Làm cách nào để xây dựng PRF định kỳ từ PRF?

Tristan Nemoz

13:44, 07/10/2022

Câu hỏi này có thể liên quan đến cái này, mặc dù việc xây dựng khác nhau.

Chúng ta hãy xem xét một PRF $f$. Chúng tôi xác định $g_k$ như $g_k(x)=f(x)\oplus f(x\oplus k)$. Là $g_k$ một PRF, giả sử $k$ được chọn ngẫu nhiên?

Tôi đã cố gắng chứng minh điều này như sau. Chúng ta hãy xem xét một đối thủ $\mathcal{A}$ mà có thể phân biệt giữa $g_k$ và một PRF với lợi thế không đáng kể. Để cho $\mathcal{R}$ là một giảm có quyền truy cập vào $\mathcal{A}$ và muốn phá vỡ bảo mật PRF của $f$. Trong cả hai trò chơi, $b=0$ biểu thị thế giới thực và $b=1$ thế giới ngẫu nhiên, nơi một chức năng thực sự ngẫu nhiên được áp dụng thay vì $f$ hoặc $g_k$.

Khi bắt đầu trò chơi, $\mathcal{R}$ chọn $k$ ngẫu nhiên. Khi nào $\mathcal{A}$ truy vấn cho $x$, $\mathcal{R}$ truy vấn cho $x$ và $x\oplus k$, XOR kết quả và gửi lại cho $\mathcal{A}$. Khi nào $\mathcal{A}$ trả về dự đoán của nó $b'$, $\mathcal{R}$ trả về cùng một bit.

để chứng minh rằng $\mathcal{R}$ có một lợi thế không đáng kể, chúng ta chỉ cần chứng minh rằng nó mô phỏng hoàn hảo việc triển khai tiên tri $g_k$. Trong trường hợp $b=0$, nó là trường hợp, không có gì khác biệt $\mathcal{R}$ từ một oracle thực hiện $g_k$. Nếu $b=1$ Tuy vậy, $\mathcal{A}$ mong đợi để có được $\pi(x)$ cho một chức năng ngẫu nhiên $\pi$, trong khi nó nhận được $\pi(x)\oplus\pi(x\oplus k)$. $\pi(x)$ là ngẫu nhiên thống nhất và, theo định nghĩa của một hàm ngẫu nhiên, không liên quan đến $\pi(x\oplus k)$, Vậy thì sao $\mathcal{R}$ trở lại đây $\mathcal{A}$ là thống nhất ngẫu nhiên quá. Nó được biểu thị rằng bây giờ $\pi$ đã được xác định trên $x$ và hơn thế nữa $x\oplus k$, $\mathcal{A}$ có thể dự đoán giá trị mã hóa của $x\oplus k$ vì điều này sẽ giống như $x$'S. Từ $\mathcal{A}$ không biết $k$, đây không phải là một chiến lược khả thi. Vì thế, $\mathcal{A}$ không phân biệt được giữa các tình huống này.

Bằng chứng này có đúng không? Điều làm tôi khó chịu là PRF mới này có rất nhiều va chạm, điều này khá ngạc nhiên đối với PRF, nhưng tôi nghĩ rằng đối thủ không thể tìm thấy chúng trừ khi họ biết $k$.

204

1 + 1

an ninh có thể chứng minh được

chức năng giả ngẫu nhiên

Samuel Neves

16:52, 07/10/2022

Chà, có hai sự kiện tồi tệ trong thế giới lý tưởng: $k = 0$, với xác suất là $2^{-n}$, và $x_i = x_j \oplus k, 0 \le i

Hồi đáp

Điểm:4

Crypto

Mikero

16:47, 07/10/2022

Những gì bạn đã viết là trực giác chính xác và chính xác. Đối thủ quả thực không thể phân biệt nếu không "đoán" $k$. Điều này có thể được chính thức hóa và chính sự chính thức hóa này dường như bị thiếu trong bài đăng của bạn.

Đây là một bản phác thảo về bằng chứng bảo mật dựa trên trò chơi truyền thống. Không mất tính tổng quát, giả sử đối thủ không bao giờ lặp lại truy vấn.

Lai thật:

Chọn ngẫu nhiên $k$ và một chức năng ngẫu nhiên $\pi$
Đối với mọi truy vấn của đối thủ $x$, có trách nhiệm với $\pi(x) \oplus \pi(k \oplus x)$

Lai 1:

Chọn ngẫu nhiên $k$ và một chức năng ngẫu nhiên $g$
Đối với mọi truy vấn của đối thủ $x$, nếu có một truy vấn trước đó trên $x \oplus k$ Sau đó trở lại $g(x \oplus k)$; nếu không trở lại $g(x)$

lai lý tưởng:

Chọn ngẫu nhiên $k$ và một chức năng ngẫu nhiên $g$
Đối với mọi truy vấn của đối thủ $x$, trở lại $g(x)$

Đây là những quan sát hoàn thành bằng chứng:

Lai thực và lai # 1 được phân phối giống hệt nhau. Theo logic của kết hợp thực: nếu không có truy vấn trước về $x \oplus k$, thì cả hai $\pi(x)$ và $\pi(x \oplus k)$ độc lập với quan điểm của đối thủ cho đến nay, vì vậy kết quả là hoàn toàn giống nhau. Mặt khác, kết quả chính xác là phản hồi từ truy vấn trên $x\oplus k$. Điều này hoàn toàn phù hợp với logic của Hybrid #1.
Trong Kết hợp #1 và kết hợp lý tưởng, hãy xác định "sự kiện xấu" là trường hợp đối thủ truy vấn $x$ sau khi truy vấn trước đó $x \oplus k$. Lưu ý rằng hai phép lai thực hiện chính xác các hoạt động giống nhau (đưa ra phản hồi thống nhất/độc lập) cho đến khi sự kiện xấu này xảy ra. Do đó, hai giống lai này là "giống hệt nhau cho đến khi xấu" theo thuật ngữ của Bellare & Rogaway. Theo "Bổ đề cơ bản" của Bellare-Rogaway, xác suất phân biệt của đối thủ bị giới hạn bởi xác suất mà sự kiện xấu xảy ra trong phép lai lý tưởng.
Xác suất của sự kiện xấu trong lai lý tưởng là gì? Một điều hay về sự kết hợp này là quan điểm của đối thủ rõ ràng là độc lập với $k$ --- nó sẽ thay đổi không có gì để tưởng tượng $k$ được chọn sau đó kẻ thù đã thực hiện xong tất cả các truy vấn của nó. Nếu $k$ được chọn sau các truy vấn của đối thủ, thì chúng tôi thấy rằng sự kiện xấu sẽ xảy ra nếu tồn tại các truy vấn $x_i, x_j$ như vậy mà $k = x_i \oplus x_j$. Với $q$ truy vấn ở đó nhiều nhất $q^2$ các giá trị có thể có của $x_i \oplus x_j$, Vì thế $\Pr[xấu] \le q^2/2^n$, ở đâu $n$ là chiều dài của $x$'S.

Nhìn chung, lợi thế phân biệt của đối thủ bị giới hạn bởi $q^2/2^n$.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to build a periodic PRF from a PRF?

TH: จะสร้าง PRF เป็นระยะจาก PRF ได้อย่างไร

RO: Cum se construiește un PRF periodic dintr-un PRF?

RU: Как построить периодический PRF из PRF?

VI: Làm cách nào để xây dựng PRF định kỳ từ PRF?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.