Prueba del siguiente bit

En criptografía y teoría de la computación , la prueba del siguiente bit ^[1] es una prueba contra generadores de números pseudoaleatorios . Decimos que una secuencia de bits pasa la siguiente prueba de bits en cualquier posición de la secuencia, si cualquier atacante que conozca los primeros bits (pero no la semilla) no puede predecir el st con un poder computacional razonable. $i$ $i$ $(i+1)$

Declaraciones precisas

Sea un polinomio y una colección de conjuntos que contengan secuencias de bits de longitud. Además, sea la distribución de probabilidad de las cadenas en . $P$ $S=\{S_{k}\}$ $S_{k}$ $P(k)$ $\mu _{k}$ $S_{k}$

Ahora definimos la prueba del siguiente bit de dos maneras diferentes.

Formulación de circuito booleano

Una colección de predicción ^[2] es una colección de circuitos booleanos , de modo que cada circuito tiene menos de puertas y exactamente entradas. Sea la probabilidad de que, al ingresar los primeros bits de una cadena seleccionada aleatoriamente con probabilidad , el circuito prediga correctamente , es decir: $C=\{C_{k}^{i}\}$ $C_{k}^{i}$ $P_{C}(k)$ $i$ $p_{k,i}^{C}$ $i$ $s$ $S_{k}$ $\mu _{k}(s)$ $s_{i+1}$

$p_{k,i}^{C}={\mathcal {P}}\left[C_{k}(s_{1}\ldots s_{i})=s_{i+1}\right| s\in S_{k}{\text{ con probabilidad }}\mu _{k}(s)]$

Ahora, decimos que pasa la prueba del siguiente bit si para cualquier colección de predicción , cualquier polinomio : $\{S_{k}\}_{k}$ $C$ $Q$

$p_{k,i}^{C}<{\frac {1}{2}}+{\frac {1}{Q(k)}}$

Máquinas probabilísticas de Turing

También podemos definir la prueba del siguiente bit en términos de máquinas probabilísticas de Turing , aunque esta definición es algo más estricta (véase el teorema de Adleman ). Sea una máquina probabilística de Turing, que trabaja en tiempo polinómico. Sea la probabilidad de que prediga correctamente el st bit, es decir ${\mathcal {M}}$ $p_{k,i}^{\mathcal {M}}$ ${\mathcal {M}}$ $(i+1)$

$p_{k,i}^{\mathcal {M}}={\mathcal {P}}[M(s_{1}\ldots s_{i})=s_{i+1}|s\in S_{k}{\text{ con probabilidad }}\mu _{k}(s)]$

Decimos que la colección pasa la prueba del siguiente bit si para todos los polinomios , para todos menos para un número finito , para todos : $S=\{S_{k}\}$ $Q$ $k$ $0<i<k$

$p_{k,i}^{\mathcal {M}}<{\frac {1}{2}}+{\frac {1}{Q(k)}}$

Completitud de la prueba de Yao

La prueba del siguiente bit es un caso particular de la prueba de Yao para secuencias aleatorias y, por lo tanto, pasarla es una condición necesaria para pasar la prueba de Yao . Sin embargo, Yao también le ha mostrado una condición suficiente . ^[1]

Lo demostramos ahora en el caso de la máquina probabilística de Turing, puesto que Adleman ya ha realizado el trabajo de sustituir la aleatorización por la no uniformidad en su teorema . El caso de los circuitos booleanos no puede derivarse de este caso (ya que implica decidir problemas potencialmente indecidibles), pero la demostración del teorema de Adleman puede adaptarse fácilmente al caso de familias de circuitos booleanos no uniformes.

Sea un distintivo para la versión probabilística de la prueba de Yao, es decir, una máquina probabilística de Turing, que se ejecuta en tiempo polinómico, de modo que existe un polinomio tal que para una infinidad de ${\mathcal {M}}$ $Q$ $k$

|p_{k,S}^{\mathcal {M}}-p_{k,U}^{\mathcal {M}}|\geq {\frac {1}{Q(k)}}

Dejar . Tenemos: y . Entonces, nos damos cuenta de eso . Por lo tanto, al menos uno de ellos no debe ser menor que . $R_{k,i}=\{s_{1}\ldots s_{i}u_{i+1}\ldots u_{P(k)}|s\in S_{k},u\in \ {0,1\}^{P(k)}\}$ $R_{k,0}=\{0,1\}^{P(k)}$ $R_{k,P(k)}=S_{k}$ $\sum _{i=0}^{P(k)}|p_{k,R_{k,i+1}}^{\mathcal {M}}-p_{k,R_{k,i) }}^{\mathcal {M}}|\geq |p_{k,R_{k,P(k)}}^{\mathcal {M}}-p_{k,R_{k,0}}^{ \mathcal {M}}|=|p_{k,S}^{\mathcal {M}}-p_{k,U}^{\mathcal {M}}|\geq {\frac {1}{Q( k)}}$ $|p_{k,R_{k,i+1}}^{\mathcal {M}}-p_{k,R_{k,i}}^{\mathcal {M}}|$ ${\frac {1}{Q(k)P(k)}}$

A continuación, consideramos las distribuciones de probabilidad en adelante . La distribución es la distribución de probabilidad de elegir los primeros bits con una probabilidad dada por y los bits restantes de manera uniforme y aleatoria. Tenemos así: $\mu _ {k,i}$ ${\overline {\mu _ {k,i}}}$ $R_{k,i}$ $\mu _ {k,i}$ $i$ $S_{k}$ $\mu _{k}$ $P(k)-i$

$\mu _{k,i}(w_{1}\ldots w_{P(k)})=\left(\sum _ {s\in S_{k},s_{1}\ldots s_{ i}=w_{1}\ldots w_{i}}\mu _{k}(s)\right)\left({\frac {1}{2}}\right)^{P(k)-i }$

${\overline {\mu _{k,i}}}(w_{1}\ldots w_{P(k)})=\left(\sum _{s\in S_{k},s_{ 1}\ldots s_{i-1}(1-s_{i})=w_{1}\ldots w_{i}}\mu _{k}(s)\right)\left({\frac {1 }{2}}\derecha)^{P(k)-i}$

Por lo tanto, tenemos (un simple truco de cálculo lo muestra), por lo tanto, distribuciones y se pueden distinguir por . Sin pérdida de generalidad, podemos suponer que , con un polinomio. $\mu _{k,i}={\frac {1}{2}}(\mu _{k,i+1}+{\overline {\mu _{k,i+1}}} )$ $\mu _{k,i+1}$ ${\overline {\mu _ {k,i+1}}}$ ${\mathcal {M}}$ $p_{\mu _{k,i+1}}^{\mathcal {M}}-p_{\overline {\mu _{k,i+1}}}^{\mathcal {M}} \geq {\frac {1}{2}}+{\frac {1}{R(k)}}$ $R$

Esto nos da una posible construcción de una máquina de Turing que resuelve la prueba del siguiente bit: al recibir los primeros bits de una secuencia, rellena esta entrada con una estimación de bits y luego con bits aleatorios, elegidos con probabilidad uniforme. Luego se ejecuta y genera si el resultado es y en caso contrario. $i$ ${\mathcal {N}}$ $l$ $P(k)-i-1$ ${\mathcal {M}}$ $l$ $1$ $1-l$

Referencias

^ ab Andrew Chi-Chih Yao . Teoría y aplicaciones de funciones-trampa. En Actas del 23º Simposio del IEEE sobre fundamentos de la informática, 1982.
^ Manuel Blum y Silvio Micali , Cómo generar secuencias criptográficamente fuertes de bits pseudoaleatorios, en SIAM J. COMPUT., vol. 13, núm. 4, noviembre de 1984