înregistrare Logare
Puncte:3
Tristan Nemoz avatar Crypto

Cum se construiește un PRF periodic dintr-un PRF?

drapel ru
Tristan Nemoz

Această întrebare poate fi legată de Aceasta, deși construcția diferă.

Să luăm în considerare un PRF $f$. Noi definim $g_k$ la fel de $g_k(x)=f(x)\oplus f(x\oplus k)$. Este $g_k$ un PRF, presupunând $k$ este ales la întâmplare?

Am încercat să demonstrez acest lucru după cum urmează. Să considerăm un adversar $\mathcal{A}$ care este capabil să distingă între $g_k$ și un PRF cu avantaj neneglijabil. Lăsa $\mathcal{R}$ fie o reducere care are acces la $\mathcal{A}$ și vrea să spargă securitatea PRF a $f$. În ambele jocuri, $b=0$ denotă lumea reală și $b=1$ lumea aleatorie, unde se aplică o funcție cu adevărat aleatorie în loc de $f$ sau $g_k$.

La începutul jocului, $\mathcal{R}$ lucruri $k$ la intamplare. Când $\mathcal{A}$ interogări pentru $x$, $\mathcal{R}$ interogări pentru $x$ și $x\oplus k$, XOR face rezultatul și îl trimite înapoi la $\mathcal{A}$. Când $\mathcal{A}$ își întoarce ipoteza $b'$, $\mathcal{R}$ returnează același bit.

Pentru a demonstra că $\mathcal{R}$ are un avantaj deloc neglijabil, trebuie doar să arătăm că simulează perfect implementarea unui oracol $g_k$. În cazul $b=0$, este cazul, nimic nu face diferență $\mathcal{R}$ dintr-o implementare oracol $g_k$. Dacă $b=1$ in orice caz, $\mathcal{A}$ se asteapta sa obtina $\pi(x)$ pentru o funcție aleatoare $\pi$, în timp ce primește $\pi(x)\oplus\pi(x\oplus k)$. $\pi(x)$ este uniform aleatorie și, prin definiția unei funcții aleatoare, nu are legătură cu $\pi(x\oplus k)$, şi ce dacă $\mathcal{R}$ se intoarce la $\mathcal{A}$ este de asemenea uniform aleatorie. Este de notat că acum că $\pi$ a fost definit pe $x$ și pe $x\oplus k$, $\mathcal{A}$ poate prezice valoarea de criptare a $x\oplus k$ deoarece aceasta ar fi la fel ca $x$lui. De cand $\mathcal{A}$ nu stie $k$, aceasta nu este o strategie posibilă. Prin urmare, $\mathcal{A}$ nu poate face distincția între aceste situații.

Este corecta aceasta dovada? Lucrul care mă deranjează este că acest nou PRF are o mulțime de ciocniri, ceea ce este destul de surprinzător pentru un PRF, dar cred că adversarul nu le poate găsi decât dacă ajunge să cunoască $k$.

204
1 + 1
drapel pe
Samuel Neves
Ei bine, există două evenimente rele în lumea ideală: $k = 0$, cu probabilitate $2^{-n}$, și $x_i = x_j \oplus k, 0 \le i
2
Răspunde
Puncte:4
avatar Crypto
drapel us
Mikero

Ceea ce ai scris este o intuiție corectă și corectă. Adversarul într-adevăr nu poate distinge fără a „ghici” $k$. Acest lucru poate fi oficializat și este această formalizare care pare să lipsească din postarea dvs.

Iată o schiță a unei dovezi tradiționale de securitate bazată pe joc. Fără a pierde generalitatea, presupunem că adversarul nu repetă niciodată o interogare.

Hibrid real:

  • Alege la întâmplare $k$ și o funcție aleatorie $\pi$
  • Pentru fiecare interogare a adversarului $x$, raspunde cu $\pi(x) \oplus \pi(k \oplus x)$

Hibrid 1:

  • Alege la întâmplare $k$ și o funcție aleatorie $g$
  • Pentru fiecare interogare a adversarului $x$, dacă a existat o interogare anterioară $x \oplus k$ apoi întoarce-te $g(x \oplus k)$; altfel reveni $g(x)$

Hibrid ideal:

  • Alege la întâmplare $k$ și o funcție aleatorie $g$
  • Pentru fiecare interogare a adversarului $x$, întoarcere $g(x)$

Iată observațiile care completează dovada:

  1. Hibridul real și hibridul #1 sunt distribuite identic. Urmând logica hibridului real: dacă nu a existat o interogare prealabilă $x \oplus k$, apoi ambele $\pi(x)$ și $\pi(x \oplus k)$ sunt independente de punctul de vedere al adversarului de până acum, deci rezultatul este exact uniform. În caz contrar, rezultatul este exact răspunsul de la interogare $x\oplus k$. Acest lucru se potrivește exact cu logica Hybrid #1.

  2. În Hybrid #1 și hibridul ideal, definiți un „eveniment rău” ca cazul în care adversarul solicită $x$ după o interogare prealabilă $x \oplus k$. Rețineți că cei doi hibrizi efectuează exact aceleași operații (dând răspunsuri uniforme/independente) până când se întâmplă acest eveniment rău. Astfel, acești doi hibrizi sunt „identici până la rău” în terminologia lui Bellare și Rogaway. Prin „Lema fundamentală” Bellare-Rogaway, probabilitatea distinctivă a adversarului este limitată de probabilitatea ca evenimentul rău să se întâmple în hibridul ideal.

  3. Care este probabilitatea evenimentului rău în hibridul ideal? Un lucru frumos despre acest hibrid este că punctul de vedere al adversarului este în mod clar independent de $k$ --- nu ar schimba nimic de imaginat $k$ fiind ales după adversarul a terminat de făcut toate întrebările. Dacă $k$ este ales după interogările adversarului, atunci vedem că evenimentul rău se întâmplă dacă există interogări $x_i, x_j$ astfel încât $k = x_i \oplus x_j$. Cu $q$ interogări acolo cel mult $q^2$ valorile posibile ale $x_i \oplus x_j$, asa de $\Pr[rău] \le q^2/2^n$, Unde $n$ este lungimea $x$lui.

În general, avantajul distinctiv al adversarului este limitat de $q^2/2^n$.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.