Wenn Sie bereit sind, kryptografische Techniken zu verwenden und sich auf kryptografische Annahmen zu verlassen und eine rechnerische Vorstellung von weiser Unabhängigkeit zu akzeptieren , ist es möglicherweise hilfreich, dass die formaterhaltende Verschlüsselung (FPE) hilfreich ist. Lassen Sie mich einige verschiedene Konstruktionen dieser Art skizzieren.k
(Mit "rechnerischer Begriff der weisen Unabhängigkeit" meine ich, dass kein Gegner mit einer angemessenen Laufzeit von einer weisen unabhängigen Permutation unterscheiden kann, außer mit vernachlässigbarem Vorteil. Diese Schemata sind nicht informationstheoretisch - weise unabhängig, aber sie werden "im Wesentlichen so gut wie weise unabhängig" sein, vorausgesetzt, die gesamte Berechnung in Sichtweite ist rechnerisch begrenzt.)σ k k kkσkkk
Ein praktisches Schema für kleineren
Verwenden Sie insbesondere eine FPE-Konstruktion, um eine Blockverschlüsselung (Pseudozufallspermutation, PRP) mit der Signatur . Für Werte von , die kleiner als , ist es wahrscheinlich das beste Schema, eine Feistel-Konstruktion mit einer festen Anzahl von Runden (z. B. 10) und einer Rundenfunktion zu verwenden, die eine von AES abgeleitete PRF ist. Die Laufzeit zu bewerten für einen einzigen Wert von sein wird AES Invokationen. Jeder AES-Aufruf wird in konstanter Zeit ausgeführt.σk:[n]→[n]n2128σk(i)iO(1)
Schließlich ist zu beachten, dass jede pseudozufällige Permutation automatisch weise unabhängig ist. Insbesondere garantiert der Luby-Rackoff-Satz, dass Sie mit mindestens 3 Runden (ungefähre) weise Unabhängigkeit erhalten, wenn , vorausgesetzt, AES ist sicher. Bei mehr Runden ist es wahrscheinlich, dass es ein stärkeres Ergebnis gibt, aber die Theoreme sind schwerer zu beweisen und technischer zu werden, obwohl allgemein angenommen wird, dass eine konstante Anzahl von Runden ausreichen sollte, um eine extrem hohe Sicherheit (und damit im Wesentlichen perfektes - zu erhalten). weise Unabhängigkeit für alle vernünftigen Werte von ).kkk≪n1/4kk
Verallgemeinerung auf größeren
Wenn größer ist, werden die Dinge seltsamer, weil das RAM-Modell mit Stückkosten implizit kostenlos bis zu Parallelität zulässt . Mir ist nicht klar, wie hoch die Kosten für PRPs in diesem Modell sein sollten (konstant? Steigend mit ? Ich weiß nicht).nO(lgn)n
Eine dritte mögliche Konstruktion
Sei ein RSA-Modul, der etwas größer als . Definieren Sie als die Untergruppe von die die Elemente enthält, deren Jacobi-Symbol . Definiere durchm2nG(Z/mZ)∗+1π:G→G
π(x)=x3modm.
Definieren Sie als Nächstes durchσ
σ(i)=g(π(f(i)),
wobei zufällige bijektive 2-unabhängige Hash-Funktionen sind.f,g
Ich vermute, dass diese Konstruktion unter einer RSA-ähnlichen Annahme die Chance hat, (ungefähr) weise unabhängig zu sein. Ich habe keinen Beweis, nur eine Intuition. Die wichtigste bekannte Regelmäßigkeit von ist, dass es multiplikativ homomorph ist: . Ich kenne keine anderen relevanten Regelmäßigkeiten, auch keine weise Abhängigkeit. Die Anwendung einen 2-unabhängigen Hash vor und nach eliminiert beweisbar diese Regelmäßigkeit: Wenn ist -wise Unabhängigkeit mit Ausnahme von multiplikativen homomorphicity, dann ist das 2-weise unabhängig Hashes scheint , wie sie voll zur Verfügung stellen solltekππ(xy)=π(x)π(y)kππkk-weise Unabhängigkeit. Aber das ist super skizzenhaft und Lichtjahre von einem Beweis der weisen Unabhängigkeit entfernt.k
Beachten Sie, dass Sie formatbewahrende Verschlüsselungstechniken verwenden müssen (z. B. die Fahrradtechnik), um sicherzustellen, dass eher auf als auf funktioniert . Dieses Schema sollte eine (erwartete) Laufzeit von haben, um bei einer gegebenen Eingabe mit einer geeigneten Wahl von zu bewerten .f,gG(Z/mZ)O(1)σ(i)if,g
In gewissem Sinne missbraucht diese Kandidatenkonstruktion auch das Einheitskosten-RAM-Modell, indem sie sich auf die Fähigkeit stützt, mit Bit-Zahlen in -Zeit für große Werte von , was in nicht wirklich vernünftig ist trainieren. (Diese letzte Konstruktion ist für kleine Werte von nicht sicher , daher beruht dieser letzte Ansatz im Wesentlichen auf dem großen Regime, damit es eine Chance hat, zu arbeiten ... genau dem Regime, in dem das RAM-Modell mit Stückkosten am meisten ist zweifelhaft.)O ( 1 ) n n nlgnO(1)nnn
Ich gebe frei zu, dass dies eine ziemliche Strecke ist, aber ich erwähne es für den Fall, dass es Inspiration für eine bessere Lösung auslöst.
Zum Beispiel könnte es möglich sein, durch eine geeignete elliptische Kurvengruppe zu ersetzen , so dass wir über (denken Sie daran, dass elliptische Kurvengruppen normalerweise die additive Notation anstelle der multiplikativen Notation verwenden). Die gute daran ist , dass es nicht völlig unvernünftig ist , dass zu vermuten, wenn die Elliptische - Kurven - Gruppe richtig gewählt wird, wie eine „Black-Box - Gruppe“ verhalten, was ich denke , effektiv bedeuten könnte , dass sein -weise unabhängig "mit Ausnahme von Effekten, die durch multiplikativen Homomorphismus impliziert werden". Ich habe keine vollständige Konstruktion bereit vorzuschlagen (das fehlende Stück ist, wie man wähltπ ( x ) = e x G G G π k G f , g kGπ(x)=exGGGπkGund wie man konstruiert und wie man weise Unabhängigkeit davon beweist), aber es könnte möglich sein, die Teile irgendwie zusammenzusetzen.f,gk