Тест следующего бита - Next-bit test

В криптография и теория вычислений, то проверка следующего бита^[1] это тест против генераторы псевдослучайных чисел. Мы говорим, что последовательность битов проходит следующий битовый тест в любой позиции ${ displaystyle i}$ в последовательности, если любой злоумышленник, который знает ${ displaystyle i}$ первые биты (но не семя) не могут предсказать ${ Displaystyle (я + 1)}$ st с разумной вычислительной мощностью.

Точное заявление (я)

Позволять ${ displaystyle P}$ - многочлен, и ${ Displaystyle S = {S_ {k} }}$ набор таких множеств, что ${ displaystyle S_ {k}}$ содержит ${ Displaystyle P (k)}$ -битные последовательности. Кроме того, пусть ${ displaystyle mu _ {k}}$ быть распределение вероятностей струн в ${ displaystyle S_ {k}}$ .

Теперь мы определяем тест следующего бита двумя разными способами.

Формулировка логической схемы

Прогнозирующая коллекция^[2] ${ Displaystyle C = {C_ {k} ^ {i} }}$ это собрание логические схемы, так что каждая цепь ${ displaystyle C_ {k} ^ {i}}$ имеет меньше чем ${ Displaystyle P_ {C} (к)}$ ворота и точно ${ displaystyle i}$ входы. Позволять ${ displaystyle p_ {k, i} ^ {C}}$ - вероятность того, что на входе ${ displaystyle i}$ первые кусочки ${ displaystyle s}$ , строка, случайно выбранная в ${ displaystyle S_ {k}}$ с вероятностью ${ displaystyle mu _ {k} (s)}$ , схема правильно предсказывает ${ displaystyle s_ {я + 1}}$ , то есть:

${ displaystyle p_ {k, i} ^ {C} = { mathcal {P}} left [C_ {k} (s_ {1} ldots s_ {i}) = s_ {i + 1} right | s in S_ {k} { text {с вероятностью}} mu _ {k} (s)]}$

Теперь мы говорим, что ${ displaystyle {S_ {k} } _ {k}}$ проходит тест следующего бита, если для любого набора прогнозов ${ displaystyle C}$ , любой многочлен ${ displaystyle Q}$ :

${ displaystyle p_ {k, i} ^ {C} <{ frac {1} {2}} + { frac {1} {Q (k)}}}$

Вероятностные машины Тьюринга

Мы также можем определить тест следующего бита в терминах вероятностные машины Тьюринга, хотя это определение несколько сильнее (см. Теорема Адлемана ). Позволять ${ Displaystyle { mathcal {M}}}$ - вероятностная машина Тьюринга, работающая за полиномиальное время. Позволять ${ Displaystyle р_ {к, я} ^ { mathcal {M}}}$ быть вероятностью того, что ${ Displaystyle { mathcal {M}}}$ предсказывает ${ Displaystyle (я + 1)}$ st бит правильно, т.е.

${ displaystyle p_ {k, i} ^ { mathcal {M}} = { mathcal {P}} [M (s_ {1} ldots s_ {i}) = s_ {i + 1} | s in S_ {k} { text {с вероятностью}} mu _ {k} (s)]}$

Мы говорим, что коллекция ${ Displaystyle S = {S_ {k} }}$ проходит проверку следующего бита, если для всех полиномов ${ displaystyle Q}$ , для всех, кроме конечного числа ${ displaystyle k}$ , для всех ${ Displaystyle 0 <я <к}$ :

${ displaystyle p_ {k, i} ^ { mathcal {M}} <{ frac {1} {2}} + { frac {1} {Q (k)}}}$

Полнота теста Яо

Тест следующего бита - это частный случай Тест Яо для случайных последовательностей, и поэтому его передача является необходимое условие для прохождения Тест Яо. Однако было также показано достаточное условие от Яо.^[1]

Докажем это сейчас в случае вероятностной машины Тьюринга, поскольку Адлеман уже проделал работу по замене рандомизации неоднородностью в его теорема. Случай булевых схем не может быть выведен из этого случая (поскольку он включает решение потенциально неразрешимых проблем), но доказательство теоремы Адлемана может быть легко адаптировано к случаю неоднородных семейств булевых схем.

Позволять ${ Displaystyle { mathcal {M}}}$ быть отличительным признаком вероятностной версии теста Яо, то есть вероятностной машины Тьюринга, работающей за полиномиальное время, так что существует полином ${ displaystyle Q}$ такой, что бесконечно много ${ displaystyle k}$

{ displaystyle | p_ {k, S} ^ { mathcal {M}} - p_ {k, U} ^ { mathcal {M}} | geq { frac {1} {Q (k)}}}

Позволять ${ Displaystyle R_ {к, я} = {s_ {1} ldots s_ {i} u_ {i + 1} ldots u_ {P (k)} | s in S_ {k}, u in {0,1 } ^ {P (k)} }}$ . У нас есть: ${ Displaystyle R_ {к, 0} = {0,1 } ^ {P (k)}}$ и ${ Displaystyle R_ {k, P (k)} = S_ {k}}$ . Затем мы замечаем, что ${ displaystyle sum _ {я = 0} ^ {P (k)} | p_ {k, R_ {k, i + 1}} ^ { mathcal {M}} - p_ {k, R_ {k, i }} ^ { mathcal {M}} | geq | p_ {k, R_ {k, P (k)}} ^ { mathcal {M}} - p_ {k, R_ {k, 0}} ^ { mathcal {M}} | = | p_ {k, S} ^ { mathcal {M}} - p_ {k, U} ^ { mathcal {M}} | geq { frac {1} {Q ( k)}}}$ . Следовательно, хотя бы один из ${ displaystyle | p_ {k, R_ {k, i + 1}} ^ { mathcal {M}} - p_ {k, R_ {k, i}} ^ { mathcal {M}} |}$ не должно быть меньше чем ${ displaystyle { frac {1} {Q (k) P (k)}}}$ .

Далее мы рассматриваем распределения вероятностей ${ Displaystyle mu _ {к, я}}$ и ${ displaystyle { overline { mu _ {k, i}}}}$ на ${ displaystyle R_ {k, i}}$ . Распределение ${ Displaystyle mu _ {к, я}}$ - распределение вероятностей выбора ${ displaystyle i}$ первые биты в ${ displaystyle S_ {k}}$ с вероятностью дается ${ displaystyle mu _ {k}}$ , а ${ Displaystyle P (k) -i}$ остальные биты равномерно случайны. Таким образом, мы имеем:

${ Displaystyle му _ {к, я} (w_ {1} ldots w_ {P (k)}) = left ( sum _ {s in S_ {k}, s_ {1} ldots s_ { i} = w_ {1} ldots w_ {i}} mu _ {k} (s) right) left ({ frac {1} {2}} right) ^ {P (k) -i }}$

${ displaystyle { overline { mu _ {k, i}}} (w_ {1} ldots w_ {P (k)}) = left ( sum _ {s in S_ {k}, s_ { 1} ldots s_ {i-1} (1-s_ {i}) = w_ {1} ldots w_ {i}} mu _ {k} (s) right) left ({ frac {1 } {2}} right) ^ {P (k) -i}}$

Таким образом, мы имеем ${ Displaystyle му _ {к, я} = { гидроразрыва {1} {2}} ( му _ {к, я + 1} + { overline { му _ {к, я + 1}}} )}$ (это показывает простой вычислительный трюк), таким образом, распределения ${ displaystyle mu _ {к, я + 1}}$ и ${ Displaystyle { overline { mu _ {к, я + 1}}}}$ можно отличить по ${ Displaystyle { mathcal {M}}}$ . Без ограничения общности можно считать, что ${ displaystyle p _ { mu _ {k, i + 1}} ^ { mathcal {M}} - p _ { overline { mu _ {k, i + 1}}} ^ { mathcal {M}} geq { frac {1} {2}} + { frac {1} {R (k)}}}$ , с участием ${ displaystyle R}$ многочлен.

Это дает нам возможность построения машины Тьюринга, решающей следующий битовый тест: после получения ${ displaystyle i}$ первые биты последовательности, ${ Displaystyle { mathcal {N}}}$ дополняет этот ввод предположением бита ${ displaystyle l}$ а потом ${ Displaystyle P (k) -i-1}$ случайные биты, выбранные с равномерной вероятностью. Затем он бежит ${ Displaystyle { mathcal {M}}}$ , и выходы ${ displaystyle l}$ если результат ${ displaystyle 1}$ , и ${ displaystyle 1-l}$ еще.

использованная литература

^ ^а ^б Эндрю Чи-Чи Яо. Теория и приложения секретных функций. В материалах 23-го симпозиума IEEE по основам компьютерных наук, 1982 г.
^ Мануэль Блюм и Сильвио Микали, Как генерировать криптографически стойкие последовательности псевдослучайных битов, в SIAM J. COMPUT., Vol. 13, No. 4, ноябрь 1984 г.

[yao82-1] а ^б Эндрю Чи-Чи Яо. Теория и приложения секретных функций. В материалах 23-го симпозиума IEEE по основам компьютерных наук, 1982 г.

[2] Мануэль Блюм и Сильвио Микали, Как генерировать криптографически стойкие последовательности псевдослучайных битов, в SIAM J. COMPUT., Vol. 13, No. 4, ноябрь 1984 г.

[1]

[2]