擬似乱数生成器から乱数抽出器へ
今,Emanuele Viola の論文(Computational Complexity, 2004)を読んでいるのですが,その中に Trevisan の有名な結果*1,擬似乱数生成器(pseudorandom generator: PRG)から乱数抽出器(extractor)を構成できることの証明の解説が載っていました.案外単純だったので紹介しようと思います.この擬似乱数生成器は所謂暗号論的なものではなくて,Nisan-Wigderson タイプの derandomization に利用するためのものです.このタイプの擬似乱数生成器はクラスで計算可能な難しい関数を利用して擬似乱数生成器を構成します.まずいくつかの定義から始めましょう.以下,でnビットの一様乱数に従う確率変数を表すとします.
- 定義 1. 擬似乱数生成器(Pseudorandom Generator; PRG)
を回路集合とする.サイズが以下の任意のに対して,
ならば関数をに対する-擬似乱数生成器と呼ぶ.
- 定義 2. 乱数抽出機(Extractor)
もし最小エントロピーが以上の任意の確率変数と任意のに対して
が成立するならばを-乱数抽出器と呼ぶ.
- 定義 3. blackbox PRG 構成
を満たす任意の関数と任意のアルゴリズムに対して,サイズ以下のオラクル回路が存在してとなるならば,を-blackbox PRG 構成であるという.
- 定理 (Trevisan, 2001)
を-blackbox PRG 構成とする.をで定義する.このとき,は-乱数抽出器である.
証明 対偶をとって証明する.つまり,あるが存在してを満たす確率変数を考え,の最小エントロピーが未満であることを示す.
の性質から
であることは直ちに分かる.を満たす任意のについて blackbox PRG 構成の性質よりサイズ以下のオラクル回路が存在してが成り立つ.(つまりとを関数としてみたときに任意のに対して.)
そのようなの数はサイズ以下の回路の数で押さえられる.その回路数の上界はで与えられる.したがって,確率変数は以上の確率でサイズ以下の集合に属する.最小エントロピーの定義より,このことはの最小エントロピーが未満であることを意味する.■
この定理の主張が面白いところは擬似乱数生成器という計算量理論的概念と乱数抽出器という情報理論的概念を上手く結びつけたところにあると思います. blackbox PRG 構成の定義で識別器の計算量は考えていないという点では計算量的なところをある程度捨ててはいますが,オラクル回路のサイズと集合のサイズを対応付けるというのは非常に優れたアイデアです.
*1:Fortnow の Favorite Theorems Recap(2004年)の一つにも選ばれています.