { $mathcal {I}}{\mathcal {G}($ $n$ ${\mathcal {I}}{\mathcal {G}}(n)$ 인스턴스 생성기 및 $R_{a}(x)$ ( $)의 랜덤$ 선택에 의해 ${\mathcal {I}}{\mathcal {G}}(n)$ , g에 유도되는 랜덤 분포에 이어 이어집니다.모든 $\{0,1\}^{n}\to \mathbb {F} _{p}$ { $\{0,1\}^{n}\to \mathbb {F} _{p}$ , $\{0,1\}^{n}\to \mathbb {F} _{p}$ $\{0,1\}^{n}\to \mathbb {F} _{p}$ $\{0,1\}^{n}\to \mathbb {F} _{p}$ $\{0,1\}^{n}\to \mathbb {F} _{p}$ $\{0,1\}^{n}\to \mathbb {F} _{p}$ p \ $displaystyle$ \ { $0$ , 1 \ }^{ $n}\ to \mathbb {F}$ _ ${p}$ 함수 $\{0,1\}^{n}\to \mathbb {F} _{p}$ ^[2]중 t.

선형 복잡도

시퀀스가 암호화 목적에 얼마나 유용한지를 나타내는 자연적 척도 중 하나는 선형 복잡성의 크기입니다.한 n-element 시퀀스의 선형 복잡성 W()),)반지를 R{\displaystyle{{R\mathcal}에=0,1,2,…,n – 1,}}가장 짧은 선형 복귀 관계 W(x+나는))Al−1 W()+l−1)의 이 sequen로 만족합니다는 길이 l+에나+A0W()),)=0,1,2,…, A0과 n– 나는 −1,…, Al−1 ∈ R{\displaystyle{{R\mathcal}}},.ce.

일부γ{\displaystyle \gamma}을 들어 어떤δ>;0,n ≥(1+ γ{\displaystyle \gamma})로그 ⁡ 나는{나는\displaystyle \log},;0{\displaystyle \delta>0}, 충분히 큰 l, 이 순서에 f는()){\displaystyle f_{}())은 선형적인 복잡성},0≤)≤ 2n-1, L에 의해 표시된{\displaystyle L._{를}}satisfies

\displaystyle L_{a}\geqslant\begin{case}l^{1-\delta\!}&{\text{(만약 }\text인 경우)\!\geqslant 2\l^{\leftfrac\tfrac\\\tfrac\!}{2-\text\textslant\!}}\오른쪽)}&{\text{(만약 }}\text\case\!<2\end{case}})

$3(l-1)^{n-\delta }$ 3개의 ( $3(l-1)^{n-\delta }$ $3(l-1)^{n-\delta }$ ) $3(l-1)^{n-\delta }$ - ${\$ {{ $displaystyle$ 3 ( $l-1)^{n-\delta$ }} 벡터 $3(l-1)^{n-\delta }$ a $(\mathbb {F} _{l})^{n}$ ( $(\mathbb {F} _{l})^{n}$ ) $(\mathbb {F} _{l})^{n}$ $\$ $display$ style ( \ $mathbb$ { $F } _$ { $l$ } )^{ $n$ ^[3] } } 。이 작업의 바운드는 매우 흥미로운 $\log p\approx \log n\approx {n.}$ 로그 $\log p\approx \log n\approx {n.}$ p $\log p\approx \log n\approx {n.}$ log $\log p\approx \log n\approx {n.}$ n $.\$ $displaystyle$ \ $log p\approx \log$ n $\approx$ { $n}$ 에 적용되지 않는 단점이 있다. $}}$

분배의 균일성

$f_{a}(x)$ a $f_{a}(x)$ ( $f_{a}(x)$ ) { $displaystyle f_{a}(x$ )}의 $f_{a}(x)$ 통계적 분포는 거의 모든 벡터 a $(\mathbb {F} _{l})^{n}$ ( $(\mathbb {F} _{l})^{n}$ $(\mathbb {F} _{l})^{n}$ ) $(\mathbb {F} _{l})^{n}$ n \ $displaystyle$ ( \ $mathbb$ { F $(\mathbb {F} _{l})^{n}$ } $(\mathbb {F} _{l})^{n}$ _ { l } $)^{$ n $(\mathbb {F} _{l})^{n}$ 의 균일한 분포에 기하급수적으로 가깝습니다.

$displaystyle$ $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ ${D}_{a}$ 을 ${{\mathbf D}}_{a}$ $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ 를) 세트 { $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ a ( $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ ) 0 $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ x $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ $\{f_{a}(x)|0\leq x\leq 2^{n-1}\}$ n - $}$ { $displaystyle$ \ { $f_{a}(x) 0\leq 2^{n-1$ 의 불일치로 ${\mathbf {D} }_{a}$ .따라서 n $n=\log p$ $n=\log p$ $n=\log p$ { $displaystyle$ n = \ $log$ p $n=\log p$ }가 $n=\log p$ p의 비트 길이인 $n=\log p$ 모든 벡터 a $(\mathbb {F} _{l})^{n}$ ( $(\mathbb {F} _{l})^{n}$ ) $(\mathbb {F} _{l})^{n}$ n ( \ $mathbb$ { $F } _$ { $l$ }^{ $n$ })에 $({\mathbb F}_{{l}})^{{n}}$ 대해 ${\mathbf {D} }_{a}\leq \Delta (l,p)$ D ${\mathbf {D} }_{a}\leq \Delta (l,p)$ ${\mathbf {D} }_{a}\leq \Delta (l,p)$ ( ${\mathbf {D} }_{a}\leq \Delta (l,p)$ , ${\mathbf {D} }_{a}\leq \Delta (l,p)$ p ) _ { $displaystyle$ ( \ $mathbf$ { $D }$ _ { D } $_$ { D } _ { del } _ { del } \ $ta$ } \ l } \ l ) \ l } \ $l$ } \ l } \ l } \ l }

\displaystyle \Delta ( l , p ) = p^ { \ leftfrac \ tfrac { 1 - \ \ displays } \!}{2}}\right)}l^{\leftfrac {-1}{2}\right}\log^{2}p&{\text{ if }l\geqslant p^{\right}\!}\\p^{\tfrac{1}{2}}\right}l^{-1}\log^{2}p&{\text{if}p^{\text}p^{\text}\p^{\text}\!}> l\geqslant p^{\leftfrac {2}{3}}\right)}\\p^{\leftfrac {1}{4}}\right}l^{\leftfrac {-5}{8}}\right}}\log^{2}p&{\text{}p^{\text}{}p^{\leftfrac {2}{3}\right}>l\geqslant p^{lfright1}\fright}}\\p^{\leftfrac {1}{8}}\right}l^{\leftfrac {-3}{8}}\right}}\log^{2}p&{\text{}p^{\text}{}p^{\leftfrac {1}\right}>l\geqslant p^{\fright1}}\\\end{case}}

그리고.

\displaystyle \cdots = 2.5-\log 3 = 0.9150\cdots }

이 속성은 즉각적인 암호 관련성을 가지지 않는 것처럼 보이지만, 그 역의 사실, 즉, 사실일 경우, 불균일한 분배는 이 ^[4]함수의 애플리케이션에 치명적인 결과를 초래할 수 있습니다.

타원 곡선의 시퀀스

이 함수의 타원 곡선 버전도 관심 대상입니다.특히, 대응 시스템의 암호화 보안을 개선하는 데 도움이 될 수 있습니다.p > 3을 프라임으로 하고 $E$ 를 F p $\mathbb {F} _{p}$ { $F}$ _ ${$ p $\mathbb {F} _{p}$ $\mathbb {F} _{p}$ 의 타원곡선으로 하고 각 벡터 a를 다음과 같이 서브그룹 $\langle G\rangle$ G ${\$ {\ $displaystyle \langle$ G $\rangle }$ 의 $\langle G\rangle$ 유한계열을 정의합니다.

({displaystyle F_{a}(x)=(a_{1}^{1})a_{2}^{x_{2}\dots a_{n}^{x_{n})G}

$x=x_{1}\dots x_{n}$ 서 x $x=x_{1}\dots x_{n}$ $x=x_{1}\dots x_{n}$ … $x=x_{1}\dots x_{n}$ { $style$ x = $x_{1}\display x_{n}}$ 은 $x=x_{1}\dots x_{n}$ $x,0\leq x\leq 2^{n-1}$ x 의 비트 표현입니다. 0 $x,0\leq x\leq 2^{n-1}$ $x,0\leq x\leq 2^{n-1}$ $x,0\leq x\leq 2^{n-1}$ $x,0\leq x\leq 2^{n-1}$ - $x,0\leq x\leq 2^{n-1}$ { $displaystyle$ x , $0$ \ $leq$ x \ $leq$ 2 $^$ { n - 1 } $x,0\leq x\leq 2^{n-1}$ 。Naor-Reingold 타원 곡선 순서는 다음과 같이 정의된다.

\displaystyle u_{k}=X(f_{a}(k)\;{\mbox{여기서 }}X(P){\mbox{는 abscissa of}\;P\in E.}

^[5]

결정적 디피(Diffie)가 다음과 같은 경우-Hellman의 가정에서는 공격자가 랜덤 오라클에 대해 다항식으로 많은 쿼리를 수행하더라도 인덱스 k는 다항식 시간에 $u_{k}$ 를 $u_{k}$ $u_{k}$ 에 충분하지 않습니다.

「」를 참조해 주세요.

메모들

^ Naor, M., Leingold, O. "효율적인 의사 랜덤 함수의 수 이론 구조", Proc 38번째 IEEE Symp.컴포넌트 설립에 관한 정보입니다.Sci, (1997), 458-467.
^ 본, 댄 "결정 디피"Hellman 문제"ANTS-III: 제3회 알고리즘 수 이론 국제 심포지엄의 진행, 1998, 48~63.
^ Shparlinski, Igor E. "Naor-Reingold 의사 랜덤 함수의 선형 복잡도", Inform.프로세스 레트, 76(2000), 95~99.
^ Shparlinski, Igor E. "Naor-Reingold 의사랜덤 함수의 분포 균일성에 대하여", 유한필드와 그 응용 프로그램, 7(2001), 318–326
^ Cruz, M., Gomez, D., Sadornil, D. "타원 곡선을 가진 Naor-Reingold 시퀀스의 선형 복잡성에 대하여", 유한장 및 그 응용, 16(2010), 329–333

레퍼런스

를 클릭합니다Naor, Moni; Reingold, Omer (2004), "Number-theoretic constructions of efficient pseudo-random functions", Journal of the Association for Computing Machinery, 51 (2): 231–262, doi:10.1145/972639.972643, S2CID 8665271.
Shparlinski, Igor (2003), Cryptographic Applications of Analytic Number Theory: Complexity Lower Bounds and Pseudorandomness (first ed.), Birkhäuser Basel, ISBN 978-3-7643-6654-4
Goldreich, Oded (1998), Modern Cryptography, Probabilistic Proofs and Pseudorandomness (first ed.), Springer, ISBN 978-3-540-64766-9

[NaorReingold-1] Naor, M., Leingold, O. "효율적인 의사 랜덤 함수의 수 이론 구조", Proc 38번째 IEEE Symp.컴포넌트 설립에 관한 정보입니다.Sci, (1997), 458-467.

[DDHBoneh-2] 본, 댄 "결정 디피"Hellman 문제"ANTS-III: 제3회 알고리즘 수 이론 국제 심포지엄의 진행, 1998, 48~63.

[ShparlinskiLinearComplexity-3] Shparlinski, Igor E. "Naor-Reingold 의사 랜덤 함수의 선형 복잡도", Inform.프로세스 레트, 76(2000), 95~99.

[ShparlinskiUniformity-4] Shparlinski, Igor E. "Naor-Reingold 의사랜덤 함수의 분포 균일성에 대하여", 유한필드와 그 응용 프로그램, 7(2001), 318–326

[EllipticNaor-5] Cruz, M., Gomez, D., Sadornil, D. "타원 곡선을 가진 Naor-Reingold 시퀀스의 선형 복잡성에 대하여", 유한장 및 그 응용, 16(2010), 329–333

[1]

[2]

[3]

[4]

[5]

Search

Naor-Reingold 의사난수 함수

네임스페이스

더

목차

예

효율성.

기능의 보안

선형 복잡도

분배의 균일성

타원 곡선의 시퀀스

「」를 참조해 주세요.

메모들

레퍼런스

Search

Naor-Reingold 의사난수 함수

예

효율성.

기능의 보안

선형 복잡도

분배의 균일성

타원 곡선의 시퀀스

「 」를 참조해 주세요.

메모들

레퍼런스

「」를 참조해 주세요.