Ich schlage vor, dass Sie das Framework verwenden, das in folgendem Papier enthalten ist:
Wie weit können wir über die lineare Kryptoanalyse hinausgehen? , Thomas Baignères, Pascal Junod, Serge Vaudenay, ASIACRYPT 2004.
Das entscheidende Ergebnis besagt, dass Sie n ∼ 1 / D ( D 0 benötigen , wobei D ( D 0n∼1/D(D0||D1) ist der Kullback-Leibler-Abstand zwischen den beiden Verteilungen D 0 und D 1 . Wenn wir die Definition der KL-Distanz erweitern, sehen wir das in Ihrem FallD ( D0| |D1)D0D1
D ( D0| |D1) = p logpp + ϵ+ (1−p)log1−p1 - p−ϵ,
mit der Konvention, dass .0 log0p= 0
Wenn finden wir D ( D 0p » ε . Wenn also p » ε ,finden wirdass Sie brauchen n ~ p ( 1 - p ) / ε 2 Münzwürfe. Wenn p = 0 ist , finden wir D ( D 0D ( D0| |D1) & Ap ; & egr;2/(p(1−p))p≫ϵn∼p(1−p)/ϵ2p=0 , so müssen Sie n ~ 1 / ε Münzwürfe. Somit stimmt diese Formel mit den Sonderfällen überein, die Sie bereits kennen ... aber sie verallgemeinert sich auf alle n , ϵ .D(D0||D1)=−log(1−ϵ)≈ϵn∼1/ϵn,ϵ
Zur Rechtfertigung siehe das Papier.
Wenn ist die Begründung einfach zu Arbeit durch von Hand. Bei n Beobachtungen ist die Anzahl der Köpfe entweder Binomial ( n , p ) oder Binomial ( n , p + ϵ ) . Sie möchten also das kleinste n finden , damit diese beiden Verteilungen unterschieden werden können.p≫ϵnBinomial(n,p)Binomial(n,p+ϵ)n
Sie können beide durch einen Gaußschen Wert mit dem richtigen Mittelwert und der richtigen Varianz approximieren und dann Standardergebnisse für die Schwierigkeit der Unterscheidung von zwei Gaußschen Werten verwenden. Die Antwort sollte dann herausfallen. Die Annäherung ist in Ordnung, wenn oder so ist.p≥5/n
Insbesondere kommt es darauf an, von N ( μ 1 , σ 2 1 ) zu unterscheiden, wobei μ 0 = p n , μ 1 = p + ϵ ) n , σ 2 0 = p ( 1 - p ) n , σ 2 1 = ( p + ϵ )N(μ0,σ20)N(μ1,σ21)μ0=pnμ1=p+ϵ)nσ20=p(1−p)nσ21=(p+ϵ)(1−p−ϵ)n. You'll find that the probability of error in the optimal distinguisher is erfc(z) where z=(μ1−μ0)/(σ0+σ1)≈ϵn/2p(1−p)−−−−−−−−−−√z∼1n∼2p(1−p)/ϵ2p≫ϵ.
For the general case... see the paper.