我们可以仅使用恒定的时间和空间在[n]上构造一个k方向的独立置换吗？

令为固定常数。给定一个整数，我们想要构造一个置换使得： $k>0$ $n$ $\sigma \in S_n$

该构造使用恒定的时间和空间（即预处理占用恒定的时间和空间）。我们可以使用随机化。
给定，可以在恒定的时间和空间中计算。 $i\in[n]$ $\sigma(i)$
排列是方向独立的，即，对于所有，随机变量是独立的并且均匀地分布在。 $\sigma$ $k$ $i_1, \ldots, i_k$ $\sigma(i_1), \ldots, \sigma(i_k)$ $[n]$

我目前所知道的唯一一件事是使用伪随机数生成器使用每个值使用对数空间和多项式计算时间。 $\sigma(i)$

背景

在最近的一些工作中，我需要上述类似的东西，最后我使用了一些较弱的东西：我允许重复输入并验证是否覆盖了我需要的所有数字（即一团糟）。具体来说，我得到了一个向独立序列，该序列可以在时间中使用恒定空间进行计算。拥有一些简单的东西，或者只知道已知的东西，那将是很好的。 $k$ $O(1)$

假设条件

我假设单位成本的RAM模型。存储器/寄存器中的每个字的大小均为，每个基本算术运算都需要时间。我愿意假设任何合理的密码学假设（单向函数，离散对数等）。 $O(\log n)$ $O(1)$

当前的事

正如Kaveh所建议的那样，这是我目前拥有的“简单”技巧（这很标准）：让是素数的多项式（认为为）。在这里，每个是从均匀且随机地采样的。很容易看到是具有重复的序列，但它是方向独立的，大约为的数字按此顺序出现。但是请注意，由于数字按此顺序重复，因此不是排列。 $\sigma(x) = \sum_{i=0}^{k+2} a_i x^i \bmod p$ $p$ $p$ $n$ $a_i$ $[p]$ $\sigma(1), \sigma(2), \ldots, \sigma(n)$ $k$ $n(1-1/e)$ $[n]$

— 萨里尔·哈皮尔
source

否。在恒定时间内，您只能给出恒定量的输出，因此对于任何恒定时间算法，对于足够大的，条件3中随机变量的支持将是严格子集。

$\:$

n

$n$

[n]

$[n]$

$\;\;\;\;$

我要求每个置换项输入的计算量恒定-因此，整个置换的总计算时间可以是线性的。

— Sariel Har-Peled

至于空间-我假设是单词模型-因此，即使每个单词具有对数位数，其占用的空间也是恒定的。

— Sariel Har-Peled

部分解决方案：假设为素数，并且。假设是具有的字段。集为随机与。那么是元素上成对独立的排列，可以在“恒定时间内”计算出来。也许这可以概括。

n

$n$

k = 2

$k=2$

F

$\mathbb{F}$

| F | = n

$|\mathbb{F}|=n$

σ (x) = a x + b

$\sigma(x)=ax+b$

a, b \in F

$a,b \in \mathbb{F}$

a \neq 0

$a \ne 0$

σ

$\sigma$

n

$n$

— 托马斯

是的我知道这一点;）。问题在于，必须更大，并且只有线性多项式是置换，而不是高次多项式。

k

$k$

— Sariel Har-Peled 2015年

如果您愿意使用加密技术并依靠加密假设并接受方向独立性的计算概念，那么格式保留加密（FPE）可能会有所帮助。让我来勾勒出几种不同的构造。 $k$

（通过“的计算概念 -wise独立”，我的意思是有一个合理的运行时间没有对手能分辨从 -wise独立排列，除了可以忽略不计的优势，这些方案将不会是理论上信息。 -明智的独立，但假设所有可见的计算都在计算范围内，则它们将“基本上与明智的一样好”。） $k$ $\sigma$ $k$ $k$ $k$

一个实用的方案，对于较小的 $n$

特别是，使用FPE构造来构建具有签名的分组密码（伪随机置换，PRP）。对于小于的值，可能最好的方案是使用固定轮数（例如10）和取自AES的PRF的轮函数的Feistel构造。为单个值评估的运行时间将是 AES调用。每次AES调用均在恒定时间内运行。 $\sigma_k : [n] \to [n]$ $n$ $2^{128}$ $\sigma_k(i)$ $i$ $O(1)$

最后，请注意，任何伪随机排列都自动独立于方向。特别是，卢比-拉科夫（Luby-Rackoff）定理保证，如果AES是安全的，则在至少3轮后，如果，您将获得（大约）向独立性。随着越来越多的回合，很可能会有更强的结果，而是定理更难证明和较为明显的技术，尽管它被广泛认为回合的恒定数量应足以获得极高的安全性（并因此基本上完美 -所有合理值的明智独立性）。 $k$ $k$ $k \ll n^{1/4}$ $k$ $k$

将其推广到更大的 $n$

当更大时，事情变得更奇怪了，因为单位成本的RAM模型隐式地免费允许多达并行。对我来说，尚不清楚在此模型中PRP的成本应该是多少（恒定吗？随增加而增加？我不知道）。 $n$ $O(\lg n)$ $n$

第三种可能的构造

令为略大于的RSA模数。将定义为的子组，其中包含Jacobi符号为的元素。定义由 $m$ $2n$ $G$ $(\mathbb{Z}/m\mathbb{Z})^*$ $+1$ $\pi : G \to G$

π (x) = x^{3} mod m .

$\pi(x) = x^3 \bmod m.$

接下来，定义为 $\sigma$

σ (i) = g (π (f (i)),

$\sigma(i) = g(\pi(f(i)),$

其中是随机双射2独立哈希函数。 $f,g$

我怀疑在类似RSA的假设下，这种构造有可能（大约）独立于方向。我没有证据，只是一种直觉。的主要已知正则性是乘同态的：。我不知道任何其他相关的规律性，甚至不知道依赖。在之前和之后应用独立于2的散列可证明消除了这种规律性：如果是除乘法同态之外的向独立性，则2向独立散列似乎应该提供完整的 $k$ $\pi$ $\pi(xy) = \pi(x) \pi(y)$ $k$ $\pi$ $\pi$ $k$ $k$ 明智的独立性。但是，从方向独立性的证明来看，这是超粗略和光年。 $k$

请注意，您需要使用格式保留的加密技术（例如，循环技术）来确保在而不是在上起作用。该方案应具有（预期）运行时间，以在给定输入上选择来评估。 $f,g$ $G$ $(\mathbb{Z}/m\mathbb{Z})$ $O(1)$ $\sigma(i)$ $i$ $f,g$

同样，从某种意义上讲，这种候选构造通过依赖于在时间内对位数字进行运算的能力来滥用单位成本RAM模型，对于较大的值，这在实际上并不合理。实践。（对于较小值，这种最后的构造将是不安全的，因此，这种最后的方法从根本上依赖于大的机制，以便它有工作的机会...正是单位成本RAM模型最有效的机制可疑。） $\lg n$ $O(1)$ $n$ $n$ $n$

我自由地承认这是一个延伸，但是我提到了它，以防触发一些寻求更好解决方案的灵感。

例如，可能有可能用合适的椭圆曲线组替换，这样超过（回想一下，椭圆曲线组通常使用加法表示法而不是乘法表示法）。这样做的好处是，如果正确选择椭圆曲线组，行为就像一个“黑匣子组”，这并不是完全没有道理的，我认为这可能实际上暗示将是明智地独立于“乘性同态所隐含的效应”。我尚未准备好完整的结构建议（缺少的部分是如何选择 $G$ $\pi(x) = e x$ $G$ $G$ $G$ $\pi$ $k$ $G$ 以及如何构造以及如何证明独立性），但可能可以通过某种方式将各个部分组合在一起。 $f,g$ $k$

— DW
source

这很有趣-我接下来的几周要旅行，但是回来的时候我会调查一下。谢谢！

— Sariel Har-Peled

我们可以仅使用恒定的时间和空间在[n]上构造一个k方向的独立置换吗？

背景

假设条件

当前的事

一个实用的方案，对于较小的ñnn

将其推广到更大的ñnn

第三种可能的构造

一个实用的方案，对于较小的 $n$

将其推广到更大的 $n$