เลมมาแบบสะสม

Q: การอนุมานแบบบูลีน

ทฤษฎีบทการสะสมช่วยให้นักวิเคราะห์รหัสสามารถกำหนด ความน่าจะเป็น ที่ความเท่าเทียมกันนั้นเป็นจริงได้:

ในการวิเคราะห์การเข้ารหัส บทพิสูจน์การซ้อนทับ ( piling -up lemma)เป็นหลักการที่ใช้ในการวิเคราะห์การเข้ารหัสเชิงเส้นเพื่อสร้างการประมาณเชิงเส้นของการทำงานของการเข้ารหัสแบบบล็อก บทพิสูจน์นี้ได้รับการแนะนำโดยMitsuru Matsui (1993) ในฐานะเครื่องมือวิเคราะห์สำหรับการวิเคราะห์การเข้ารหัสเชิงเส้น^{[ 1 ]}บทพิสูจน์นี้ระบุว่าอคติ (การเบี่ยงเบนของค่าที่คาดหวังจาก 1/2) ของฟังก์ชันบูลีนเชิงเส้น (XOR-clause) ของตัวแปรสุ่มไบนารี อิสระ มีความสัมพันธ์กับผลคูณของอคติอินพุต: ^[²^]

\varepsilon (X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n})=2^{n-1}\prod _{i=1}^{n}\varepsilon (X_{i})

หรือ

I(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n})=\prod _{i=1}^{n}I(X_{i})

อคติ (ไปทางศูนย์^[³^] ) และความไม่สมดุล อยู่ ที่ไหน: ^[⁴^]^[⁵^] $\varepsilon \in [-{\tfrac {1}{2}},{\tfrac {1}{2}}]$ $I\in [-1,1]$

\varepsilon (X)=P(X=0)-{\frac {1}{2}}

I(X)=P(X=0)-P(X=1)=2\varepsilon (X).

ในทางกลับกัน หากบทพิสูจน์ไม่เป็นจริง ตัวแปรอินพุตจะไม่เป็นอิสระ^{[ 6 ]}

การตีความ

บทพิสูจน์ย่อยนี้บ่งชี้ว่า การนำตัวแปรไบนารีอิสระมาทำการ XOR จะช่วยลดอคติลงเสมอ (หรืออย่างน้อยก็ไม่ทำให้อคติเพิ่มขึ้น) ยิ่งไปกว่านั้น ผลลัพธ์จะไม่มีอคติก็ต่อเมื่อมีตัวแปรป้อนเข้าอย่างน้อยหนึ่งตัวที่ไม่มีอคติ

โปรด ทราบ ว่าสำหรับ ตัวแปร สองตัว ปริมาณดังกล่าวเป็นการวัดความสัมพันธ์ระหว่าง และ ซึ่งเท่ากับ;สามารถตีความได้ว่าเป็นความสัมพันธ์ระหว่างกับ $I(X\oplus Y)$ $X$ $Y$ $P(X=Y)-P(X\neq Y)$ $I(X)$ $X$ $0$

การกำหนดสูตรค่าที่คาดหวัง

ทฤษฎีบทการซ้อนทับสามารถแสดงออกมาได้อย่างเป็นธรรมชาติมากขึ้นเมื่อตัวแปรสุ่มมีค่าอยู่ใน⁠ ⁠ $\{-1,1\}$ ถ้าเราแนะนำตัวแปร(ที่แมป⁠ ⁠ไปยัง⁠ ⁠และ⁠ ⁠ไปยัง⁠ ⁠ ) แล้ว เมื่อพิจารณาดูแล้ว การดำเนินการ XOR จะแปลงเป็นผลคูณ: $\chi _{i}=1-2X_{i}=(-1)^{X_{i}}$ $0$ $1$ $1$ $-1$

\chi _{1}\chi _{2}\cdots \chi _{n}=1-2(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n})=(-1)^{X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}}

และเนื่องจากค่าที่คาดหวังคือความไม่สมดุลดังนั้น $E(\chi _{i})=I(X_{i})$ บทพิสูจน์จึงระบุว่า :

E\left(\prod _{i=1}^{n}\chi _{i}\right)=\prod _{i=1}^{n}E(\chi _{i}),

ซึ่งเป็นคุณสมบัติที่ทราบกันดีของค่าคาดหวังสำหรับตัวแปรอิสระ

สำหรับตัวแปรตาม สูตรข้างต้นจะเพิ่มพจน์ ความแปรปรวนร่วม (บวกหรือลบ) เข้ามา ดังนั้นบทพิสูจน์ย่อยจึงไม่เป็นจริง อันที่จริง เนื่องจาก ตัวแปร เบอร์นูลลี สองตัว จะเป็นอิสระต่อกันก็ต่อเมื่อไม่มีความสัมพันธ์กัน (กล่าวคือ มีความแปรปรวนร่วมเป็นศูนย์ ดูที่ภาวะไม่มีความสัมพันธ์กัน ) เราจึงได้สิ่งที่ตรงกันข้ามกับบทพิสูจน์ย่อยเรื่องการทับซ้อนกัน กล่าวคือ ถ้าบทพิสูจน์ย่อยนี้ไม่เป็นจริง ตัวแปรเหล่านั้นจะไม่เป็นอิสระต่อกัน (ไม่มีความสัมพันธ์กัน)

การอนุมานแบบบูลีน

ทฤษฎีบทการสะสมช่วยให้นักวิเคราะห์รหัสสามารถกำหนดความน่าจะเป็นที่ความเท่าเทียมกันนั้นเป็นจริงได้:

X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0

โดยที่s $X$ เป็นตัวแปรไบนารี ( นั่นคือ บิต: ⁠ ⁠ $0$ หรือ⁠ ⁠ $1$ )

ให้⁠ ⁠ $P(A)$ แทน "ความน่าจะเป็นที่⁠ ⁠ $A$ เป็นจริง" ถ้าเท่ากับหนึ่ง ⁠ ⁠ $A$ จะเกิดขึ้นอย่างแน่นอน และถ้าเท่ากับศูนย์⁠ ⁠ $A$ จะ ไม่เกิดขึ้น ก่อนอื่น เราจะพิจารณาทฤษฎีบทการซ้อนทับสำหรับ ตัวแปร ไบนารีสองตัว โดยที่และ⁠ ⁠ $P(X_{1}=0)=p_{1}$ $P(X_{2}=0)=p_{2}$

ต่อไปนี้ เรามาพิจารณาสิ่งต่อไปนี้:

P(X_{1}\oplus X_{2}=0).

เนื่องจากคุณสมบัติของ การดำเนินการ XORทำให้สิ่งนี้เทียบเท่ากับ

P(X_{1}=X_{2}).

และ $X_{1}=X_{2}=0$ เป็นเหตุการณ์ที่ไม่เกิดขึ้นพร้อมกันดังนั้นเราจึง $X_{1}=X_{2}=1$ สามารถกล่าวได้ ว่า

P(X_{1}=X_{2})=P(X_{1}=X_{2}=0)+P(X_{1}=X_{2}=1)=P(X_{1}=0,X_{2}=0)+P(X_{1}=1,X_{2}=1).

ตอนนี้ เราต้องตั้งสมมติฐานหลักของทฤษฎีบทการสะสมผล: ตัวแปรไบนารีที่เรากำลังพิจารณานั้นเป็นอิสระต่อกันกล่าวคือ สถานะของตัวแปรหนึ่งไม่มีผลต่อสถานะของตัวแปรอื่น ๆ ดังนั้น เราสามารถขยายฟังก์ชันความน่าจะเป็นได้ดังนี้:

$P(X_{1}\oplus X_{2}=0)$	$=P(X_{1}=0)P(X_{2}=0)+P(X_{1}=1)P(X_{2}=1)$
	$=p_{1}p_{2}+(1-p_{1})(1-p_{2})$
	$=p_{1}p_{2}+(1-p_{1}-p_{2}+p_{1}p_{2})$
	$=2p_{1}p_{2}-p_{1}-p_{2}+1$

ตอนนี้เราแสดงความน่าจะเป็น⁠ ⁠ $p_{1}$ และ⁠ ⁠ $p_{2}$ เป็น⁠ ⁠ ${\tfrac {1}{2}}+\varepsilon _{1}$ และ⁠ ⁠ ${\tfrac {1}{2}}+\varepsilon _{2}$ โดยที่⁠ ⁠ $\varepsilon$ คือค่าเบี่ยงเบนความน่าจะเป็น – จำนวนที่ความน่าจะเป็นเบี่ยงเบนไปจาก ⁠ ⁠ ${\tfrac {1}{2}}$

$P(X_{1}\oplus X_{2}=0)$	$=2(1/2+\varepsilon _{1})(1/2+\varepsilon _{2})-(1/2+\varepsilon _{1})-(1/2+\varepsilon _{2})+1$
	$=1/2+\varepsilon _{1}+\varepsilon _{2}+2\varepsilon _{1}\varepsilon _{2}-1/2-\varepsilon _{1}-1/2-\varepsilon _{2}+1$
	$=1/2+2\varepsilon _{1}\varepsilon _{2}$

ดังนั้น ความเอนเอียงของความน่าจะเป็นสำหรับ $\varepsilon _{1,2}$ ผลรวม XOR ข้างต้นคือ⁠ ⁠ $2\varepsilon _{1}\varepsilon _{2}$ .

สูตรนี้สามารถขยายไปใช้กับค่าอื่นๆ ได้มากขึ้นดังนี้ $X$ :

P(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0)=1/2+2^{n-1}\prod _{i=1}^{n}\varepsilon _{i}

โปรดทราบว่าหากค่าใดค่าหนึ่งของs เป็น $\varepsilon$ ศูนย์ นั่นคือ ตัวแปรไบนารีตัวใดตัวหนึ่งไม่มี อคติ ฟังก์ชันความน่าจะเป็นทั้งหมดก็จะไม่มีอคติเช่นกัน ซึ่งเท่ากับ⁠ ⁠ ${\tfrac {1}{2}}$

นิยามที่เกี่ยวข้องอีกแบบหนึ่งที่แตกต่างออกไปเล็กน้อยของอคติคือ⁠ ⁠ $\varepsilon _{i}=P(X_{i}=1)-P(X_{i}=0)$ ซึ่งก็คือลบด้วยค่าก่อนหน้าสองเท่า ข้อดีคือตอนนี้ด้วย

\varepsilon _{\text{total}}=P(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=1)-P(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0)

เรามี

\varepsilon _{\text{total}}=(-1)^{n+1}\prod _{i=1}^{n}\varepsilon _{i},

การบวกตัวแปรสุ่มเท่ากับการคูณค่าความเอนเอียง (ตามความหมายที่ 2) ของตัวแปรเหล่านั้น

ฝึกฝน

ในทางปฏิบัติ ค่าs เป็น $X$ ค่าประมาณของS-box (ส่วนประกอบการแทนที่) ของการเข้ารหัสแบบบล็อก โดยทั่วไปค่า s จะ $X$ เป็นอินพุตของ S-box และ ค่า s จะเป็นเอาต์พุตที่สอดคล้องกัน เพียงแค่ดูที่ S-box นักวิเคราะห์รหัสก็สามารถบอกได้ว่าความเอนเอียงของความน่าจะ เป็น $Y$ เป็นอย่างไร เคล็ดลับคือการหาชุดค่าผสมของอินพุตและเอาต์พุตที่มีความน่าจะเป็นเป็นศูนย์หรือหนึ่ง ยิ่งค่าประมาณใกล้เคียงกับศูนย์หรือหนึ่งมากเท่าใด ค่าประมาณนั้นก็จะยิ่งมีประโยชน์มากขึ้นในการวิเคราะห์รหัสเชิงเส้น

อย่างไรก็ตาม ในทางปฏิบัติ ตัวแปรไบนารีไม่ได้เป็นอิสระต่อกันอย่างที่สมมติไว้ในการพิสูจน์ทฤษฎีบทการซ้อนทับ (piling-up lemma) จึงต้องคำนึงถึงข้อนี้เมื่อนำทฤษฎีบทนี้ไปใช้ มันไม่ใช่สูตรการถอดรหัสอัตโนมัติ

ดูเพิ่มเติม

ความแปรปรวน § คุณสมบัติ – ความแปรปรวนของผลรวมของตัวแปรจริงอิสระ

[ 1 ]

[

[

[

[

[ 6 ]