Coursera - Dan Boneh - Cryptography 1 - Week 1 - PRG Security Definitions 學習筆記【4】

本篇文章要介紹的內容包括：可忽略的（negligible）、僞隨機數生成器（PRG）、Statistical tests（統計檢驗）、Advantage、Secure PRGs（安全僞隨機生成器）、computationally indistinguishable（計算不可區分）。
明天再補。

可忽略的(negligible)

首先我們嘗試用實踐的角度理解，如果$\varepsilon\geq 1/2^{30}$，那麼$\varepsilon$是不可忽略的(non-neg)，因爲很有可能在$1GB$的數據中出現一次；如果$\epsilon\leq1/2^{80}$，那麼$\varepsilon$是可忽略的(negligible)，在很多很多的數據中也不太可能出現一次。

從理論的角度來說，$\varepsilon$是一個$\mathbb{Z}^{\geq0}\rightarrow\mathbb{R}^{\geq0}$的函數並且
$\varepsilon$是不可忽略的(non-neg)，當且僅當$\exists d:\varepsilon(\lambda)\geq 1/\lambda^{d}.$
$\varepsilon$是可忽略的(negligible)，當且僅當$\forall d,\lambda\geq\lambda_{d}:\varepsilon(\lambda)\leq 1/\lambda^{d}.$

理解：當$\varepsilon$是不可忽略的(non-neg)，
$\varepsilon(\lambda) \geq \frac{1}{\lambda^{d}} \geq\frac{1}{{\lambda^{d}+\lambda^{d-1}+\cdots+\lambda^{0}}},$
即$\varepsilon\geq 1/poly$，$\varepsilon$也是大於等於某個多項式的倒數的。
類似的，當$\varepsilon$是可忽略的(negligible)，如果$\lambda$足夠大，有$\varepsilon\leq 1/poly$，$\varepsilon$是小於等於所有多項式的倒數的。

三個例子

例1：$\varepsilon(\lambda)=1/2^{\lambda}$是可忽略的(negligible)。
簡單說明：無論$d$取什麼值，$\lambda$總是可以取對應的值，使得$2^{\lambda}\geq \lambda^{d}$。

例2：$\varepsilon(\lambda)=1/{\lambda}^{1000}$是不可忽略的(non-neg)。
簡單說明：當$\lambda\geq 1$時，可取$d=1001$；當$0\leq\lambda< 1$時，可取$d=999$。

例3：$\varepsilon(\lambda)=\left\{\begin{array}{cr} 1/2^\lambda, &當\lambda爲奇數時；\\ 1/{\lambda}^{1000}, &當\lambda爲偶數時. \end{array}\right.$，$\varepsilon(\lambda)$是不可忽略的(non-negligible)。
簡單說明：因爲要對$\forall d$都成立，當$\lambda$爲偶數時，根據例2是不可忽略的，所以$\varepsilon(\lambda)$不可忽略。

僞隨機數生成器（PRG）

定義：設$G:\mathcal{K}\rightarrow\{0,1\}^{n}$，如果說$[k\stackrel{R}{\leftarrow}\mathcal{K},輸出G(k)]$和$[r\stackrel{R}{\leftarrow}\{0,1\}^{n}，輸出r]$是不可區分（indistinguishable）的，那麼就說$G$是僞隨機數生成器（PRG）。

註釋：$r\stackrel{R}{\leftarrow}\{0,1\}^n$表示從$\{0,1\}^{n}$均勻地取出一個數$r$（即，均勻抽樣）。
不可區分（indistinguishable）是說兩者非常非常接近，相差很小。
定義中因爲是均勻抽樣，所以$G(k)$和$r$的不可區分是從他們的概率分佈來看的，他們的任意兩個數輸出的概率相差地非常非常小，小到幾乎可以忽略（negligible，如$\leq2^{30}$)，多項式時間內看不出兩者的區別。

Statistical Tests（統計檢驗）

定義：統計檢驗（Statistical test）是一個算法$A(x),x\in\{0,1\}^{n}$，且滿足$A(x)\in\{0,1\}$。

註釋：假設算法$A(x)$用來判斷$x$是否是隨機數，若是隨機數，則$A(x)$輸出$1$；若不是隨機數，$A(x)$輸出$0$。

兩個例子

例1：如果“算法$A(x)$判斷$x$是否是隨機數“是通過$0$和$1$的個數是否很接近得到的，那麼可以如下定義$A(x)$：
$A(x)=1$當且僅當$|\#0(x)-\#1(x)|\leq 10\cdot\sqrt{n}$，其中$\#0(x)$表示$x$中$0$的個數，$\#1(x)$表示$x$中$1$的個數。

例2：如果“算法$A(x)$判斷$x$是否是隨機數“是通過連續兩個$0$的個數是否接近$\frac{1}{4}n$得到的，那麼可以如下定義$A(x)$：
$A(x)=1$當且僅當$|\#00(x)-\frac{n}{4}|\leq 10\cdot\sqrt{n}$，其中$\#00(x)$表示$x$中$00$的個數。

PRG的Advantage

定義：定義爲算法$A$是僞隨機數生成器$G$相對於隨機數的Advantage爲
$Adv_{PRG}[A,G]=\big|Pr[A(G(k))=1] - Pr[A(r)=1]\big|,$其中$A(x)$是統計檢驗（Statistical test），$G:\mathcal{K}\rightarrow\{0,1\}^n$，以及$r\stackrel{R}{\leftarrow}\{0,1\}^n$。

註釋：如果$Pr[A(G(k))=1]$是算法$A$判定$G(k)$是隨機數的概率，$Pr[A(r)=1]$是算法$A$判定$r$是隨機數的概率，那麼$Adv_{PRG}[A,G]$表示$G(k)$在算法$A$下離均勻抽樣$r$的距離，越接近均勻抽樣透露的原信息就越少，越不容易預測$G(k)$，所以$Adv_{PRG}[A,G]$越小越好。

一個例子

現在有僞隨機數生成器$G:\mathcal{K}\rightarrow\{0,1\}^n$，有$\frac{2}{3}$的概率使得$msb(G(k))=1$（其中$msb(x)$表示二進制下$x$的最高位），定義統計檢驗$A(x)$爲
“如果$msb(x)=1$那麼$A(x)=1$；否則$A(x)=0$”，則有
$Adv_{PRG}[A,G]=\big|Pr[A(G(k))=1] - Pr[A(r)=1]\big|=\big|2/3-1/2\big|=1/6,$即算法$A$能夠預測生成器$G$的Advantage爲$1/6$。

Secure PRGs（安全僞隨機生成器）

定義：設$G:\mathcal{K}\rightarrow\{0,1\}^n$，如果所有高效（Efficient）的統計檢驗（Statistics tests）$A:Adv_{PRG}[A,G]$是可忽略的（negligible），那麼$G$是安全僞隨機生成器（Secure PRG）。

註釋：現在還不知道是否存在可證明的Secure PRG。一個Secure PRG是不可預測(unpredictable)的。

定理(Yao’82)

定理(Yao’82)：設$G:\mathcal{K}\rightarrow\{0,1\}^n$是一個PRG，如果$\forall i\in\{0,1,\cdots,n-1\}$，$G$輸出的第$i$位都是不可預測的，那麼$G$是一個Secure PRG。

註釋：這個定理只需要一位一位考慮是否不可預測，而不用整體的看，極大地簡化了判斷Secure PRG的方式。

computationally indistinguishable（計算不可區分）

定義：如果$P_1$和$P_2$是在$\{0,1\}^n$上的兩個分佈函數，當所有高效的統計檢驗（Statistics tests）$A:\big|Pr_{x\leftarrow P_1}[A(x)=1]-Pr_{x\leftarrow P_2}[A(x)=1]\big|$是可忽略的（negligible），那麼$P_1$和$P_2$是計算不可區分（computationally indistinguishable）的，記作$P_1 \approx_p P_2$。

一個例子

如果$\{k\stackrel{R}{\leftarrow}\mathcal{K}:G(k)\}\approx_p uniform(\{0,1\}^n)$，PRG是安全的。

uniform是均勻分佈。