क्या हम केवल निरंतर समय और स्थान का उपयोग करते हुए [n] पर एक k- वार स्वतंत्र क्रमचय का निर्माण कर सकते हैं?

आज्ञा देना एक स्थिर स्थिरांक है। पूर्णांक को देखते हुए , हम एक क्रमपरिवर्तन का निर्माण करना चाहते हैं : $k>0$ $n$ $\sigma \in S_n$

निर्माण निरंतर समय और स्थान का उपयोग करता है (यानी प्रीप्रोसेसिंग में निरंतर समय और स्थान लगता है)। हम यादृच्छिककरण का उपयोग कर सकते हैं।
को देखते हुए , निरंतर समय और स्थान में गणना की जा सकती है। $i\in[n]$ $\sigma(i)$
क्रमचय है वार स्वतंत्र, यानी, सभी के लिए , यादृच्छिक परिवर्तनीय स्वतंत्र और समान रूप से वितरित कर रहे हैं से अधिक । $\sigma$ $k$ $i_1, \ldots, i_k$ $\sigma(i_1), \ldots, \sigma(i_k)$ $[n]$

केवल एक चीज जिसे मैं वर्तमान में जानता हूं वह छद्म यादृच्छिक जनरेटर का उपयोग करके मान के लिए लघुगणक स्थान और बहुपद गणना समय का उपयोग करता है । $\sigma(i)$

पृष्ठभूमि

मुझे हाल के कुछ कामों के लिए उपरोक्त की तरह कुछ की आवश्यकता थी, और मैं कुछ कमजोर का उपयोग करके समाप्त हो गया: मैंने दोहराया प्रविष्टियों की अनुमति दी और सत्यापित किया कि मुझे जितने नंबर चाहिए थे, वे कवर किए गए (यानी, एक गड़बड़)। विशेष रूप से, मुझे एक -wise स्वतंत्र अनुक्रम मिला जो समय में गणना की जा सकती है और निरंतर स्थान का उपयोग कर सकता है। कुछ सरल होना अच्छा होगा, या सिर्फ वही जानो जो जाना जाता है। $k$ $O(1)$

मान्यताओं

मैं यूनिट-कॉस्ट रैम मॉडल मान रहा हूं। मेमोरी / रजिस्टर में प्रत्येक शब्द आकार , और प्रत्येक बुनियादी अंकगणितीय ऑपरेशन में समय लगता है। मैं किसी भी उचित क्रिप्टोग्राफिक धारणा (एक तरह से कार्य, असतत लॉग, आदि) को संभालने के लिए तैयार हूं। $O(\log n)$ $O(1)$

वर्तमान बात

जैसा कि केव ने सुझाया है, यहां "आसान" हैक है जो मेरे पास वर्तमान में है (यह काफी मानक है): Let एक प्रमुख पर एक बहुपद हो ( रूप में बारे में सोचें )। यहां, प्रत्येक समान रूप से और यादृच्छिक रूप से से नमूना किया गया है । यह देखने के लिए कि आसान है एक दृश्य पुनरावृत्ति है कि है, लेकिन यह है वार स्वतंत्र, और मोटे तौर पर की संख्या इस क्रम में दिखाई देते हैं। हालाँकि, ध्यान दें कि चूंकि संख्याएँ इस क्रम में दोहराती हैं, इसलिए यह क्रमपरिवर्तन नहीं है। $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$ $p$ $p$ $n$ $a_i$ $[p]$ $\sigma(1), \sigma(2), \ldots, \sigma(n)$ $k$ $n(1-1/e)$ $[n]$

— सरियल हर-पेलेड
स्रोत

नहीं। _ निरंतर समय में, आप केवल आउटपुट की एक निरंतर मात्रा दे सकते हैं, इसलिए किसी भी निरंतर-समय एल्गोरिथ्म के लिए, पर्याप्त रूप से बड़े , हालत 3 में यादृच्छिक चर का समर्थन सख्त सबसेट होगा ।

$\:$

n

$n$

[n]

$[n]$

$\;\;\;\;$

मुझे क्रमपरिवर्तन की प्रति प्रविष्टि की निरंतर मात्रा की आवश्यकता है - इसलिए संपूर्ण क्रमांकन के लिए समग्र संगणना समय रैखिक हो सकता है।

— सरील हर-पेलेड

अंतरिक्ष के लिए के रूप में - मैं शब्द मॉडल मान रहा हूं - इसलिए हर शब्द अंतरिक्ष की निरंतर मात्रा लेता है, भले ही उसके पास लघुगणक संख्या हो।

— सरील हर-पेले

आंशिक समाधान: मान लीजिए कि एक प्रमुख शक्ति है और । साथ एक फ़ील्ड बनें | साथ यादृच्छिक यादृच्छिक के लिए सेट करें । तब तत्वों पर एक जोड़ीदार स्वतंत्र क्रमांकन है जिसे "निरंतर समय" में गणना की जा सकती है। शायद यह सामान्यीकरण करता है।

n

$n$

k = 2

$k=2$

F

$\mathbb{F}$

| F | = n

$|\mathbb{F}|=n$

σ (x) = a x + b

$\sigma(x)=ax+b$

a, b \in F

$a,b \in \mathbb{F}$

a \neq 0

$a \ne 0$

σ

$\sigma$

n

$n$

— थॉमस

ये। मैं यह जानता था;)। समस्या यह है कि को बहुत बड़ा होना है, और केवल रैखिक बहुपद क्रमपरिवर्तन हैं, न कि उच्च डिग्री वाले।

k

$k$

— सरियल हर-पेलेड

आप क्रिप्टोग्राफिक तकनीक का उपयोग करने को तैयार हैं और क्रिप्टोग्राफिक मान्यताओं पर भरोसा करते हैं और की एक कम्प्यूटेशनल धारणा को स्वीकार करने, तो वार स्वतंत्रता, यह posible है कि प्रारूप के संरक्षण एन्क्रिप्शन (एफपीई) उपयोगी हो सकता है। मुझे इस तरह के कुछ अलग निर्माणों को स्केच करने दें। $k$

(द्वारा "के संगणक धारणा वार स्वतंत्रता", मेरा मतलब है कि एक उचित प्रसारण समय के साथ कोई विरोधी भेद कर सकते हैं एक से , स्वतंत्र क्रमचय वार नगण्य लाभ के साथ छोड़कर इन योजनाओं के बारे में जानकारी-सैद्धांतिक रूप से नहीं होगा। - बुद्धिमान स्वतंत्र, लेकिन वे "अनिवार्य रूप से उतने ही अच्छे होंगे, जितने कि इंडिपेंडेंट इंडिपेंडेंट", यह देखते हुए कि गणना में सभी की गणना कम्प्यूटेशनल रूप से बंधी हुई है। " $k$ $\sigma$ $k$ $k$ $k$

एक व्यावहारिक योजना, छोटे $n$

विशेष रूप से, हस्ताक्षर साथ एक ब्लॉक सिफर (pseudorandom permutation, PRP) बनाने के लिए एक FPE निर्माण का उपयोग करें । के मानों के लिए जो से छोटे हैं , संभवतः सबसे अच्छी योजना एक निश्चित संख्या में राउंड (जैसे, 10) और एक दौर फ़ंक्शन के साथ Feistel निर्माण का उपयोग करना है जो AES से प्राप्त PRF है। चल रहा है समय का मूल्यांकन करने के किसी एकल मान के लिए हो जाएगा एईएस आमंत्रण। प्रत्येक एईएस आह्वान निरंतर समय में चलता है। $\sigma_k : [n] \to [n]$ $n$ $2^{128}$ $\sigma_k(i)$ $i$ $O(1)$

अंत में, ध्यान दें कि कोई भी छद्म आयामी क्रमांकन स्वचालित रूप से -स्वतंत्र है। विशेष रूप से, लुबी-रैकॉफ़ प्रमेय गारंटी देता है कि कम से कम 3 राउंड के साथ , यदि आपको AES सुरक्षित है, तो , आपको (लगभग) आज़ादी मिलती है। अधिक राउंड के साथ, यह संभावना है कि एक मजबूत परिणाम होगा, लेकिन प्रमेयों को साबित करने और अधिक तकनीकी बनने के लिए कठिन हैं, हालांकि यह व्यापक रूप से माना जाता है कि राउंड की एक निरंतर संख्या को अत्यधिक उच्च सुरक्षा प्राप्त करने के लिए पर्याप्त होना चाहिए (और इस प्रकार अनिवार्य रूप से परिपूर्ण - सभी उचित मूल्यों के लिए बुद्धिमान स्वतंत्रता )। $k$ $k$ $k \ll n^{1/4}$ $k$ $k$

इसको बड़ा करते हुए $n$

जब बड़ा होता है, तो चीजें अजीब हो जाती हैं, क्योंकि यूनिट-कॉस्ट रैम मॉडल निहित रूप से समानता की अनुमति देता है । यह मेरे लिए स्पष्ट नहीं है कि इस मॉडल में PRPs की लागत क्या होनी चाहिए (निरंतर? साथ बढ़ रही है ? मुझे नहीं पता)। $n$ $O(\lg n)$ $n$

एक तीसरा संभव निर्माण

चलो एक आरएसए मापांक है कि एक सा तुलना में बड़ा हो । को परिभाषित करें के उपसमूह को शामिल करें। जिन तत्वों में जैकोबी प्रतीक । परिभाषित करें तक $m$ $2n$ $G$ $(\mathbb{Z}/m\mathbb{Z})^*$ $+1$ $\pi : G \to G$

π (x) = x^{3} mod m .

$\pi(x) = x^3 \bmod m.$

इसके बाद, परिभाषित द्वारा $\sigma$

σ (i) = g (π (f (i)),

$\sigma(i) = g(\pi(f(i)),$

जहाँ यादृच्छिक द्विआधारी 2-स्वतंत्र हैश फ़ंक्शन हैं। $f,g$

मुझे संदेह है कि इस निर्माण में आरएसए जैसी धारणा के तहत स्वतंत्र (लगभग) -के-स्वतंत्र होने का एक मौका है । मेरे पास कोई सबूत नहीं है, बस एक अंतर्ज्ञान है। की मुख्य ज्ञात नियमितता यह है कि यह गुणात्मक रूप से समरूप है: । मैं किसी भी अन्य प्रासंगिक नियमितताओं के बारे में नहीं जानता, यहां तक कि निर्भर निर्भरता भी। पहले और बाद में एक 2 स्वतंत्र हैश लागू करना provably इस नियमितता समाप्त: यदि है गुणक homomorphicity के अलावा वार स्वतंत्रता है, तो 2-वार स्वतंत्र हैश लगते हैं जैसे वे पूर्ण प्रदान करना चाहिए $k$ $\pi$ $\pi(xy) = \pi(x) \pi(y)$ $k$ $\pi$ $\pi$ $k$ $k$ -स्वतंत्र स्वतंत्रता। लेकिन इस सुपर अधूरे थे और के प्रमाण से प्रकाश वर्ष है वार स्वतंत्रता। $k$

ध्यान दें कि आपको उस बजाय पर काम करने के लिए प्रारूप-संरक्षण एन्क्रिप्शन तकनीकों (जैसे, साइक्लिंग तकनीक) का उपयोग करना होगा । यह योजना होनी चाहिए (अपेक्षित) समय चल रहा है मूल्यांकन करने के लिए किसी दिए गए इनपुट पर का उपयुक्त विकल्प के साथ, । $f,g$ $G$ $(\mathbb{Z}/m\mathbb{Z})$ $O(1)$ $\sigma(i)$ $i$ $f,g$

इसके अलावा, कुछ अर्थों में इस उम्मीदवार निर्माण पर काम करने की क्षमता पर भरोसा द्वारा इकाई लागत वाली रैम मॉडल का दुरुपयोग करती है में -बिट संख्या समय, के बड़े मूल्यों के लिए , जो वास्तव में उचित में नहीं है अभ्यास करते हैं। (यह अंतिम निर्माण छोटे मूल्यों के लिए सुरक्षित नहीं होगा , इसलिए यह अंतिम दृष्टिकोण मूल रूप से बड़े- शासन पर निर्भर करता है इसके लिए काम करने का मौका है ... वास्तव में शासन जहां इकाई-लागत रैम मॉडल सबसे अधिक है संदिग्ध।) $\lg n$ $O(1)$ $n$ $n$ $n$

मैं स्वतंत्र रूप से स्वीकार करता हूं कि यह काफी खिंचाव है, लेकिन मैं इसका उल्लेख करता हूं कि यह एक बेहतर समाधान के लिए कुछ प्रेरणा देता है।

उदाहरण के लिए, को एक उपयुक्त अण्डाकार वक्र समूह द्वारा प्रतिस्थापित करना संभव हो सकता है , ताकि हमारे पास पर हो (याद रखें कि दीर्घवृत्त वक्र समूह आमतौर पर गुणन संकेतन के बजाय योज्य संकेतन का उपयोग करते हैं)। इसके बारे में अच्छी बात यह है कि यह अनुमान लगाने के लिए पूरी तरह से अनुचित नहीं है कि, यदि अण्डाकार वक्र समूह को सही चुना जाता है, तो एक "ब्लैक-बॉक्स समूह" की तरह व्यवहार करेंगे, जो मुझे लगता है कि प्रभावी रूप से इसका मतलब है कि होगा -स्वतंत्र स्वतंत्र "गुणात्मक समरूपता द्वारा निहित प्रभावों को छोड़कर"। मेरे पास प्रस्ताव करने के लिए एक पूर्ण निर्माण तैयार नहीं है (लापता टुकड़ा को कैसे चुनना है $G$ $\pi(x) = e x$ $G$ $G$ $G$ $\pi$ $k$ $G$ और का निर्माण कैसे करें और इस से आज़ादी कैसे साबित करें), लेकिन यह संभव है कि टुकड़ों को किसी तरह एक साथ रखा जाए। $f,g$ $k$

— DW
स्रोत

यह बहुत दिलचस्प है - मैं अगले कुछ हफ्तों के लिए यात्रा कर रहा हूं, लेकिन मैं उस पर गौर करूंगा जब मैं वापस आऊंगा। धन्यवाद!