Регистрация Войти
Рейтинг:3
Tristan Nemoz avatar Crypto

Как построить периодический PRF из PRF?

флаг ru
Tristan Nemoz

Этот вопрос может быть связан с Вот этот, хотя конструкция отличается.

Рассмотрим PRF $f$. Мы определяем $g_k$ как $g_k(x)=f(x)\oplus f(x\oplus k)$. Является $g_k$ PRF, предполагая $к$ выбирается случайно?

Я попытался доказать это следующим образом. Рассмотрим противника $\mathcal{А}$ который способен различать $g_k$ и PRF с существенным преимуществом. Позволять $\mathcal{R}$ быть сокращением, которое имеет доступ к $\mathcal{А}$ и хочет нарушить безопасность PRF $f$. В обеих играх, $б=0$ обозначает реальный мир и $б=1$ случайный мир, где вместо $f$ или же $g_k$.

В начале игры, $\mathcal{R}$ выбирает $к$ случайно. Когда $\mathcal{А}$ запросы на $х$, $\mathcal{R}$ запросы на $х$ и $x\oплюс k$, XOR результат и отправить его обратно в $\mathcal{А}$. Когда $\mathcal{А}$ возвращает свою догадку $b'$, $\mathcal{R}$ возвращает тот же бит.

Чтобы доказать, что $\mathcal{R}$ имеет существенное преимущество, нам просто нужно показать, что он идеально имитирует оракул, реализующий $g_k$. В случае $б=0$, это так, ничем не отличается $\mathcal{R}$ от оракула, реализующего $g_k$. Если $б=1$ Однако, $\mathcal{А}$ рассчитывает получить $\пи(х)$ для случайной функции $\пи$, пока получает $\pi(x)\oplus\pi(x\oplus k)$. $\пи(х)$ равномерно случайна и по определению случайной функции не связана с $\пи(х\оплюс к)$, И что $\mathcal{R}$ возвращается в $\mathcal{А}$ также является равномерно случайным. Следует отметить, что теперь, когда $\пи$ был определен на $х$ и дальше $x\oплюс k$, $\mathcal{А}$ может предсказать стоимость шифрования $x\oплюс k$ так как это было бы то же самое, что $х$с. С $\mathcal{А}$ не знает $к$, это не возможная стратегия. Следовательно, $\mathcal{А}$ не может различить эти ситуации.

Верно ли это доказательство? Что меня беспокоит, так это то, что у этого нового PRF много коллизий, что довольно удивительно для PRF, но я думаю, что противник не может их найти, если не узнает $к$.

204
1 + 1
флаг pe
Samuel Neves
Итак, в идеальном мире есть два плохих события: $k = 0$ с вероятностью $2^{-n}$ и $x_i = x_j \oplus k, 0 \le i
2
Ответить
Рейтинг:4
avatar Crypto
флаг us
Mikero

То, что вы написали, является правильной и точной интуицией. Противник действительно не может отличить не "догадываясь" $к$. Это можно формализовать, и именно этой формализации, кажется, не хватает в вашем посте.

Вот набросок традиционного игрового доказательства безопасности. Без ограничения общности предположим, что злоумышленник никогда не повторяет запрос.

Настоящий гибрид:

  • Выбрать случайным образом $к$ и случайная функция $\пи$
  • На каждый запрос злоумышленника $х$, ответьте с $\pi(x) \oplus \pi(k \oplus x)$

Гибрид 1:

  • Выбрать случайным образом $к$ и случайная функция $г$
  • На каждый запрос злоумышленника $х$, если был предыдущий запрос на $x \oплюс k$ затем вернуться $g(x \oplus k)$; в противном случае вернуться $г(х)$

Идеальный гибрид:

  • Выбрать случайным образом $к$ и случайная функция $г$
  • На каждый запрос злоумышленника $х$, возвращаться $г(х)$

Вот наблюдения, завершающие доказательство:

  1. Реальный гибрид и гибрид №1 распределены одинаково. Следуя логике настоящего гибрида: если не было предварительного запроса на $x \oплюс k$, то оба $\пи(х)$ и $\pi(x \oplus k)$ до сих пор не зависят от точки зрения противника, так что результат точно равномерен. В противном случае результатом будет точно ответ на запрос на $x\oплюс k$. Это в точности соответствует логике Гибрида №1.

  2. В гибриде № 1 и идеальном гибриде определите «плохое событие» как случай, когда злоумышленник запрашивает $х$ после предварительного запроса $x \oплюс k$. Обратите внимание, что два гибрида выполняют одни и те же операции (давая одинаковые/независимые ответы), пока не произойдет это плохое событие. Таким образом, эти два гибрида являются «идентичными до плохого» в терминологии Белларе и Рогауэй. Согласно «Фундаментальной лемме» Беллара-Рогауэя, вероятность различения противника ограничена вероятностью того, что плохое событие произойдет в идеальном гибриде.

  3. Какова вероятность плохого события в идеальном гибриде? Преимущество этого гибрида в том, что точка зрения противника явно не зависит от $к$ --- это ничего бы не изменило представить $к$ быть избранным после противник закончил делать все свои запросы. Если $к$ выбирается после запросов противника, то мы видим, что плохое событие происходит, если существуют запросы $x_i, x_j$ такой, что $k = x_i \oplus x_j$. С $q$ запросов там самое большее $q^2$ возможные значения $x_i \oplus x_j$, так $\Pr[плохой] \le q^2/2^n$, куда $n$ длина $х$с.

В целом, отличительное преимущество противника ограничено $q^2/2^n$.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.