Рейтинг:0

Является ли эта конструкция OWF?

флаг cn

Учитывая функцию OWF $f: \{0,1\}^{2\лямбда} \стрелка вправо \{0,1\}^{2\лямбда}$ и ЭГП $G: \{0,1\}^{\lambda} \rightarrow \{0,1\}^{2\lambda}$, является следующей функцией $ф^*$ ОВФ?

\начать{выравнивать} f^*: \{0,1\}^{\lambda} &\to \{0,1\}^{2\lambda}\ х &\ к f ^ * (x) = f (G (x) \ oplus (0 ^ {\ lambda} || x)) \end{выравнивание}

Моя идея состоит в том, что это безопасно, главным образом потому, что функция $f$ является OWF, но я не смог это доказать.Более того, я думал, что может быть замешана вероятность столкновения его ввода, но это не более чем интуиция.

флаг cn
Подсказка: пусть $G'$ будет PRG. Тогда $G$, определяемый как $G(x_1\|x_2) = G(x_1)||x_2$ для достаточно длинного $x_1$, также является PRG.
kelalaka avatar
флаг in
@Maeher достаточно долго =?
флаг cn
@kelalaka Подойдет любая постоянная дробь. Скажем, 1/2 входной длины для бетонной конструкции.
zingiest avatar
флаг cn
@Maeher, я должен построить контрпример с твоей подсказкой?
флаг cn
Это может сработать.
zingiest avatar
флаг cn
@Maeher, я думаю, что на основе вашей подсказки мы можем построить функцию $f^*(x_1||x_2) = f(G'(x_1)||x_2 \oplus (0^{\lambda}||x1||x2 ))$ и если у нас есть $|G'(x_1)| = \lambda + |x1|$ мы также имеем, что вторая часть входа $f$ всегда равна нулю (из-за xor). Следовательно, вероятность нахождения прообраза $f^*$ ограничена выбором $x_1$ в этом случае. Но нам нужен достаточно большой $x_1$, чтобы иметь PRG... Учитывая $|x_1|=\lambda/2$, как в вашем примере, у нас все еще есть вероятность найти прообраз $2^{-\lambda /2}$, которым можно пренебречь.
kelalaka avatar
флаг in
Вы уверены, что параметры? делает $f^*$ из $2\lambda$ или $\lambda$, так как $G$ из $\lambda$. Также @Maeher хотел написать $G(x_1\|x_2) = G'(x_1)||x_2$, что является конструкцией для жалкого примера $PRG$ в ....
zingiest avatar
флаг cn
@kelalaka $f*$ принимает на вход длину $\lambda$, которая может быть $x_1||x_2$. Но я не понимаю, где может быть контрпример, учитывая, что $G(x_1||x_2) = G'(x_1)||x_2 безопасно для достаточно больших $x_1$.
флаг cn
Подсказка 2: гарантированно трудно инвертировать OWF только в том случае, если входные данные отбираются в соответствии с равномерным распределением. Распределение, которое содержит только входные данные, оканчивающиеся на множество нулей, очень далеко (и легко отличимо от) однородного.
zingiest avatar
флаг cn
Поэтому я подумал о создании «тупого» OWF $f'(x) $, который в случае, если последние биты $\lambda$ его ввода равны нулю, выводит сам ввод или, в противном случае, нормальный вывод $f$. Функция по-прежнему должна быть OWF, потому что вероятность случайного ввода, заканчивающегося на $0^{\lambda}$, равна $2^{-\lambda}$ и, следовательно, незначительна. Но даже если злоумышленник увидит $G'(x)\oplus(0^{\lambda}||x)$, что он может с этим сделать? Как он может вычесть $x$? (Кстати, большое спасибо за помощь!)
флаг cn
Есть и другие способы, с помощью которых OWF может вести себя глупо. Помните, вам не нужно находить $x$. Вам просто нужно найти *прообраз*, а не *тот же* прообраз.
zingiest avatar
флаг cn
Думаю, я понял! Я строю OWF $f'$, который возвращает $1^{2\lambda}$, если последние ${\lambda/2}$ биты входных данных равны $0$, а на выходе нормального OWF $f$ в противном случае. $f'$ является OWF, потому что вероятность случайного ввода, оканчивающегося на $0^{\lambda/2}$, равна $2^{-\lambda/2}$, но конструкцию $f*$ можно легко сломать, поскольку Злоумышленник всегда будет получать $1^{2\lambda}$, поэтому для победы ему достаточно отправить прообраз, оканчивающийся битами $0^{\lambda/2}$. Это правильно?
флаг cn
Ваш контрпример должен сработать. Хорошей практикой является запись доказательств того, что построенные вами $f$ и $G$ на самом деле являются безопасными OWF и PRG соответственно. Ваша атака тоже работает, но более специфична, чем необходимо. $f^*(x_1\|x_2) = f(G(x_1\|x_2)\oplus(0^\lambda\|x_1\|x_2) = f((G'(x_1)\|x_2)\oplus( 0^\lambda\|x_1\|x_2) = f((G'(x_1)\oplus 0^\lambda\|x_1) \|0^{\lambda/2}) = 1^{2\lambda}$ поэтому $f^*$ является *константной* функцией и *любое* значение $2\lambda$ является допустимым прообразом.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.