פונקציה זניחה

במתמטיקה ובקריפטוגרפיה פונקציה זניחה (Negligible function)^[1][2] היא פונקציה שהערכים שהיא מחזירה קטנים מאוד - זניחים - ביחס לערכים שהיא מקבלת. פורמלית, פונקציה $f:\mathbb{\mathbb{N}}\to \mathbb{\mathbb{N}}$ נחשבת לזניחה אם לכל פולינום ${\displaystyle p}$, הפונקציה קטנה יותר מהר מהפונקציה $1/p$. בקריפטוגרפיה, המטרה היא שכל יריב מוגבל חישובית יוכל להצליח לשבור את ההצפנה (כלומר, לגלות את הטקסט המקורי שהוצפן) בהסתברות זניחה לכל היותר, כלומר, עבור טקסט מוצפן באורך ${\displaystyle n}$, היריב יוכל להצליח לגלות את הטקסט הסודי המקורי בסיכוי לכל היותר ${\displaystyle negl(n)}$, כאשר ${\displaystyle negl}$ היא פונקציה זניחה. ככלל סכמה קריפטוגרפית תחשב בטוחה אם ההסתברות של שבירה אפילו חלקית שלו (כמו הפיכת פונקציה חד-כיוונית או הבחנה בין פלט מחולל פסאודו-אקראי לבין רצף אקראי אמיתי) חסומה על-ידי פונקציה זניחה של אורך הקלט.

הגדרה פורמלית

הפונקציה ${\displaystyle f}$ תקרא זניחה אם עבור כל פולינום חיובי ${\displaystyle p(\cdot )}$ (כלומר כל הערכים ש-${\displaystyle p}$ מקבל חיוביים) קיים שלם חיובי ${\displaystyle N}$ כך שעבור כל השלמים ${\displaystyle n>N}$ מתקיים ${\displaystyle |f(n)|<\frac{1}{p(n)}}$.

דרך אחרת לנסח זאת: עבור כל קבוע ${\displaystyle c}$ קיים שלם חיובי ${\displaystyle N}$ כך שעבור כל ${\displaystyle n>N}$ מתקיים ${\displaystyle f(n)<n^{-c}}$.

פונקציית זניחות מקיימת תכונת סגירות מסוימת. עבור שתי פונקציות זניחות ${\displaystyle {\text{negl}}_1}$ ו-${\displaystyle {\text{negl}}_2}$ מתקיים ${\displaystyle {\text{negl}}_3(n)={\text{negl}}_1(n)+{\text{negl}}_2(n)}$ זניחה גם היא. וכן עבור כל פולינום ${\displaystyle p}$ הפונקציה ${\displaystyle {\text{negl}}_4(n)=p(n)\cdot {\text{negl}}_1(n)}$ נקראת גם כן זניחה.

הוכחה:

הרעיון: להראות שלפונקציה ${\displaystyle f}$ כלשהי ${\displaystyle f(n)\le n^{-c}}$ . נשתמש בעובדה ש-${\displaystyle g_1(n),g_2(n)\le n^{-(c+1)}}$. מאחר שהן זניחות, צירוף של שתי פונקציות זניחות שקטנות שוות ל-${\displaystyle n^{-(c+1)}}$ חייבות להיות קטנות מ-${\displaystyle n^{-c}}$.

אנחנו צריכים להראות של-${\displaystyle c\in \mathbb{\mathbb{N}}}$ כלשהו, אנחנו יכולים למצוא ${\displaystyle n_0}$ ככה ש-${\displaystyle \mathrm{\forall }n\ge n_0,f(n)\le n^{-c}}$ נבחר${\displaystyle c\in \mathbb{\mathbb{N}}}$. מכיוון שגם ${\displaystyle c+1\in \mathbb{\mathbb{N}}}$ וגם ${\displaystyle g_1(n),g_2(n)}$ זניחות, יש ${\displaystyle n_{g_1},n_{g_2}}$ שבהם ${\displaystyle \mathrm{\forall }n\ge n_{g_1},g_1(n)\le n^{-(c+1)}}$ וגם ${\displaystyle \mathrm{\forall }n\ge n_{g_2},g_2(n)\le n^{-(c+1)}}$. נבחר ${\displaystyle n_0=\max (n_{g_1},n_{g_2},2)}$, ואז עבור ${\displaystyle n\ge n_0}$כלשהו, יש לנו ${\displaystyle f(n)=g_1(n)+g_2(n)\le n^{-(c+1)}+n^{-(c+1)}=2n^{-(c+1)}\le n*n^{-(c+1)}}$בגלל ${\displaystyle n\ge n_0\ge 2}$ מה שמראה שגם ${\displaystyle f(n)\le n^{-c}}$ ומכיוון שכך ${\displaystyle f(n)}$ זניחה

מזה נובע שאם אירוע מסוים מתרחש בהסתברות זניחה בניסוי אחד אז היא תוותר זניחה גם אם חוזרים על הניסוי מספר פולינומי של פעמים. לדוגמה הסיכויים שלאחר הטלת ${\displaystyle n}$ מטבעות יתקבל בכולם "עץ" מאוד נמוכים. משמעות הדבר היא שגם אם נחזור על הניסוי של הטלת ${\displaystyle n}$ מטבעות (במספר פולינומי של פעמים) ההסתברות שזה יקרה תישאר זניחה.

אפשר להתעלם ללא חשש מהסתברות זניחה לכל צורך מעשי במיוחד עבור ערכים גדולים של ${\displaystyle n}$. להמחשה, הסתברות זניחה פירושה שההסתברות שהיריב יצליח לשבור את האלגוריתם נמוכה מההסתברות שאסטרואיד יפגע במצפין בזמן ההצפנה. דרך אחרת לנסח זאת, הסיכויים שהיריב יצליח לשבור את הצופן נמוכים מהסיכויים שמחשבו של המצפין יתקלקל ומפתח ההצפנה ימחק כליל. לכן אין לחשוש ממצב כזה שקיימת הסתברות שולית שאפשר לשבור את האלגוריתם.

דוגמאות

הפונקציות ${\displaystyle 2^{-n}}$ או ${\displaystyle 2^{-\sqrt{n}}}$ נקראות זניחות אף על פי שהן מתכנסות לאפס בקצב שונה. לעומת זאת ${\displaystyle n^{-3}}$ אינה זניחה. אם קובעים רף של ${\displaystyle 10^{-6}}$ אז עבור ${\displaystyle n\ge 20}$ מתקבל ${\displaystyle 2^{-n}<10^{-6}}$. כמו כן אפשר לראות שעבור כל ${\displaystyle n>65,536}$ מתקיים ${\displaystyle 2^{-\sqrt{n}}<n^{-\log n}}$ מזה נובע שעבור ${\displaystyle n}$ גדול הסתברות של ${\displaystyle 2^{-\log n}}$ יותר זניחה.

בהערכת פונקציית זניחות יש חשיבות רבה לגודלו של פרמטר הביטחון ${\displaystyle n}$ שבדרך כלל מייצג את אורך המפתח/אורך הבלוק בסיביות. אם ${\displaystyle n}$ נמוך למשל ${\displaystyle n\le 40}$ אז אף על פי שהפונקציה ${\displaystyle 2^{40}\cdot 2^{-n}}$ נחשבת לכאורה לזניחה ביחס ל-${\displaystyle n}$, אבל מאחר ש-${\displaystyle n}$ קטן, יכול להיות מצב שיריב שרץ במשך זמן של ${\displaystyle n^3}$ דקות יכול לשבור את אלגוריתם ההצפנה בכוח גס בהסתברות של כמעט 1. כי במקרה ש-${\displaystyle n=40}$ זמן ריצה של ${\displaystyle 40^3}$ דקות יוצא בסך הכול שישה שבועות. לעומת זאת אם ${\displaystyle n=500}$ יריב שרץ בזמן של מאתיים שנה יצליח לשבור את האלגוריתם בהסתברות של ${\displaystyle 2^{-500}}$ בקירוב, זמן כל כך לא מעשי שהוא נחשב לזניח.

לדוגמה, צופן AES נחשב בעל ביטחון אופטימלי במובן שיריב שרץ בזמן ${\displaystyle t}$ (שנמדד למשל במחזורי שעון) מסוגל לשבור את הצופן בזמן של לכל היותר ${\displaystyle ϵ=t/2^n}$. בטכנולוגיה הנוכחית חישובים בסדר גודל של ${\displaystyle 2^{60}}$ נחשבים בקושי ברי ביצוע. אם למשל המחשב פועל במהירות של 1GHz שאז מתבצעים בערך ${\displaystyle 10^9}$ מחזורים בשנייה, המשמעות היא של-${\displaystyle 2^{60}}$ מחזורי שעון דרושים ${\displaystyle 2^{60}/10^9}$ שניות, או בערך 35 שנה. אם משתמשים במחשבי על מרובים באופן מקבילי אפשר לצמצם את זמן החישוב לכדי שנתיים. היות שאורך המפתח ב-AES הוא לפחות 128 סיביות, מתקבלת תוספת ביטחון בפקטור של ${\displaystyle 2^{68}}$ שזה מספר בן עשרים ספרות עשרוניות בקרוב. כדי לקבל מושג כמה גדול המספר הזה, לפי הערכות של פיזיקאים מספר השניות שחלפו מאז המפץ הגדול הוא בערך ${\displaystyle 2^{58}}$.

אירוע שמתרחש אחת למאה שנים, יקרה בהסתברות של ${\displaystyle 2^{-30}}$ בקירוב. כל אירוע שההסתברות שיקרה בכל רגע היא ${\displaystyle 2^{-60}}$, יקרה בהסתברות נמוכה יותר בפקטור של ${\displaystyle 2^{-30}}$ כלומר הוא צפוי לקרות אחת למאה מיליארד שנים. המסקנה היא שאם ${\displaystyle t=2^{80}}$ ו-${\displaystyle ϵ=2^{-48}}$ אז המפתח צריך להיות באורך 128 סיביות לפחות. בחירה כזו מספקת מרווח ביטחון מניח את הדעת לכל צורך מעשי לטווח הקרוב. כאשר מחשבים קוונטיים יהיו מעשיים יש כאלו שסבורים שיהיה צורך להכפיל את אורך המפתח.

הערות שוליים

פונקציה זניחה39070555Q1766279