低度伪随机生成器的局限性-优快云博客

低度伪随机生成器的限制（或：平方和遇见程序混淆）

摘要

一个输出长度为 $ m $ 的伪随机生成器 $ G：({\pm1}^b)^n \to{\pm1}^m $，其输入由 $ b $ 位的 $ n $ 个块组成，若每个输出最多仅为其中 $ \ell $ 个块的函数，则称该伪随机生成器为 $ \ell$‐块局部。我们证明了此类 $\ell$‐块局部伪随机生成器的输出长度至多为 $ \tilde{O}(2^{\ell bn\lfloor\ell/2\rfloor})$，方法是提出一个多项式时间算法，能够区分形如 $ G(x)$的输入与每个坐标均从 $ m $ 位的均匀分布中采样的输入。

作为一个推论，我们驳斥了最近在构造可证明安全的不可区分性混淆（iO）背景下提出的一些猜想。这包括驳斥林和特萨罗[47]最近基于双线性映射提出的iO候选方案所依赖的假设。具体而言，他们假设存在一个安全的伪随机生成器 $ G：{\pm1}^{nb} \to{\pm1}^{2^{cbn}}$以及 $ c> 3$和 $ \ell= 2$。（在此工作之后，以及隆巴尔迪和瓦伊昆塔桑的独立工作之后，林和特萨罗已从其手稿中撤回了基于双线性映射的候选方案。）我们的结果实际上适用于更广泛的低度数非二元值伪随机生成器：如果 $ G$的每个输出 ${\pm1}^n \to\mathbb{R}^m(\mathbb{R}= reals)$是一个关于 $ \mathbb{R}$的次数至多为 $ d $且最多包含 $ s $个单项式的多项式，并且满足 $ m \ge \tilde{\Omega}(sn^{\lfloor d/2\rfloor})$，那么存在一个多项式时间算法，能够区分 $ G(x)$的输出与 $ z$，其中每个坐标 $ z_i$独立地从 $ G_i$上的边缘分布中采样。此外，我们的结果在对种子进行任意 pre-processing 后仍然成立。这意味着任何此类映射 $ G$，即使带有任意的种子预处理，也不能在较弱的意义下成为伪随机生成器，即无法混淆输出空间上的乘积分布。这使得我们能够排除其他工作中提出的关于生成器概念的各种自然修改方案，而这些方案原本仍允许基于双线性映射实现不可区分性混淆。

我们的算法基于平方和（SoS）范式，在大多数情况下甚至可以通过一个标准的半定规划更简单地定义。我们通过提出一类具有分块局部性3和常数大小的块的候选生成器来补充我们的算法，这类生成器在 $m= n^{1.5-\varepsilon}$成立时能够抵抗高斯消元和平方和（SOS）算法。该类生成器非常易于描述：令 $G$为任意一个带有群运算“∗”的非阿贝尔单群，并将 $x$的块解释为 $G$中的元素。伪随机生成器的描述是一系列随机选取的 $m$个索引三元组 $(i, j, k)$，生成器的每个输出均为 $ x_i \ast x_j \ast x_k$形式。

1 引言

弄清楚伪随机生成器可以“简单”到何种程度，一直是密码学和计算复杂度领域广泛关注的问题。特别是，研究人员研究了是否存在具有常数输入局部性的伪随机生成器，即每个输出位仅依赖于常数个输入位。阿佩尔鲍姆等人[9]表明，在假设存在可由对数深度电路计算的单向函数的前提下，存在一种生成器映射 $n$比特到 $n+n^\varepsilon$比特，其中$\varepsilon> 0$为一个小常数。戈德赖希[36]提出了一个具有常数局部性的候选伪随机生成器，该生成器甚至可能具有多项式级大的扩展率（例如，将 $n$比特映射到 $n^s$比特，其中 $s> 1$为某常数）。这种“极简”高扩展伪随机生成器的可能性近年来引起了广泛关注，其应用包括：

– 基于“组合式”假设的公钥密码学 [8]。
– 高效多方计算 [40]。
– 构建不可区分混淆器(iO)[4,5,45–48]所需的假设的简化。

最后一个应用或许是最令人兴奋的，因为它代表了将这一重要密码学原语建立在更标准假设上的最有希望的途径。此外，这一应用促使我们考虑生成器 “简单性”的定性不同的概念。例如，可以将输入局部性小的条件放宽为仅要求在有理数域上具有较低的代数度数，同时还可以允许其他特性，如对输入的预处理以及允许非布尔输出。

同时，关于混淆的应用强调了对生成器“简单性”（例如其局部性或代数次数）与其扩展率（即输出长度与输入长度之比）之间定量关系的细致理解。例如，林和阿南斯与萨海[5,46]的研究表明，一个将 $n$比特映射到 $n^{1+\varepsilon}$比特且具有局部性2的生成器映射，可基于标准密码学假设构造出一个混淆候选方案——这是一个备受期望的目标。然而已知的是，使用局部性为四（更不用说局部性为二）的生成器[52]无法实现超线性扩展率。

最近，林和特萨罗[47]提出通过将局部性放宽为他们称为块局部性的概念来绕过这一限制。他们还提出了一个具有所需属性的候选生成器。如果此类安全的PRG（伪随机生成器）存在，则意味着可以构造出安全性基于标准密码学假设的混淆器，这是一个非常理想的目标。阿南斯等人[3]观察到，这些条件可以进一步放宽，以允许没有块结构的生成器，甚至允许非布尔输出，但他们的方法要求（在其他限制中）每个输出由一个小度数的稀疏多项式计算得出。

在本文中，我们对该方法给出了强有力的限制，特别是对先前研究中提出的一些问题给出了否定的回答。虽然从先验角度来看，诸如双线性映射与三线性映射能力之间的差异这类代数性质的问题，以及诸如驳回随机约束满足问题实例的难度这类组合本质的问题似乎互不相关，但事实证明，在约束满足问题反驳研究中有用的技术产生了一种障碍，这种障碍出人意料地恰好对应于绕过混淆构造中“三线性映射障碍”所需的关键点。

我们通过一个简单的候选度数three伪随机生成器的构造来补充我们的负面结果，该生成器即使在输出长度为 $n^{1+\Omega(1)}$时也能抵抗已知攻击（高斯消元和平方和算法）。

1.1 我们的结果

为了陈述我们的结果，让我们定义一个映射 $G$的图像反驳问题，该映射将 $n$个输入映射到 $m$个输出（例如，一个声称的伪随机生成器）。展望后文，我们将允许映射具有非布尔输出。非正式地说，图像反驳问题要求为一个随机字符串寻找一个可高效计算的证明，以表明该字符串不在某个声称的生成器的像中 $G$.

定义1.1（反驳问题） 。设 $G：{\pm1}^n \to \mathbb{R}^m$且 $Z$为定义在 $\mathbb{R}^m$上的分布。若算法 $A$在输入 $z \in \mathbb{R}^m$时，输出要么是“被驳回”，要么是“？”，并满足以下条件，则称该算法解决了关于 $Z$的 $G$-图像反驳问题：

– 如果对于某个 $x \in{\pm1}^n $有 $ z= G(x)$，则 $ A(z)= $“?”。
– $ P_{z\sim Z}[A(z)=“被驳回”] \ge 0.5$

特别地，如果 $ Z $是${0, 1}^m$上的均匀分布，则存在一个高效算法可解决关于 $ Z $的 $ G $图像反驳问题意味着 $ G $不是一个伪随机生成器——事实上，一个图像反驳算法以至少 $ 1/2$的概率表明来自${\pm1}^m $的一个随机字符串不在 $ G. $ 的像中。

备注1.2（反驳与区分） . 将图像反驳的算法任务与更简单的伪随机生成器输出与均匀随机字符串的区分任务进行对比是很有启发性的。在后一种情况下，我们通常关注的是当输入按照${\pm1}^m.$上的均匀分布选取时，生成器 $G$的输出分布${\pm1}^n \to{\pm1}^m$。显然，一个反驳算法可以直接产生一个区分器。然而，一般来说，反驳可能更强大。例如，即使在种子上采用任意分布，反驳算法仍然可以区分${\pm1}^m$上的均匀分布与生成器的输出分布。因此，图像反驳算法不仅排除了自然的PRG构造，还排除了那些在将种子输入生成器之前对其执行某些非平凡预处理从而修改输入分布的自然变体。事实上，在[49]的并行工作中，针对基于双线性映射的iO候选构造就提出了此类修改。虽然原始PRG的区分器在此类修改后可能会失效，但反驳算法仍然有效。正如我们稍后讨论的，这是我们的方法与[49]的方法之间的一个关键区别。

我们的第一个结果是对具有“块局部性”二的生成器的限制：

定理1.3（双块局部生成器的局限性） 。对于任意 $n$，$b$，设 $G:{\pm1}^{nb} \to{\pm1}^m$满足如下条件：若我们将输入划分为 $n$个大小为 $b$的块，则 $G$的每个输出仅依赖于两个块内的变量。那么存在一个绝对常数 $K$，使得当$m> K \cdot 2^{2b}n\log^2 n$时，关于${\pm1}^m$上的均匀分布，存在一个针对 $G$-图像反驳问题的高效算法。

定理 $1.3$针对林和特萨罗[47]提出的基于双线性映射构建不可区分性混淆器的候选伪随机生成器，以及任何与其构造兼容的块局部性2候选方案，给出了一种攻击方法。

一个在文献中受到广泛关注的特殊情况是，伪随机生成器的所有输出都由同一个双块局部谓词$P$计算得出：${\pm1}^b \to{\pm1}^b \to{\pm1}$。对于这种情况，我们给出一种图像反驳算法，只要扩展率 $m= \tilde{\Omega}(n^{2b})$，该算法就有效。

定理 1.4 （单一谓词双块局部生成器的局限性，定理 5.3） 。对于任意 $ n$， $b$，令 $ G： {\pm1}^{nb} \to{\pm1}^m$满足如下条件：若我们将输入划分为 $ n$个大小为 $b$的块，则 $ G$的每个输出都是将同一谓词 $ P$作用于两个 $ b$比特块上得到的结果。那么存在一个绝对常数$K$，使得当 $ m> K \cdot 2^b n\log^2 n$时，存在一个关于$G$-图像反驳问题的高效算法，相对于${\pm1}^m$上的均匀分布。

另一个值得关注的特殊情况是候选生成器随机选择的情况：即用于计算输出的 $m$块对是随机选择的，并且进一步地，每个计算输出的谓词在满足平衡的条件下被独立地随机选择。对于这种情况，我们证明（见定理5.4，第5.3节）可以再次将输出长度的界从 $\tilde{O}（2^{2b}n）$改进为 $\tilde{O}（2^b n）$：

我们的下一个结果适用于任意度数 $d$映射，甚至允许具有非布尔输出的映射。为了使反驳问题有意义，概率分布 $Z$必须是非退化的或具有高熵，否则很可能 $z \sim Z$位于 $G$的像中且具有高概率。对于实值分布，合理的非退化概念是：该分布不会以高概率落入任意小的区间内。具体而言，如果我们考虑归一化的乘积分布（其中 $EZ_i= 0$且$EZ^2_i= 1$对每个 $i$成立，并且各 $Z_i$相互独立），那么我们称 $Z$为 $c$-分散的（见定义4.1），如果它是一个乘积分布，并且对任意长度至多为 $I \subseteq \mathbb{R}$的区间 $1/c$均满足该条件（此处可将 $c$视为一个大常数，甚至是准对数多项式或小多项式因子）。

如果 $Z$应该与 $G(U)$不可区分，其中 $U$是${\pm1}^n$上的均匀分布，则这两个分布应在边缘分布上一致，特别是至少在一阶和二阶矩上一致。因此，我们可以假设映射 $G$与 $Z$具有相同的归一化，即$EG(U)_i= 0$且 $EG(U)^2_i= 1$。我们对一般低度生成器的结果如下：

定理1.5（关于度数 $d$生成器的限制） 。假设$G：{\pm1}^n \to \mathbb{R}^m$满足对于每个 $i \in[m]$，映射 $x \mapsto G（x）_i$是一个次数最多为 $d$、且至多包含 $s$个单项式的归一化多项式。令 $Z$为一个 $c$-扩展的 $\mathbb{R}^m$上的乘积分布。那么存在某个绝对常数 $K$，使得如果 $m \ge Kc^2sn^{\lfloor d/2\rfloor}\log^2 n$，则关于 $Z$存在一个针对$G$-图像反驳问题的高效算法。

我们相信在奇数情况下，对度数的依赖 $ d$可以从 $ \lfloor d/2\rfloor$改进到 $ \lceil d/2\rceil$。解决这一问题与CSP反驳文献中提出的一些问题相关（例如，参见[60,问题 5.2.3、5.2.7、5.2.8]）。

尽管对于任意多项式，我们尚不清楚如何消除对稀疏性（即非零单项式的数量 $s$）的限制，但我们将在第4节中展示，在多种情况下可以显著放宽该限制。此外，混淆应用要求生成器同时具备低度数和稀疏性；参见第2节。然而，我们认为消除对稀疏性的依赖是本工作遗留的主要开放问题。我们推测这一点至少在伪随机生成器场景下是可以实现的，因为矛盾的是，我们当前算法失败的唯一情况似乎是当伪随机生成器表现出某种“非随机”行为时。改进这一点与获得块局部生成器扩展率的更好上界相关。

就稀疏性依赖而言，定理1.5对隆巴尔迪和瓦伊昆塔纳坦[50,问题 72],提出的问题给出了否定的回答，他们曾询问是否存在一个度数为 $d$的伪随机生成器，其扩展率为 $n^{\lfloor \frac{3}{4} d\rfloor+\varepsilon}$。莫塞尔等人[52]的工作已经表明，此类输出长度无法通过 $d$-局部性生成器实现；我们的工作表明，至少对于 $n^{o(1)}$‐稀疏多项式而言，将局部性放宽至代数次数的概念无助于改善其依赖关系。

我们所有的结果都基于同一个算法：平方和（SOS）半定规划（[44,55,59]；参见讲义[16]）。这并不令人意外，因为在反驳CSPs方面，半定规划总体上尤其是平方和半定规划层次结构，是目前已知最强的通用工具[43,56]。这表明，对于未来候选生成器而言，证明至少对该算法的抗攻击能力将是很有意义的。

幸运的是，目前已有越来越多的技术可用于证明此类下界。

在此，我们证明平方和算法无法用于攻击扩展率为 $O(n^{2b})$的PRG。请注意，平方和算法涵盖了文献中所有用于有效驳斥（非线性）随机CSP的技术，包括本文中的算法以及[49]的工作。我们对平方和算法的下界表明，使用此类技术无法期望攻击扩展率至多为 $O(n^{2b})$的双块局部PRG——对于计算生成器所有输出的相同谓词情况，这尤其表明了我们对平方和框架所涵盖的任何技术的分析的最优性。

具体而言，在第6节中，我们展示了一种具有 $\tilde{\Theta}（n^{2b}）$扩展率的自然的平方和抗性构造。需要强调的是，该伪随机生成器仅在平方和算法下是安全的，而在平方和框架之外实际上是不安全的。

定理 1.6（见6.1获取正式版本） 。对于任意 $ b \ge10\log \log(n)$，存在一个两块局部PRG的构造 $ G:({\pm1}^b)^n \to{\pm1}^m $，其中 $ m= \Omega(n^{2b})$，使得度数为-$\Theta(n/2^{4b})$的平方和算法无法解决该 $G.$的反驳问题

例如，对于 $ b< \varepsilon/4\log (n)$，上述结果排除了使用运行时间为 $ \sim 2^{n^{1-\varepsilon}}$的 $SoS$算法对$\Omega(n^{2b})$‐扩展率 $PRG$（伪随机生成器）发起攻击的可能性。

尽管我们的结果对度数为二的伪随机生成器设置了强有力的障碍，但它们并未排除存在输出长度为 $n^{1+\Omega(1)}$的度数为三的伪随机生成器的可能性。事实上，我们提出了一个非常简单的候选生成器，它可能满足这一性质。该生成器 $G$将 $G^n$映射到 $G^m$，其中 $G$是某个有限的非阿贝尔单群（例如大小为60 的群 $A_5$），对于每个 $\ell \in[m]$， $\ell$th的输出由 $G(x)$得到
$$
G(x)_\ell= x_i \ast x_j \ast x_k
$$
对于随机选择的索引 $ i, j, k$和 $ \ast$，其中$为群运算。该生成器具有块局部性三和固定大小的块，且（使用群元素的标准矩阵表示）其代数次数也为三。然而，它对SOS算法而言是一个困难实例，而SOS算法涵盖了本文所使用的所有技术。尽管对该候选方案的安全性显然需要进一步研究，但已有结果表明它能够抵抗诸如高斯消元之类的代数攻击 [35]。详见第7节。

1.2 相关工作

先前大多数关于“简单”伪随机生成器局限性的研究都集中在根据局部性对输出长度提供上界。Cryan 和 Miltersen [27]指出，不存在局部性2的伪随机生成器，并证明了不存在具有超线性扩展（即输入长度为 $ n$，输出长度为 $ n+ \omega(n)$ 比特）的局部性3伪随机生成器。Mossel、Shpilka 和 Trevisan [52]将该结果推广到局部性4的伪随机生成器，并构造了具有线性扩展和指数级小偏置的（非密码学意义的）小偏置局部性5生成器。他们还表明，一个 $k$局部生成器的输出长度无法优于 $ O(2^kn^{\lfloor k/2\rfloor})$。Applebaum、Ishai 和 Kushilevitz [9]表明，在标准密码学假设下，存在具有亚线性扩展的局部性4的伪随机生成器。阿佩尔鲍姆和 Raykov [6,11]在某些参数范围内关联了Goldreich 提出的单向函数 [36]的伪随机性和单向性。

我们关注的是所使用谓词的（代数）度数，而非其局部性。过去具有此性质的研究工作较少（例如 [10,31]）。除此之外，另一项将我们的工作与以往大多数伪随机生成器研究区分开来的特征是，我们聚焦于驳回问题（即证明一个随机字符串不处于生成器的像中），而不是判定问题（给定一个均匀随机种子的输出，将其与随机字符串区分开）或搜索问题（给定输出从一个均匀分布的种子中恢复种子）。这一点对我们很重要，因为我们不希望做出伪随机生成器输入（即种子）是均匀分布的典型假设，以便允许对其进行预处理。

反驳问题在随机约束满足问题（CSPs）的背景下得到了广泛研究。 $k$‐局部生成器具有 $n$个输入和 $m$个输出时，其反驳问题对应于一个包含 $n$个变量和 $m$个约束的CSP的反驳。因此，对局部生成器局限性的研究与针对约束满足问题的反驳算法研究紧密相关。在此背景下最受关注的问题是随机CSP的反驳问题——给定一个关于谓词 $P$的随机CSP实例，以高概率证明其远离可满足性。

关于反驳随机和半随机CSP的研究已有大量工作，始于费格[28]的工作。特别是，我们现在了解了谓词的元数（或局部性）与使用平方和半定规划层次——该问题的首选算法——驳斥随机实例[1,43,56]所需的约束数量之间的紧密关系。

与本文最相关的是该文献中处理具有大元数但小度数 $d$（或相关的不支持 $(d+1)$‐wise 独立分布）的谓词的研究。艾伦、奥唐奈和威特默 [1] 表明，当约束数量 $ m $大于 $ \tilde{O}(k^dn^{\lfloor d/2\rfloor})$时，此类谓词的随机实例可以被驳斥。在威特默 [60] 的论文提案中，他概述了如何将此推广到半随机情形，尽管仅限于偶数度数 $ d$的情况。这与本文所考虑的高阶问题相关，尽管我们的模型更为一般化，不只考虑约束满足问题，还涵盖任意的低度映射。

$\ell$块局部性的概念等价于在大字母表（具体来说，关于块大小呈指数级）上元数为 $\ell$的约束满足问题。尽管大部分约束满足问题反驳和近似文献处理的是二元字母表上的约束满足问题，但也存在一些研究涉及更大的字母表（例如，参见[1]）。[15]的工作针对大字母表上的2‐局部CSP（或等价地，2块局部CSP）给出了一个基于SOS的算法，只要其底层约束图是一个足够好的扩展图即可。然而，他们的算法（至少其分析）在运行时间上对字母表大小具有指数级依赖，这不适合我们的应用。

我们这项工作与以往约束满足问题文献中的结果在技术上的主要区别在于，对于约束满足问题，我们通常将元数视为常数，因此这些先前的工作在该参数上的依赖性往往较差；而我们希望处理元数大至 $n^\varepsilon$的情况，在某些情况下甚至不受限制。另一个区别是，在密码学环境中，我们希望允许伪随机生成器的设计者拥有较大的设计自由度，这促使我们研究比以往研究中通常使用的半随机模型更具挑战性。我们将在第3节更深入地讨论这些技术问题。几乎所有关于约束满足问题驳回工作的算法都可以被平方和半定规划层次结构所包含。针对该层次结构的一些下界结果表明了这些分析的紧性，见文献 [13,43,54]。对于块局部伪随机生成器的字母大小敏感设置，我们在第6节中给出了一个下界。

1.3 与[49]的比较

在一项同时且独立的研究中，隆巴尔迪和瓦伊昆塔纳坦 [49] 也分析了受林和特萨罗 [47] 工作启发的安全的分块局部伪随机生成器的可能性。他们证明存在一个高效的多项式时间区分器，具有以下性质：对于任意 $m \ge \tilde{\Omega}(n^{2b})$以及任意谓词 $P：{\pm1}^b \times{\pm1}^b \to{\pm1}$在大小为 $b$的两个块中，存在一个高效的区分算法用于以下两种在${\pm1}^m$上的分布：(1) ${\pm1}^m$上的均匀分布；(2) 戈德赖希的伪随机生成器 $GH：({\pm1}^b)^n \to{0, 1}^m $在使用随机图 $H$和单一谓词 $P $实例化时的输出分布，其中该单一谓词在以一个均匀随机的 $nb$比特字符串作为输入时计算所有 $m$个输出。

我们指出了我们的块局部PRG结果与[49]在此处的结果之间的主要差异。

区分与驳回 ：如注释1.2中所述，我们的方法提供了更强的驳回保证，而[49]的方法仅提供了一个区分器。这使得我们能够证明，即使通过允许任意输入预处理来增强块局部（或更一般的低度数）PRG（伪随机生成器），也无法实现更高的扩展率。这一点非常重要，因为在混淆的应用背景下，进行预处理是可接受的，事实上，此前曾有人建议通过这一途径来规避此类负面结果。
单一谓词与多谓词 ：文献 [49]仅适用于每个输出都使用相同谓词计算的 PRG（伪随机生成器）。我们的方法表明，即使每个输出使用不同的谓词进行计算，块局部（或低度数）PRG也无法实现足够大的扩展率——人们原本可能期望，对不同输出使用不同的谓词能够显著提升PRG的扩展率。这一瓶颈实际上植根于[49]的技术方法中。特别地，我们的方法使我们能够分析通过独立选择多个随机谓词并将其应用于随机选取的输入块对所得到的2‐块局部生成器的自然候选方案，并对其扩展率给出了 $\tilde{O}（2^b n）$的上界，见第5.3节。
随机图与任意图 ：[49] 的研究仅在定义生成器的基础图 $G$被选为随机图时处理块局部PRG（伪随机生成器）随机地。这是因为[49]依赖于在实例为随机的假设下成立的约束满足问题反驳结果。
单一谓词块局部伪随机生成器的特殊情况 ：对于所有输出均由单一谓词计算的伪随机生成器，[49]展示了一个区分器，当该伪随机生成器的扩展率为 $\Omega（n^{2b}）$时即可生效。针对此情况，我们证明了我们的算法实际上在相同的扩展率要求下仍能保证实现图像驳回。（我们工作的早期版本未包含关于单一谓词伪随机生成器的这一结果。）我们的驳回算法（定理1.4）实际上受到了[49]工作中乔尔‐戈德里希引理应用的启发。

我们注意到，前三个主要差异——图像反驳而非区分、允许多种谓词而非单一谓词、使用任意图而非随机图——恰好对应于[49].7提出的开放性问题。因此，我们的结果阻断了[49]所认定的用于修复iO候选方案的所有可能方法。这表明，相较于一个“可修补的问题”，通过双线性映射实现iO的这一方法可能存在某种根本性的障碍。

1.4 论文结构

第2节解释了简单生成器与不可区分性混淆器构造之间的联系。这一解释使我们得出结论：我们的算法使得最近提出的基于标准密码学假设构造混淆器的方法变得无效。对于希望了解更多信息的读者，完整版本的[12,附录B]包含了有关构造混淆器的更多细节，特别是关于[47]的结果。在第3节中，我们对所采用的算法技术进行了高层概述。第4节包含我们的主要算法及其分析，并特别证明了定理1.5。我们使用了SDP/SOS文献中的标准工具，这些工具可在附录A中找到。在第5节中，我们将注意力集中在具有小块局部性的伪随机生成器上，并展示了比一般性分析更强的结果，特别是我们证明了定理1.3，以及针对单一谓词生成器（定理5.3）和随机双块局部PRG（定理5.4）的更紧结果。在第6节中，我们表明平方和算法无法用于证明比$\sim n^{2b}$更优的扩展率上界。最后，在第7节中，我们提出了候选块局部生成器的一类构造。

2 关联简单生成器与程序混淆器

程序混淆器 [14,38] 是一种编译器，它将一个程序（例如以布尔电路形式表示的程序）转换为另一个“打乱”的程序，该程序功能等价但其实现细节被“隐藏”，从而难以逆向工程。近年来，由于两个原因，不可区分性混淆（iO）的研究处于密码学研究的前沿主要进展。首先，加尔格等人[33]提出，若存在足够强的密码学多线性映射，则该概念可能实现，而[32]为此提供了候选构造。其次，萨海和沃特斯[58]以及众多后续研究证明，iO（不可区分混淆）在构造各种密码学对象方面极为有用，其中许多对象在其他任何假设下均尚不知晓是否存在。

从多线性映射构造iO（不可区分混淆）的一个基本问题是多线性层级。简单来说，这大致对应于该对象能够计算的多项式的最高度数。二级多线性映射，即双线性映射，可基于椭圆曲线上的配对进行构造，并已在密码学文献中使用超过15年；而最初的混淆候选方案则要求在方案的“安全参数”中具有多项式级别的多线性层级。针对第2层以上多线性层级>2的多线性映射构造仅在最近才开始出现[25,26,32,34]，且其安全性极不确定。事实上，已证明许多具体的安全性假设对于所有已知的、层级为>2[18,20–22,24,39,51]的候选方案均已被攻破。

林 [45],后续的一项精彩工作[5,46,48],表明，所需的多线性层级可降低至一个常数（最终在[5,46]中为5）。这些工作揭示了所需多线性层级与“简单” 伪随机生成器（PRG）存在性之间的关系。在基本层面，这些PRG被用于将类似混淆的简单对象“引导”为完整的混淆器。该方法要求PRG从${0, 1}^n$映射到${0, 1}^m$且满足 $m= n^{1+\varepsilon}$，并能在实数域$\mathbb{R}$上表示为低次多项式。

更准确地说，对于安全参数 $\lambda $和足够大的 $n$，所需的输出长度为 $m= n^{1+\varepsilon} \cdot\text{poly}(\lambda)$，其中某个固定的多项式$\text{poly}(\cdot)$与底层密码学原语的计算复杂度相关。只要输出长度至少为 $n^{1+\Omega(1)}$，通过将 $n $设为 $\lambda$的一个足够大的多项式即可满足此条件。当尝试通过如[5,46,47]中的预处理方法来优化对应多线性层级的具体常数时，情况变得更加复杂。即使针对预处理后的种子长度，扩展率界限也必须成立（详见完整版本 [12,附录B] 的更多细节）。

林[46]和 Ananth 与 Sahai [5]使用局部性为5的伪随机生成器实现了这一方法，这些伪随机生成器可被平凡地表示为五次多项式。他们的主要见解是，对于常数局部性伪随机生成器，预处理仅使种子长度增加一个常数因子。然而，即便如此，当局部性小于 5[52]时，所需的扩展率仍然无法实现。

我们的工作对基于双线性映射的候选构造的影响。最近，林和特萨罗[47]提出了一种方法，以克服局部性障碍，并可能最终实现基于双线性映射的iO的实例化。这可能是密码学研究中的一个重大突破，使得“幻想”密码学能够建立在经过充分研究的困难性假设之上。林和特萨罗表明，只要伪随机生成器在对数大小的块上具有低分块局部性即可。也就是说，如果我们将伪随机生成器的种子视为一个 $b \times n$矩阵，其中$b= O(\log n)$，那么每个输出位最多可以依赖于 $\ell$列该矩阵所需的输出长度为 $m= 2^{c\cdot bn^{1+\Omega(1)}}$，其中 $ c$为某个常数。虽然未给出 $c$的明确值，但该构造要求 $c> 3$，这似乎是此方法的关键所在（详见完整版本的 [12,附录 B]）。分块局部性提供了一种可能绕过标准（即按位）局部性不可能性结果的途径，事实上，林和特萨罗猜想存在一种具有输出长度 $n^{1+\Omega(1)}$和分块局部性 $\ell= 2$的伪随机生成器，并提出了一个候选构造。

定理 1.3表明，具有分块局部性2的生成器无法达到[47]构造所需的扩展率，从而暗示了他们当前的技术不足以实现基于双线性映射的混淆。尽管我们的最坏情况结果为混淆约简在 $1< c< 2$上的可能改进留下了微小的空间，但我们对随机图和谓词的改进分析（见第5.3节中定理5.4）表明，我们的方法对于具有任意 $c> 1$的生成器可能是有效的，至少在启发式意义上如此。

阿南斯等人 [3]观察到有一种方法可以推广该[47]方法，使得伪随机生成器的值域无需是${0, 1}$，而只需是某个特定的小集合即可，只要其有理数域上的多项式次数不超过多线性层级。此外，不再要求满足伪随机性，而仅需生成器的输出与某个乘积分布不可区分（特别是，每个输出分量按照其边缘分布进行分布）。这表明，或许比迄今为止文献中所考虑的更广泛的一类生成器可用于降低多线性的度数。然而，他们的方法对这类生成器施加了若干限制才能有效。特别是，该方法需要预处理，这会将种子长度增加 $s^c$倍，其中 $c> 1$，而 $s$是生成器每个输出坐标的单项式数量。因此，定理1.5也排除了该技术在二次生成器上的适用性。

分块局部性的支持性证据3. 我们表明，尽管林‐特萨罗方法可能尚未使我们完全达到第2层，但它极有可能意味着一种来自三线性映射的构造。具体而言，现有技术水平的任何改进都将意味着完整的程序混淆器。具体来说，如第1.1节所述，我们提出了一个具有分块局部性3且块大小为常数的候选生成器。我们证明了该候选生成器能够抵御我们这类算法以及其他算法方法的攻击。更多细节见第7节。

3 我们的技术

在本节中，我们将非正式地概述主要结果（即定理 1.5 ）的证明思路，重点讨论二次情况，并做出一些简化假设。完整证明请参见第4节。我们还将从高层次描述改进算法所涉及的思想，这些思想适用于单谓词生成器的特殊情况（定理 1.4）、随机块局部生成器（定理 5.4）以及平方和下界（定理 1.6）表明存在一个扩展率为 $ m= \Omega（n^{2b}）$且能够抵抗基于平方和的攻击的生成器（一种涵盖我们所有技术的算法）。

正如我们在第3.1节中观察到的，定理1.5可以以黑盒方式用于获得定理 1.3的一个稍弱的变体，从而表明双块局部（以及更一般的 $\ell$块局部）生成器的局限性。具有所述参数的定理1.3的完整证明见第5节。

我们的工作建立在先前用于分析局部伪随机生成器和驳斥约束满足问题的一些工具基础之上，特别是依赖于半定规划。关键技术区别在于，先前的研究主要关注具有常数输入局部性或元数的生成器/谓词，而我们考虑的是可能具有更大输入局部性但度数较小的函数。此外，由于我们在混淆的背景下考虑具有非布尔输出的映射，这带来了一层额外的复杂度。

我们现在更详细地描述我们的结果。为简单起见，我们聚焦于二次情况，这是在混淆应用中最具兴趣的情形。回忆一下，一个从 $\mathbb{R}^n$到 $\mathbb{R}^m$的度数为二的映射是指一组 $m$个二次多项式 $\bar{p}=(p_1,…, p_m)$。我们将假设这些多项式是归一化的，即对每个 $i$，有 $Ep_i(U) = 0$且 $Ep_i(U)^2= 1$。令$Z$为定义在 $\mathbb{R}^m$上的某种“良好”分布（例如， $O(1)$‐展开的分布）。（作为起点，可以考虑 $Z$是${\pm1}^n$上的均匀分布的情况，但我们也希望考虑更一般的情形。）对于映射$\bar{p}$和分布 $Z$的图像反驳问题，是指给定一个来自 $Z$的随机元素 $z$，验证 $z \notin \bar{p}({\pm1}^n)$的任务。

一种自然的方法是使用针对约束满足问题的近似或反驳算法，该问题由每个 $i$对应的约束${p_i(x)= z_i}$导出。我们这里的问题在于，尽管这些谓词在具有二次度数的意义上是“简单”的，但它们可能具有非常大的局部性或元数。特别是，局部性可以大到 $s$——即$p_i$的单项式数量——我们通常认为其等于 $n^\varepsilon$，其中 $\varepsilon> 0$是一个较小的值。

CSP反驳文献的大部分工作（例如，参见[1]）遵循所谓的“异或原则”，该原则将反驳具有任意谓词的约束满足问题的任务，归约为反驳所有约束均涉及输入变量的异或运算（或当输入被视为 $\pm1$取值时的乘积）的约束满足问题。通常，将此原则应用于元数为 $s$的谓词会导致约束数量出现 $2^s$倍的乘性损失，并且产生的异或运算可能涉及多达 $s$个变量，这在我们的设定中是不可接受的。

然而，如[1],所示，当原始谓词具有较小度数 $d$（特别是这意味着它不支持$(d+ 1)$‐wise独立分布）时，情况要好得多。在这种情况下，使用异或原则会得到一个 $d$‐异或实例，并且仅在约束数量上产生大约 $s^d$的损失。

然而，这种方法存在两个问题。首先，这种约简无法直接应用于非布尔场景，而非布尔场景与混淆中的潜在应用相关。其次，约简到异或（XOR）本质上会导致一种输出长度的损失与稀疏性 $s$相关，而正如我们将看到的，有时可能完全避免损失这些因子。因此，我们的算法采用了一种略有不同的方法。给定变量$z_1,…, z_m$，我们考虑该二次规划
$$
\max_{x\in{\pm1}^n} \sum_{i=1}^m z_ip_i(x). \tag{3.1}
$$
该程序的值可以通过 $O（\log n）$因子，利用基于查里卡尔和维尔特的对称格罗滕迪克不等式通过半定松弛进行近似。因此，只需在“植入”情况与 $x$存在某个使得 $p_i（x）= z_i$对所有$i$成立的情况下，以及 $z_i$从 $Z$中采样得到的情况下，证明该程序取值之间存在一个间隙即可。

如果存在某个 $ x$使得 $ p_i(x)= z_i$对所有 $i$成立，则程序(3.1)的值至少为$\sum_{i=1}^m z_i^2$ （利用 $Ez_i^2= 1$以及标准的集中性界限），我们可以认为该值非常接近于 $ m$。另一方面，考虑$(z_1, . . . , z_m)$从 $Z$中选取的情况。对于每个固定的$x \in{\pm1}^n$，我们可以定义 $m$个随机变量 $Y^x_1, . . . , Y^x_m$，使得 $Y^x_i= z_ip_i(x)$，并令 $Y^x= \sum_{i=1}^m Y^x_i$相互独立，因此我们可以使用切尔诺夫界来证明，除了至多 $0.01 \cdot 2^{-n}$的概率之外， $Y^x$的值最多为$O(\sqrt{nBm})$，其中 $B$是 $z_ip_i(x)$幅度的一个上界。然后我们可以对所有可能的 $x$应用并界，以证明二次规划 $(3.1)$ 的值以0.99的概率最多为 $O(\sqrt{nBm})$。

例如，如果每个 $ z_i$是 ${\pm1}$中的均匀元素，且对于每个 $ x$（当 $ p_i$是谓词时即为此情况）均有 $ |p_i(x)| \le O(1)$成立，则 $ B= O(1)$，因此在此情况下，只要 $ m \gg c^2n$，(3.1) 的值至多为 $ m/c$。将 $ c$设为前述的近似因子 $O(\log n)$，我们即可得到一个成功的驳回。

该算法的执行过程如下：在输入 $z_1,…, z_m$后，运行（3.1）的SDP松弛，如果其值小于 $m/2$，则输出“被驳回”，并声明 $z$不在 $G$的像中。当 $z= G(x)$时，二次规划的值（及其SDP松弛）至少为 $0.9m$。另一方面，如果 $m= \omega(n\log n)$，那么以高概率而言，二次规划的值将为 $o(m/\log n)$，因此其松弛的值将为 $o(m)$。

在上述讨论中，我们做出了两个关键假设：
– $|p_i(x)| \le O(1)$ 对于每个 $ x \in{\pm1}^n$
– $|z_i| \le O(1)$ 对于 $ x \in{\pm1}^n$

一般来说，这两个都可能不成立。如果 $p_i$最多只有 $s$个非零单项式，并且满足 $Ep_i(U)^2= 1$，那么我们可以证明对于每个 $x$，都有 $|p_i(x)| \le\sqrt{s}$。利用 $p_i$的傅里叶变换在 $\ell^1$和 $\ell^2$范数之间的已知关系。第二个条件可能稍微棘手一些。如果 $z_i$是次高斯的，则可以使用霍夫丁不等式代替切尔诺夫界，但通常我们不能假设这种情况成立。幸运的是，在我们的应用中，可以通过一个简单的技巧，即拒绝那些 $z_i$具有异常大模长的输出，从而退化到有界情况。最终结果是，只要 $m \gg sn\log n$，我们就能获得一个针对 $s$‐稀疏二次映射的图像反驳问题的高效算法。

高阶情况可通过将多项式“二次化”归约为二次情况。也就是说，我们可以将定义在 $n$个变量上的度数为 $d$的多项式视为定义在 $n^{\lfloor d/2\rfloor}$个变量上的二次多项式，其中这些变量由所有度数为$\lfloor d/2\rfloor$的单项式构成。通过这种方法，我们可以将我们的结果推广到高阶映射（相应地，输出的界会有所损失）。

3.1 具有块局部性2的生成器区分

从表面上看，块局部性和代数次数这两个概念似乎彼此无关。毕竟，一个作用于大小为 $b$的块上的两块局部生成器，其度数可能高达 $2b$。然而，我们可以对长度为 $bn$的输入$x \in{\pm1}^{bn}$进行预处理，将其映射为 $n’= 2^bn$的一个输入 $x’ \in{\pm1}^{n’}$，使得对于每个 $i \in[n]$， $x’$的第$ith$个块包含 $x$的第 $ith$个块上所有 $2^b$个单项式的取值。注意， $x$中具有块局部性 $\ell$的映射在 $x’$中变为一个度数为 $\ell$的映射。此外，由于每个输出位最多依赖于 $\ell$个块，而每个块包含$2^b$个变量，因此该度数为 $\ell$的多项式中的单项式数量最多为 $2^{\ell b}$。

通过这种方式，我们可以将一个候选的双块局部伪随机生成器 $ G：{\pm1}^{bn} \to{\pm1}^m$转换为一个度数‐2 的稀疏性‐$2^{2b}$ 映射 $ G’：{\pm1}^{n’} \to\mathbb{R}^m$。注意，即使 $G$是一个安全的伪随机生成器，也不一定意味着 $G’$也是一个伪随机生成器，因为 $x \in{\pm1}^{bn}$上的均匀分布并不会转化为 $x’ \in{\pm1}^{2^b n}$上的均匀分布。然而， $G’$的像包含 $G$的像，因此如果我们能解决 $G’$的图像反驳问题，那么我们也能解决 $G$的图像反驳问题。将上述结果作为黑盒应用，可得到一个高效算法，用于破解块大小为 $b$的双块局部生成器，只要其输出长度 $m$满足
$$
m \ll 2^{2b}n’ \log^2 n= 2^{3b}n \log^2 n.
$$
这已经足以破坏林和特萨罗的具体系构造[47],但更精细的分析表明，我们可以将 $2^{3b}$因子改进为 $2^{2b}$。此外，如果我们用扩展约束图上的随机谓词来初始化该构造，则可以将此因子进一步降低至 $2^b$。这两种改进仍然使用相同的算法，只是在这些情况下对该算法进行了更紧密的分析。我们尚不清楚该分析是否还能进一步改进。绘制出块局部生成器（或等价地，反驳大字母表 CSP）的各种权衡关系，是一个非常有趣的开放性问题。

第一个改进在第5.1节中描述，它对任意双块状生成器的输出提供了更好的界。如上所述，它使用了相同的算法。也就是说，我们取一个候选的双块局部生成器 $ G： {\pm1}^{bn} \to{\pm1}^m$，并通过“展开”每个块中的单项式，将其转换为一个二次映射 $ G’： {\pm1}^{2bn} \to \mathbb{R}^m$。然后我们在生成器 $G’$上运行与之前相同的算法，但关键思想是，由于 $G’$源自双块局部生成器的展开，我们可以对二次规划（3.1）的目标值给出更优的上界。具体来说，我们可以将这些多项式中的每一个表示为原始块局部生成器在每对块上应用的谓词的傅里叶变换的函数。然后我们可以改变求和的顺序，从而将对（3.1）的界定简化为对 $ 2^{2b}$“更简单”求和项的界定，对于这些 $ 2^{2b}$选项，我们能够在随机情况下以足够高的概率获得更紧的界，从而可以对这些 $ 2^{2b}$选项应用并界。详见第5.1节的完整细节。

3.2 将单谓词情况的扩展率提升至$n^{2b}$

第二个改进（定理5.3）考虑了生成器每个输出都使用相同谓词计算的特殊情况（如前所述，这种情况是[49]的主要关注点）。在这种情况下，我们证明当生成器的 $m$（输出数量）满足 $m= \tilde{\Omega}（n^{2b}）$时，我们的图像反驳算法有效。这与 [49]中的区分器工作所需的扩展率相匹配。

我们现在从高层面上描述我们的反驳算法的工作原理。该反驳算法接收一个字符串 $z \in{\pm1}^m$以及生成器 $G$的描述，其中包含定义在 $n$个顶点上的底层图 $G$和谓词$P：{\pm1}^b\times{\pm1}^b \to{\pm1}$。第一步，我们将把对 $G$的像集驳回问题归约为驳回一个相对更简单的 $G’$的问题，其中谓词 $P$将被替换为一个“积谓词” $P’$。一个谓词 $P’：[q] \times[q] \to{\pm1}$是一个积谓词，如果它可以表示为两个函数 $f：[q] \to{\pm1}$和 $g：[q] \to{\pm1}$的乘积，这两个函数分别作用于 $P$的每个输入上。在第二步中，我们将给出一个用于驳回双块局部单积谓词PRG的高效算法。

我们现在描述第一步。在这里，算法希望证明不存在满足 $ x \in({\pm1}^b)^n $的 $ G(x) = z$。固定任意的 $ x \in({\pm1}^b)^n$。对于这个固定的 $ x$，考虑在 $ P$的输入上生成的分布 $ D$，该分布通过在 $ G$中随机选取一条边 ${i, j}$ 并输出 $(x_i, x_j)$ 得到。我们将利用 Linial 和 Schraibman 在关联边际复杂度与各种通信复杂度度量时所证明的一个结果，说明在 $ D$（更一般地，任何定义在 $ P$输入上的分布）上，存在一个积谓词 $ F(\alpha, \beta)= f(\alpha) \cdot g(\beta)$，使得 $ E_{(\alpha,\beta)\sim D}[P(\alpha, \beta) \cdot F(\alpha, \beta)] \ge\Theta(2^{-b/2})$。

因此，如果存在某个 $ x \in({\pm1}^b)^n$使得 $ G(x) = z$成立，则对于相同的 $ x$，有 $ E_{i\sim[m]}[G’(x) i \cdot z_i] \ge \Theta(2^{-b/2})$。如果我们现在能够对每一个 $ x$，以高概率在 $ z$的采样下，证明 $ E {i\sim[m]}[G’(x)_i \cdot z_i] $的上界为 $\ll 2^{-b/2}$，那么我们就能得到一个图像反驳算法。由于定义 $ G’. $的谓词具有积的形式，这一问题实际上变得更简单了。

我们算法的这一步受到[49]工作中使用乔尔‐戈德里希结果的启发。该引理表明，对于输入到 $P$上的均匀分布，存在一个积谓词，其与 $P$具有 $\Theta（2^{-b/2}）$的相关性。在[49]的工作中，这一观察被用来将 $P$替换为一个固定字母表谓词（通过对上述乔尔‐戈德里希引理给出的积谓词的组成部分进行调整而得到），从而获得一个固定字母表大小的简化后的伪随机生成器，使得当种子根据（${\pm1}^b$）上的均匀分布选取时，修改后的伪随机生成器的输出分布与原始的输出分布具有良好的相关性。因此，应用于该修改后的伪随机生成器的一个足够强的反驳算法（他们使用了来自[1]的算法）就足以提供一个区分器。注意，这种方法并不能给出一个反驳算法，因为将 $P$替换为 $f\cdot g$的关键步骤依赖于 $x$是从$[q]^n$中均匀选取的。

我们没有使用现成的反驳算法（例如[2]中的算法），而是通过设计一个直接且简单的算法来解决单个积谓词块局部PRG的图像反驳问题——该算法的关键优势在于，无需知晓积谓词本身，甚至无需知道块大小参数 $b$即可工作。这一点至关重要，因为我们在推导 $G’$时所采用的论证是非构造性的，特别是积谓词所逼近的分布 $P$是（假设的）任意赋值 $x$和图 $G$的一个复杂函数。因此，我们的积谓词反驳算法必须在不显式知晓底层积谓词的情况下仍能正常运行。

事实上，我们证明（在完整版本 [12] 中），给定一个具有 $ n $个顶点和 $ m \gg n $条边的图 $ G $以及任意字符串 $ z$，我们可以（一次性）证明（以高概率 w.h.p） $z $不在通过使用任意大的块大小但具有相同底层图 $ G$的任何双块局部积谓词所得到的（无限多个！）生成器的像中。特别地，我们的反驳算法无需知道该谓词本身，甚至无需知道生成器种子中每个块的比特数！

3.3 随机块局部生成器

我们分析了多谓词、块局部生成器的自然候选方案，其中底层图和每个谓词都是均匀随机选择的（在谓词为平衡的条件下），并表明（见第5.3节）我们的反驳算法在 $ m=\Omega(n^{2b})$ 时有效。与之前一样，我们的思路是考虑最大化多项式 $\sum_i z_ip_i(x)$ 的问题。我们使用矩阵 $M$，使得我们的目标多项式 $\sum_i z_ip_i(x)$是 $ M $的一个双线性形式。为了获得该多项式上界的证明，只需对矩阵 $ M $的谱范数给出足够强的上界——由于定义生成器时涉及的随机性，我们证明该谱范数足够小（以高概率成立）。然而， $M $的各个条目之间存在一些依赖关系，这阻碍了标准上界方法在谱范数估计中的应用。因此，我们使用标准的追踪方法，将问题归结为一些易于推理的组合性质。

4 低度映射的图像反驳

在本节中，我们将证明主要的技术定理，即针对每个低度映射以及“良好”或“非退化”乘积分布的图像反驳问题的算法。我们首先定义非退化分布的概念，这指的是那些不会将其几乎所有的概率质量集中在相对于其标准差而言较小的区间上的分布。

定义4.1（c‐分散分布） 。设 $Z$是 $\mathbb{R}^m$上的一个乘积分布，满足 $EZ_i= 0$且对每个 $i$都有 $EZ^2_i= 1$。我们称 $Z$是 $c$-分散的，如果对于长度为 $1/c$的任意区间 $I \subseteq \mathbb{R}$， $Z_i \in I$落入该区间的概率至多为0.9。

归一化的低度映射是定义在${\pm1}^n$上的多项式——我们使用标准的傅里叶基（例如，参见 [53]）来表示它们：

定义4.2（傅里叶符号） 。对于任意 $S \subseteq[n]$，令 $\chi_S(x)= \Pi_{i\in S}x_i$对于任意 $x \in{\pm1}^n$。一个函数 $p:{\pm1}^n \to \mathbb{R}$可以唯一地展开为$\sum_{S\subseteq[n]}\hat{p}(S)\chi_S $，其中“傅里叶系数”$\hat{p}(S) = E_{x\sim{\pm1}^n}[\chi_S(x)p(x)] $，且期望是关于超立方体上的均匀分布${\pm1}^n$。傅里叶系数满足帕塞瓦尔定理：$\sum_{S\subseteq[n]} \hat{p}(S)^2 = E_x[p(x)^2]$。

我们定义一个归一化的度数 $ d $映射为一组度数 $ d $的多项式 $\bar{p}=(p_1,…, p_m)$，该映射将${\pm1}^n$映射到 $\mathbb{R}^m$，且满足 $ Ep_i(U) = 0 $和$Ep_i(U)^2= 1 $对所有 $ i $成立，其中 $ U $是均匀分布。

我们的主要技术定理如下：

定理 4.3（主定理） 。存在一个高效算法，只要满足归一化的度数 $d$映射 $\bar{p}$和 $c$-spread概率分布 $Z$，就能解决其对应的反驳问题。
$$
m> K \cdot c^2s(\bar{p})n^{\lfloor d/2\rfloor} \log^2(n) \tag{4.1}
$$
对于某个全局常数 $ K$。

为了以更强的形式陈述该结果，我们使用一个较为技术性的定义来描述参数 $s(\bar{p})$，其具体定义将稍后给出（见公式(4.5)及下方的定义4.9）。然而，它的一个重要性质是对于每个归一化的多项式映射 $\bar{p}=(p_1,…,p_m)$, $s(\bar{p})$小于多项式的最大稀疏性（即单项式数量）。因此，定理4.3蕴含了第1.5节1.1中的定理。我们仅需要一个$s(\bar{p})$ 因子，而不是稀疏性，这使得我们的结果更强，并且在某些情况下，这种差异可能非常显著。

证明定理的算法4.3相当简单：

反驳算法
输入： $ z \in \mathbb{R}^m$, $p_1,…, p_m$度数为 $d$的归一化多项式在${\pm1}^n$中。
输出：“被驳回”或“?”。
操作：
1. 令 $ I={i \in[m]： z_i^2 \le 100}$。令 $ \mu_i $为在给定 $ z_i^2 \le 100$条件下 $ z_i$的条件期望。
2. 如果 $ \sum_{i\in I}(z_i - \mu_i)^2< m/(10c)$，返回“？”。
3. 令 $ \theta $为度数$\lfloor d/2\rfloor$的 $SOS$松弛在度数 $d$多项式优化问题上的取值。
$$
\max_{x\in{\pm1}^n}\sum_{i\in I} (z_i - \mu_i)p_i(x) \tag{4.2}
$$
4. 如果 $\theta-\sum_{i\in I} \mu_i(z_i-\mu_i) < m/(10c)$，则返回“被驳回”，否则返回“？”。

度数度数 $d$平方和规划是一种针对多项式优化问题的半定规划松弛，这意味着其值 $\theta$始终是(4.2)的一个上界。我们将使用该规划最重要的一个性质，即对称格罗滕迪克不等式查里卡尔和维尔特的[19],结果，它指出在关键情况 $d= 2$下，该规划的整数间隙（即其值与真实最大值之间的比值）为 $O（\log n）$。

对于这种情况，当 $d= 2$时，该程序等价于称为基本SDP松弛的半定规划，对应于相应的二次规划。这意味着 $\theta$也可以被计算为
$$
\max_{X\in\mathbb{R}^{(n+1)\times(n+1)} X\succeq 0, X_{ii} =1 \forall i} \text{tr}(A \cdot X), \tag{4.3}
$$
其中 $A$是一个$(n+ 1)\times(n+ 1)$矩阵，表示二次多项式$\sum_{i\in I}( z_i - \mu_i)p_i$，即对于每个 $i, j \in[n]$, $A_{i,j}$对应于该多项式中$x_ix_j$的系数，且对于每个 $i \in[n]$, $A_{i,n+1}= A_{n+1,i}$是 $x_i$的系数。

我们现在转向证明定理4.3。我们首先证明$d= 2$的情况。一般次数的情形将通过约简到该情况来完成证明。

4.1 二度图像反驳

在本节中，我们证明 4.3定理在 $ d= 2$情况下的结论，该结论作为以下引理重新陈述如下：

引理4.4（二次图像反驳） 。存在一种高效算法，能够解决每个归一化的度数2映射 $\bar{p}$和$c$-分散概率分布 $Z$的反驳问题，只要
$$
m> K \cdot c^2s(\bar{p})n \log^2 n \tag{4.4}
$$
对于某个绝对常数 $ K> 0$。

在这种情况下，参数 $ s(\bar{p})$定义如下：
$$
s(p_1,…, p_m)= \frac{1}{m} \max_{x\in{\pm1}^n} \sum_{i=1}^m p_i(x)^2 \tag{4.5}
$$
通过将每个 $ p_i $在傅里叶基下展开为 $ p_i=\sum \hat{p} i(S)\chi_S$，我们可以看出 $\max {x\in{\pm1}^n} |p_i(x)| \le\sum|\hat{p}_i|$。因此，特别地， $s(\bar{p}) $小于 $ p_i$的傅里叶系数的 $ \ell^1 $范数平方的平均值。利用 $ Ep_i(U)^2= 1$这一事实以及 $ \ell^1 $和 $ \ell^2 $范数之间的标准关系，我们可以看出，如果每一个 $ p_i $多项式至多有 $ s $个单项式（即非零傅里叶系数），那么 $ s(\bar{p}) \le s$。

我们现在证明引理4.4。为此，我们需要证明两个命题：
– 如果 $ z= \bar{p}(x)$，则该算法永远不会输出“被驳回”。
– 如果 $ z $从 $ Z$中随机选取，则该算法将以高概率输出“被驳回”。

我们从第一个也是最简单的事实开始，事实上这对every度数 $ d$都成立。

引理 4.5 。设 $ z \in \mathbb{R}^m $满足存在一个 $ x^ $使得 $ p_i(x^ )= z_i$。那么，该算法不会输出“被驳回”。

证明。假设情况并非如此。我们可以假设$\sum_{i\in I}(z_i-\mu_i)^2 \ge m/(10c)$，否则我们将输出“？”。由于半定规划是松弛问题，特别地，在我们假设下，值$\theta$大于$\sum_{i\in I}(z_i - \mu_i)p_i(x^*)= \sum_{i\in I}(z_i - \mu_i)z_i$。因此，$\theta -\sum_{i\in I}(z_i - \mu_i)\mu_i \ge\sum_{i\in I}( z_i - \mu_i)^2 \ge m/(10c)$。

我们现在转向更具挑战性的部分，即证明当 $z$从 $Z$中采样时，该算法以高概率输出“驳斥”。我们首先注意到，根据马尔可夫不等式，对于每个 $i$， $z_i^2> 100Ez_i^2= 100$的概率至多为0.99。因此，算法定义的集合 $I$的期望大小至少为 $0.99m$，并且使用切尔诺夫界可知，以极高的概率有 $|I| > 0.9m$。令 $Z’_i$ 为随机变量 $Z_i$，其条件是（概率为 $\ge 0.99$的）事件 $Z^2_i \le 100$和 $\mu_i= EZ’_i$成立。注意根据定义，$(Z’_i)^2 \le 100$以概率1成立，即 $|Z’_i| \le 10$以概率1成立，进而意味着 $|\mu_i| \le 10$。根据对$Z_i$的“分散性”条件以及并界，有
$$
P[Z’_i \notin[\mu_i - \frac{1}{2c}, \mu_i+ \frac{1}{2c}]] \ge \frac{1}{500c^2}.
$$
我们可以将算法中采样 $z_i$值的过程视为首先选择集合 $I$，然后独立地采样 $z_i$对于每个坐标 $i \in I$，从随机变量 $Z’_i $中取值。以下引理表明，该 $SDP$不存在具有较大值的integral（即 ${\pm1}$‐取值）解。

引理 4.6 。以至少$0.99 $的概率，对于每个$x \in{\pm1}^n$都成立，
$$
\sum_{i\in I} (z’_i - \mu_i)p_i(x) \le O(\sqrt{nms(\bar{p})}) \tag{4.6}
$$

证明。我们使用并界。对于每个固定的$x \in{\pm1}^n$，令 $ \alpha_i= p_i(x)$。我们知道$\sum_{i\in I} \alpha^2_i \le \sum_{i=1}^m \alpha^2_i \le\max_{x\in{\pm1}^n}\sum p_i(x)^2= ms(\bar{p})$。由于$|z’ i - \mu_i| \le 20$，可知$(z’_i - \mu_i)$是具有常数标准差的次高斯变量。因此，$\sum {i\in I}(z’ i-\mu_i)\alpha_i$ 是期望为零、标准差为 $O(\sqrt{ms(\bar{p})})$的次高斯变量。因此，存在一个值 $O(\sqrt{nms(\bar{p})})$，使得$\sum {i\in I}(z’_i-\mu_i)\alpha_i$超过该值的概率小于 $0.001\cdot 2^{-n}$。应用并界即得该引理。

引理 4.4将由引理 4.6推导得出，利用SDP给出的$O(\log n)$ 近似因子来逼近真实最大值。特别是，由[19]证明的格罗滕迪克不等式的对称版本表明，算法计算出的值 $\theta$至多比整数规划$(4.2)$ 的真实最大值大一个 $O(\log n)$ 因子，参见附录A中定理A.3。

为了完成证明，我们需要确保（乘以 $O(\log n)$后），(4.6) 式右边的界小于 $ m/(100c)+\sum_{i\in I}(z_i-\mu_i)\mu_i$。事实上，由于 $ |\mu_i| \le 10$，在关于 $ z_i$的选择（这些值从 $ Z’_i$中选取）的高概率下，量 $ \sum_i(z_i - \mu_i)\mu_i$至多为其标准差的$10$ 倍左右，即 $O(\sqrt{m}) \ll m/c$。（此处无需使用并界。）因此，将 $(4.6)$代入后，我们真正需要确保的是
$$
m/(20c \log n) \ge O(\sqrt{nms(\bar{p})})
$$
或者
$$
m \ge O(ns(\bar{p})c^2 \log^2 n)
$$
恰好符合引理4.4的条件，从而完成其证明（进而完成定理4.3在 $d= 2$情况下的证明）。

4.2 对 $ d> 2$ 的驳回

在本节中，我们展示如何将一般次数 $ d$情况归约为$d= 2$情况，从而完成定理 4.3的证明。我们使用的主要工具是“多项式二次化”的概念。也就是说，我们可以通过将输入中每个次数不超过$d$的单项式编码为一个独立变量的方式，将一个关于 $n$个变量的$d$次多项式 $p$转换为一个关于$\binom{n + 1}{\lfloor d/2\rfloor}$个变量的二次多项式 $\tilde{p}$。

定义 4.7 (二次化) 。设 $p$是一个 $d$次多项式，其定义在 $\mathbb{R}^n$上，我们用傅里叶符号（见定义4.2）将其写作 $p= \sum_{|S|\le d}\hat{p}(S)\chi_S$。令$d’= \lfloor d/2\rfloor$则 $p$的二次化是定义在 $\binom{n}{\le d’}$个变量上的二次多项式 $q$，其定义如下：
$$
q(y)=\sum_{S,T} \hat{p}(S \cup T)y_Sy_T,
$$
其中$\binom{n}{\le d’}$维向量 $y $的元素由大小至多为 $ d’$的集合进行索引，并且该和式取遍所有大小至多为 $ d’ $的集合 $ S、 T \subseteq[n]$，使得 $ S$中的每个元素都小于 $ T$中的每一个元素， $|S| = \max{|S \cup T|, d’}$。

以下由二次化保证的简单性质易于验证 :

引理 4.8 . 设 $ q $是定义在$\binom{n}{\le d’}$个变量上的度数为 $ d $的多项式 $ p $的二次化，其中$d’= \lfloor d/2\rfloor$.。那么，
1. 对任意$x \in{\pm1}^n$，存在 $ y \in{\pm1}^{\binom{n}{\le d’}} $使得 $ q(y)= p(x)$.
2. $\sum_{S, S’} \hat{q}({S, S’})^2=\sum_T