유사란도 발전기 정리

계산 복잡성 이론과 암호학에서 가성 생성기의 존재는 집합적으로 가성 생성기 정리라고 하는 다수의 정리를 통한 단방향 함수의 존재와 관련이 있다.

소개

유사성

효율적인 계산이 불가해한 이점에 의해 실제 균일 분포와 구별할 수 없는 경우 분포는 유사 분포로 간주된다.형식적으로 분포 D_n 계열은 다항식 크기 회로 C에 대해 유사하지만, in 역 다항식(n)에 대해서는 유사 다항식이다.

Prob_x∈U [C(x)=1] - Prob_x∈D [C(x)=1] ≤.

가성생성기

함수 G_l: {0,^l1} → {0,1},^m 여기서 l < m은 다음과 같은 경우 유사란돔 생성기다.

• G는_l 시간 다항식으로 계산될 수 있다.
• G_l(x)는 x가 균일하게 랜덤할 때 가성분이다.

하나의 추가 유사 항문 비트는 다항식적으로 더 유사 항문 비트를 의미한다.

유사란돔 발생기_l G: {0,^l1} → {0,^l+11}, 즉 유사란돔 비트를 하나만 추가하는 생성기가 있다면, 임의의 m = poly(l)에 대해 유사란돔 발생기 _lG': {0,^l1} → {0,1}.^m

그 증거의 개념은 다음과 같다: 균일한 분포 U의_l 첫 번째 s 비트를 골라 씨앗으로 사용되는데, 이는 유사란돔 생성기로 알려진 G의_l 첫 번째 사례에 해당한다.다음으로, G의_l 첫 번째 인스턴스의 출력은 두 부분으로 나뉜다: 첫 번째 l 비트는 두 번째 인스턴스로 시드로 G의_l 두 번째 인스턴스로 공급되는 반면, 마지막 비트는 출력의 첫 번째 비트가 된다.이 과정을 m 곱에 반복하면 m 유사andom 비트의 출력이 발생한다.

G의_l m 인스턴스로 구성된 그러한 G'_l는 다음과 같은 하이브리드 접근법과 모순에 의한 증거를 사용하여 실제로 가성 생성기임을 알 수 있다.

m+1 중간 분포 H_i: 0 ≤ i ≤ m을 고려하십시오. 여기서 첫 번째 i 비트는 균일한 분포에서 선택되며 마지막 m - i 비트는 G'의 출력에서 선택된다._l따라서 H는₀ G'_l의 풀출력이고 H는_m 진정한 균일분포 U이므로_m 분포 H와_i H는_i+1 단 1비트(비트 번호 i+1)에서만 차이가 난다.

자, G'_l가 가성분포가 아니라고 가정합시다. 즉, G'_l와 U를_m 구별할 수 있는 C 회로가 존재하며 우위 advantage = 1/poly(l)가 있다고 가정합시다.즉, 이 회로는 H와₀ H를_m 구별할 수 있다.따라서 회로 C가 최소한 ε / m로 H와_i H를_i+1 구별할 수 있는 i가 존재한다. 참고: m은 l에서 다항식이기 때문에, ε / m도 l에서 다항식이며 여전히 비적합성 장점이다.

이제 G의_l 출력 또는 균일한 분포에서 추출된 l+1 비트가 주어진다고 가정해 보십시오.G의_l 경우에서 큰 유사성 생성기를 구축하는 접근방식을 재사용하고, 위에서 주어진 첫 번째 l 비트를 씨앗으로 사용하여 'G'_l가 구성된 것과 같은 방식으로 m-i-1 길이의 유사성 비트의 문자열을 구성하자.그런 다음, 균일한 비트에서 뽑아낸 i 비트와 주어진 비트의 마지막 비트를 연결한 다음 생성된 m-i-1 비트로 구성된 문자열을 만들어 보자.i+1 비트는 균등 또는 G에서_l 그려지기 때문에 결과 출력은 H 또는_i H이다_i+1.가정으로 우리는 H와_i H를_i+1 불가해한 우위로 구별할 수 있기 때문에, 그러면 우리는 U와 G를_l 구별할 수 있는데, 이는 G가_l 가설이 아닌 가설을 내포하고 있는 것이다.Q.E.D.

자, 만약 존재한다면, G와_ll+1 U를 구별하기 위한 회로가 무작위 동전을 던질 필요가 없다는 것을 설명해보자.앞에서 설명한 것처럼 G'_l와 U를_m 구별하기 위한 회로 C가 존재한다면, 여기서 m = poly(l)는 i 무작위 비트를 사용하는 G와_l U를_l+1 구별하기 위한 회로 C'가 존재한다.이 회로 C'의 경우_{u, s} : 프로브 [C' (u₁, ...,u_il,G(s) = 1_{u, y} ] - 프로브 [C₁] (u, u_i,y) = 1] ≥ / m,

여기서 u는 i 균일 랜덤 비트의 문자열이고, s는 l 균일 랜덤 비트의 문자열이며, y는 l+1 균일 랜덤 비트의 문자열이다.

그러면.

프로브_u[Prob_s] [C] (u₁,...,u_i,G_l(s) = 1] - 프로브_y [C] (u₁,...,u_i,y) = 1] ≥ ε / m;

즉, G와_l U를_l+1 구별하기 위해 회로 C에 대한 "advises"로 사용할 수 있는 i 비트의 고정 문자열 u가 존재한다는 것이다.

유사란돔 생성기의 존재

가성 생성자의 존재는 단방향 함수와 하드코어 술어의 존재와 관련이 있다.형식적으로는 단방향 함수가 존재하는 경우에만 가성 생성기가 존재한다.

PRG £ OWF

정의들

단방향 함수

직관적으로 단방향 함수는 계산하기 쉽고 반전하기 어려운 함수다.즉 함수의 복잡성(또는 회로 크기)은 역 함수의 복잡성(또는 회로 크기)보다 훨씬 작다.형식: 함수 ƒ: {0,ⁿ1} → {0,1}은(ⁿ는) 단방향(S,11)이며, 만일 크기 s S의 회로 C가 있다면,

프로브[ƒ(C)(x) = ƒ(x)] ≤.

더구나 ƒ은 단방향함수다.

• ƒ 다항식 시간으로 계산할 수 있음
• ƒ은 (poly) (n), 1/4 (n) 단방향

하드코어 술어

함수 B: {0,ⁿ1} → {0,1}은(는) 함수 ƒ에 대한 하드 코어 술어다.

• B는 다항식 시간으로 계산할 수 있다.
• 모든 다항식 크기 회로 C와 모든 비글라이저 = = 1/폴리(n), 프로브_x~U [C(ƒ)(x) = B(x)] 1/2 이상 ε

즉, 함수 ƒ(x)로부터 B(x)를 예측하기 어렵다.

증명

여기 그 증거의 개요가 제시되어 있다.자세한 증명은 참조를 참조하십시오.

PRG → OWF

유사 생성기 G_l: {0,^l1} → {0,1}을(^2l를) 고려하십시오.G_l 출력의 전반을 출력으로 사용하는 단방향 함수 ƒ을 생성해 봅시다. {0,ⁿ1} → {0,ⁿ1}형식적으로.

ƒ(x,y) → G_l(x)

그러한 선택을 정당화하는 핵심 관찰은 함수의 이미지가 크기 2이며ⁿ 크기 2의²ⁿ 사전 이미지 우주에서 무시할 수 있는 부분이라는 것이다.

ƒ이 정말로 일방적 함수라는 것을 증명하기 위해 모순에 의한 주장을 구성하자.장점 ε으로 ƒ을 반전시키는 회로 C가 있다고 가정해 보십시오.

프로브[ƒ(C(x,y)) = ƒ(x,y)] > ε

그러면 G와_l 균일성을 구별할 수 있는 다음과 같은 알고리즘을 만들 수 있는데, 이는 가설과 모순된다.알고리즘은 2n 비트 z와 계산(x,y) = C(z)의 입력을 취한다.G_l(x) = z인 경우 알고리즘이 승인하고 그렇지 않으면 거부한다.

이제 z를 균일한 분포로부터 끌어낸다면, 이미지의 크기가 프리 이미지 크기의 1/2이기^l 때문에 위의 알고리즘이 받아들일 확률은 1 1/2이다^l.단, G의_l 출력에서 z를 끌어낸 경우, 회로 C의 존재를 가정해 합격 확률은 > ε이다.따라서 회로 C가 G의_l 균일한 U와 출력을 구별하는 데 있어서 갖는 이점은 > ε - 1/2인데^l, 이는 불가해하며 따라서 G가_l 가성 생성기라는 우리의 가정과 모순된다.Q.E.D.

OWF → PRG

이 경우에 우리는 더 약한 버전의 정리를 증명한다.

단방향 순열 → 가성발생기

단방향 순열은 입력 비트의 순열이기도 한 단방향 함수다.가성 발전기는 다음과 같이 단방향 순열 ƒ으로 구성할 수 있다.

G_l: {0,1}→{^l0,^l+11} = ƒ(x).B(x) 여기서 B는 ƒ의 하드코어 술어이고 "."는 연결 연산자다.유의할 점은 위에서 입증된 정리에 의해서, 단지 하나의 가성비트를 첨가하는 발전기의 존재만을 보여 주면 된다는 점이다.

하드코어 술어 → PRG

먼저 B가 ƒ의 하드코어 술어라면 G는_l 실로 가성비라는 것을 보여 주자.다시, 우리는 모순에 의한 논쟁을 이용할 것이다.

G가_l 유사란돔 생성기가 아니라고 가정한다. 즉, G_l(x) =suffer(x)를 구별하는 다항식 크기의 회로 C가 존재한다고 가정한다.U의_l+1 B(x)와 장점 advantageε, 여기서 ε은 불가결하다.참고로 ƒ(x)는 순열이기 때문에, x가 균일한 분포에서 그려진 경우에는 ƒ(x)가 순열이다.따라서 U는_l+1 ƒ(x.b)에 해당하며, 여기서 b는 균일한 분포와 독립적으로 비트를 그린다.형식적으로.

Prob_x~U [C(G(x)=1] - Prob_x~U,b~U [C(x.b)=1] ≥

다음 알고리즘 C'를 구성해보자.

1. 주어진 z=f(x) 추측 비트 b 2.z.b 3. IF C(z.b)=1. 출력 b 5. EX 6. 출력 1-b에서 C를 실행하십시오.

ƒ의 출력으로 볼 때 알고리즘은 무작위 코인을 던져 비트 b를 먼저 추측한다. 즉, Prob[b=0] = Prob[b=1] = 0.5.그런 다음 알고리즘(회로) C는 f(x)b에서 실행되며 결과가 1이면 b가 출력되고 그렇지 않으면 b의 역이 반환된다.

C'가 B(x)를 정확하게 추정할 확률은 다음과 같다.

프로브_x~U [C]=B(x)] =

Prob[b=B(x) ∧ C(z.b)=1] + Prob[b≠B(x) ∧ C(z.b)=0] =

프로브[b=B(x)]⋅Prob[C(z.b)=1 b=B(x)] + Prob[b≠B(x)]⋅Prob[C(z.b)=0 b≠B(x)] =

1/2⋅Prob[C(z.b)=1 b=B(x)] + 1/2⋅Prob[C(z.b)=0 b≠B(x)] =

(1-1/2)⋅Prob[C(z.b)=1 b=B(x)] + 1/2⋅(1-Prob[C(z.b)=1 b≠B(x)] =

1/2+Prob_z.b~G(x) [C(z.b)=1] - 1/2⋅(Prob[C(z.b)=1 b=B(x)]+Prob[C(z.b)=1 b≠B(x)] =

1/2+Prob_z.b~G(x) [C(z.b)=1] − Prob_z.b~U [C(z.b)=1] ≥ 1/2+ε

이는 회로 C'가 1/2 + ε 이상의 확률로 B(x)를 예측할 수 있음을 시사하며, 이는 B가 ƒ의 하드코어 술어가 될 수 없고 가설은 모순된다는 것을 의미한다.Q.E.D.

OWP → 하드코어 술어

증명의 개요는 다음과 같다.

ƒ{0,1}→{ⁿ0,1}ⁿ가 단방향 순열인 경우, {'{0,²ⁿ1}→{0,²ⁿ1}, 여기서 ('(x,y)=x(x.y)는 정의상 ƒ'이다.그렇다면 B(x,y)=x⋅y는 ƒ'의 하드코어 술어로 여기서 ⋅은 벡터 도트 제품이다.그것이 정말 하드코어라는 것을 증명하기 위해, 그렇지 않다고 가정하고, ƒ이 일방통행이라는 가설과 모순되는 모습을 보여주자.B가 하드코어 술어가 아니라면 그것을 예측하는 회로 C가 존재하기 때문에

프로브_x,y[C(x)(x)=xxy] ≥ 1/2+ε.그 사실은 x의 비트를 격리시키는 순열 y를 교묘하게 구성함으로써 x를 회복하는 데 사용될 수 있다. 실제로 x의 일정한 비율에 대해서는 모든 유효한 x를 포함하는 O(1/&엡실론²) 후보들을 나열하는 다항 시간 알고리즘이 존재한다.따라서 알고리즘은 다항 시간 내에 x의 불가해한 분수에 대해 ((x)를 반전시킬 수 있으며, 이는 가설과 모순된다.

참조

• W. Diffie, M.E. Hellman."암호화의 새로운 방향" IEEE 정보이론, IT-22, 페이지 644–654, 1976.
• AC 야오 "트랩도어 기능의 이론과 적용" 제23회 IEEE 컴퓨터 과학의 기초 심포지엄, 80–91페이지, 1982.
• M. Blum과 S. 미칼리 "사이비 무작위 비트의 암호화된 강력한 시퀀스를 생성하는 방법." SIAM 컴퓨팅 저널 v13, 페이지 850–864, 1984.
• J. 헤스타드, R.임팔리아초, L.A. 레빈, M.Luby. "단방향 함수의 유사성 생성기." SIAM 컴퓨팅 저널, v28 n4, 페이지 1364-1396, 1999.