安全性归约（安全性定义 - 1）

继续 “安全性归约” 内容的整理。下面列出了各种安全性定义，方便查找。

不可区分性

概率总体：令 $I$ 是可抽样的可数（有限/无限）集合，由 $I$ 索引的随机变量序列记为 X = { X i } i ∈ I X = \{X_i\}_{i \in I} X={Xi​}i∈I​，其中 $\forall i\in I,X_i$ 是域 D i ⊂ { 0 , 1 } ∗ D_i \sub \{0,1\}^* Di​⊂{0,1}∗ 上的随机变量。

可有效重构：概率总体 X = { X n } n ∈ N X = \{X_n\}_{n \in \mathbb N} X={Xn​}n∈N​，存在 PPT 算法 $S$，对于任意的 $n$，使得 $S(1^n)$ 与 $X$ 同分布。

一致计算不可区分：两个概率总体 X = { X n } n ∈ N , Y = { Y n } n ∈ N X = \{X_n\}_{n \in \mathbb N}, Y = \{Y_n\}_{n \in \mathbb N} X={Xn​}n∈N​,Y={Yn​}n∈N​ 计算不可区分，如果对于任意 PPT 区分器 $D$，存在 $N$ 使得 $n\ge N$（当 $n$ 充分大），有
$$\left|\underset{X_n,D}{\mathrm{Pr}}[D(X_n,1^n)=1]-\underset{Y_n,D}{\mathrm{Pr}}[D(Y_n,1^n)=1]\right|\le negl(n)$$

非一致计算不可区分：指标集合 I ⊆ { 0 , 1 } ∗ I \subseteq \{0,1\}^* I⊆{0,1}∗，两个概率总体 X = { X s } s ∈ I , Y = { Y s } s ∈ I X = \{X_s\}_{s \in I}, Y = \{Y_s\}_{s \in I} X={Xs​}s∈I​,Y={Ys​}s∈I​ 非一致（Non-Uniform）计算不可区分，如果对于任意的非一致 PPT 电路簇 { C n : Ω s → { 0 , 1 } } n \{C_n:\Omega_s \to \{0,1\}\}_n {Cn​:Ωs​→{0,1}}n​，以及充分长的 $s$，都有
$$\left|\underset{X_s,C_{|s|}}{\mathrm{Pr}}[C_{|s|}(X_s)=1]-\underset{Y_s,C_{|s|}}{\mathrm{Pr}}[C_{|s|}(Y_s)=1]\right|\le negl(|s|)$$

统计距离（statistical distance）：样本空间 $\Gamma$ 上的两个随机分布（变量） $X,Y$，
$$\begin{array}{rl}\Delta (X,Y)& :=\frac{1}{2}\sum _{\alpha \in \Gamma }|Pr[X=\alpha ]-Pr[Y=\alpha ]|\\ & :=\underset{S\subseteq \Gamma }{\max }|Pr[X\in S]-Pr[Y\in S]|\end{array}$$

统计（信息论）不可区分：两个概率总体 X = { X n } n ∈ N , Y = { Y n } n ∈ N X = \{X_n\}_{n \in \mathbb N}, Y = \{Y_n\}_{n \in \mathbb N} X={Xn​}n∈N​,Y={Yn​}n∈N​ 统计接近，如果它们的统计距离
$$\Delta (X_n,Y_n):=\frac{1}{2}\sum _{\alpha }\left|Pr[X_n=\alpha ]-Pr[Y_n=\alpha ]\right|\le negl(n)$$

密码原语

OWF

单向函数：一个函数 $f$ 称为单向函数，如果

1. 容易计算：存在多项式时间算法 $A$，使得 $A(x)=f(x)$

2. 难以求逆：对于任意的 PPT 算法 $A$，当 $n$ 充分大，有
   $$\underset{x\leftarrow U_n,A}{\mathrm{Pr}}[A(f(x),1^n)\in f^{-1}(f(x))]\le negl(n)$$

弱单向函数：一个函数 $f$ 称为弱单向函数，如果

1. 容易计算：存在多项式时间算法 $A$，使得 $A(x)=f(x)$

2. 难以求逆：存在多项式 $poly(\cdot )$，对于任意的 PPT 算法 $A$，当 $n$ 充分大，有
   $$\underset{x\leftarrow U_n,A}{\mathrm{Pr}}[A(f(x),1^n)\in f^{-1}(f(x))]\le 1-\frac{1}{poly(n)}$$

单向函数簇：函数簇 { f i : D i → R i } i ∈ I \{f_i:D_i \to R_i\}_{i \in I} {fi​:Di​→Ri​}i∈I​ 称为单向函数簇，记做 $(I,D,F)$，如果

1. 可有效抽样：存在 PPT 抽样算法 $I,D$，
   $$i\leftarrow I(1^n),x\leftarrow D(i,1^n)$$
   使得 i ∈ R I ∩ { 0 , 1 } n i \in_R I \cap \{0,1\}^n i∈R​I∩{0,1}n，$x{\in }_R{D}_i$

2. 可有效计算：存在 PPT 算法 $F$，对于 $\forall i\leftarrow I(1^n),\forall x\leftarrow D(i,1^n)$
   $$F(i,x)=f_i(x)\in R_i$$

3. 单向性：对于任意的 PPT 算法 $A$，当 $n$ 充分大，有
   $$Pr[A(i,y,1^n)\in f_i^{-1}(y):i\leftarrow I(1^n),x\leftarrow D(i,1^n),y=F(i,x)]\le negl(n)$$

单向陷门函数簇：设 $I=(I_1,I_2)$，函数簇 $(I,D,F,F^{-1})$ 称为单向陷门函数簇，如果

1. $(I_1,D,F)$ 是单向函数簇

2. 存在 PPT 算法 $F^{-1}$，使得对于 $\forall (i,t)\leftarrow I(1^n),\forall x\leftarrow D(i,1^n)$
   $$F^{-1}(t,f_i(x))\in f_i^{-1}(f_i(x))$$

硬核谓词：设 b : { 0 , 1 } ∗ → { 0 , 1 } b:\{0,1\}^* \to \{0,1\} b:{0,1}∗→{0,1} 是可有效计算的函数，称它为函数 $f$ 的硬核谓词，如果对于任意的 PPT 算法 $A$，当 $n$ 充分大，有
$$\underset{x\leftarrow U_n,A}{\mathrm{Pr}}[A(f(x),1^n)=b(x)]\le \frac{1}{2}+negl(n)$$

也就是说，$b(U_n)\equiv U_1$ 统计不可区分；反之不成立。同时 $(f(U_n),b(U_n))\stackrel{c}{\equiv }(f(U_n),U_1)$ 计算不可区分。

PRG

伪随机性：概率总体 X = { X n } n ∈ N X = \{X_n\}_{n \in \mathbb N} X={Xn​}n∈N​ 称为伪随机的，如果存在多项式 $l(\cdot )$，均匀分布的概率总体 U = { U l ( n ) } n ∈ N U = \{U_{l(n)}\}_{n \in \mathbb N} U={Ul(n)​}n∈N​，它们是（一致、非一致）计算不可区分的。即：对于任意的 PPT 区分器 { D n } n ∈ N \{D_n\}_{n \in \mathbb N} {Dn​}n∈N​，当 $n$ 充分大，有
$$\left|\underset{X_n,D_{l(n)}}{\mathrm{Pr}}[D_{l(n)}(X_n,1^n)=1]-\underset{U_{l(n)},D_{l(n)}}{\mathrm{Pr}}[D_{l(n)}(U_{l(n)},1^n)=1]\right|\le negl(l(n))$$

伪随机生成器：可有效计算的确定性算法 $G$ 称为伪随机生成器，如果

1. 扩展性：存在函数 $l:\mathbb{N}\to \mathbb{N}$，满足 $l(n)>n$，对于任意的 $s$ 都有 $|G(s)|=l(|s|)$，称 $l(\cdot )$ 是扩张因子
2. 伪随机性：概率总体 { G ( U n ) } n ∈ N \{G(U_n)\}_{n \in \mathbb N} {G(Un​)}n∈N​ 是伪随机的

不可预测性：设 $X_n$ 是 { 0 , 1 } l ( n ) \{0,1\}^{l(n)} {0,1}l(n) 上随机分布，概率总体 X = { X n } n ∈ N X = \{X_n\}_{n \in \mathbb N} X={Xn​}n∈N​ 称为（多项式时间）不可预测的，如果对于任意 PPT 算法 $A$，任意的 $i\in [1,\cdots ,l]$，当 $n$ 充分大，有
$$Pr[A(x_1,\cdots ,x_{i-1},1^n)=x_i:x=x_1\cdots x_l\leftarrow X_n]\le \frac{1}{2}+negl(n)$$

PRF

函数总体：设 F = { f s : { 0 , 1 } l ( ∣ s ∣ ) → { 0 , 1 } d ( ∣ s ∣ ) } s ∈ { 0 , 1 } ∗ F = \{f_s: \{0,1\}^{l(|s|)} \to \{0,1\}^{d(|s|)} \}_{s \in \{0,1\}^*} F={fs​:{0,1}l(∣s∣)→{0,1}d(∣s∣)}s∈{0,1}∗​ 是函数簇，$F_n$ 是由均匀选取的 s ← R { 0 , 1 } n s \leftarrow_R \{0,1\}^n s←R​{0,1}n 诱导的函数集合 { f s } s ∈ { 0 , 1 } n \{f_s\}_{s \in \{0,1\}^n} {fs​}s∈{0,1}n​ 上的随机变量，称 F = { F n } n ∈ N F=\{F_n\}_{n \in \mathbb N} F={Fn​}n∈N​ 是函数总体。

可有效计算：函数总体 F = { F n } n ∈ N F = \{F_n\}_{n \in \mathbb N} F={Fn​}n∈N​，

1. 存在 PPT （抽样）算法 $S$，对于任意的 $n$，使得 $S(1^n)$ 与 $F_n$ 同分布

2. 存在 PPT （求值）算法 $E$，对于任意的 $f_s\leftarrow S(1^n)$，任意的 x ∈ { 0 , 1 } l ( n ) x \in \{0,1\}^{l(n)} x∈{0,1}l(n)，有
   $$E(1^n,f_s,x)=f_s(x)$$

随机函数：在 F { 0 , 1 } l ( n ) , { 0 , 1 } d ( n ) F_{\{0,1\}^{l(n)}, \{0,1\}^{d(n)}} F{0,1}l(n),{0,1}d(n)​ 上的均匀分布记为 $R{F}_n^{l,d}$（简记为 $R{F}_n$），函数总体 R F = { R F n l , d } n RF=\{RF_n^{l,d}\}_n RF={RFnl,d​}n​ 称为随机函数。使用函数的通用编码，可以认为 $R{F}_n=U_{d(n)\cdot 2^{l(n)}}$

伪随机函数：可有效编码的函数 $F_n$ 称为是伪随机的，如果对于任意 PPT 算法 $A$，任意的 $i\in poly(n)$，当 $n$ 充分大，其 $2^l$ 次掷硬币具有不可预测性
$$Pr[A(y_1,\cdots ,y_{i-1},1^n)=y_i:y=y_1\cdots y_{2^l}\leftarrow F_n]\le \frac{1}{2^d}+negl(n)$$

为方便使用，修改为：对于任意 PPT 区分器 $D$，与 $Ch$ 间做判定实验 $Exp{t}_D^{F_n,R{F}_n}(1^n,b)$，有
$$Ad{v}_D:=\left|Pr[Exp{t}_D^{F_n,R{F}_n}(1^n,0)=1]-Pr[Exp{t}_D^{F_n,R{F}_n}(1^n,1)=1]\right|\le negl(n)$$

伪随机函数总体：函数总体 F = { F n } n ∈ N F=\{F_n\}_{n \in \mathbb N} F={Fn​}n∈N​ 称为伪随机函数总体，如果对于任意的 PPT 带 Oracle 区分器 $D$，当 $n$ 充分大，其区分优势可忽略
$$Ad{v}_D:=\left|Pr[D^{F_n}(1^n)=1]-Pr[D^{R{F}_n}(1^n)=1]\right|\le negl(n)$$

将 $F_n,R{F}_n$ 都视为 { 0 , 1 } d 2 l \{0,1\}^{d2^l} {0,1}d2l 的编码，区分器 $D$ 随机检测多项式个函数值。

伪随机合成器：设 S n : { 0 , 1 } n × { 0 , 1 } n → { 0 , 1 } n S_n: \{0,1\}^n \times \{0,1\}^n \to \{0,1\}^n Sn​:{0,1}n×{0,1}n→{0,1}n，函数簇 S = { S n } n ∈ N S=\{S_n\}_{n \in \mathbb N} S={Sn​}n∈N​ 称为伪随机合成器，如果下述两个概率总体计算不可区分
{ S ( a i , b j ) : a i , b j ∈ R { 0 , 1 } n } i , j = 1 k ≡ c { c i , j : c i , j ∈ R { 0 , 1 } n } i , j = 1 k \{S(a_i,b_j): a_i,b_j \in_R \{0,1\}^n\}_{i,j=1}^k \overset{c}{\equiv} \{c_{i,j}: c_{i,j} \in_R \{0,1\}^n\}_{i,j=1}^k {S(ai​,bj​):ai​,bj​∈R​{0,1}n}i,j=1k​≡c{ci,j​:ci,j​∈R​{0,1}n}i,j=1k​

弱伪随机函数：设 f s : { 0 , 1 } n → { 0 , 1 } n f_s:\{0,1\}^n \to \{0,1\}^n fs​:{0,1}n→{0,1}n， F n = { f s } s ← I ( 1 n ) F_n = \{f_s\}_{s \leftarrow I(1^n)} Fn​={fs​}s←I(1n)​， X = ( x 1 , ⋯   , x m ) ∈ { 0 , 1 } m n X = (x_1,\cdots,x_m) \in \{0,1\}^{mn} X=(x1​,⋯,xm​)∈{0,1}mn，定义
$$(X,f_s(X))=((x_1,f_s(x_1)),\cdots ,(x_m,f_s(x_m)))$$

函数总体 F = { F n } n ∈ N F = \{F_n\}_{n \in \mathbb N} F={Fn​}n∈N​ 称为是弱伪随机的，如果对于任意 PPT 算法 $A$，任意多项式 $k(\cdot )$，令 $U_n^k$ 表示 $k$ 次独立抽样（而 PRF 不要求“独立”），对于充分大的 $|s|$，有
$$\left|\underset{X{\leftarrow }_R{U}_n^k}{\mathrm{Pr}}[A(X,F_n(X))=1]-\underset{(X,Y){\leftarrow }_R{U}_{2n}^k}{\mathrm{Pr}}[A(X,Y)=1]\right|\le negl(n)$$

强伪随机置换：置换函数 $F_n\subseteq P_n$ 称为强伪随机的，如果对于任意的 PPT 带双向 Oracles 区分器 $D$，当 $n$ 充分大，其区分优势可忽略
$$Ad{v}_D:=\left|Pr[D^{F_n,F_n^{-1}}(1^n)=1]-Pr[D^{P_n,P_n^{-1}}(1^n)=1]\right|\le negl(n)$$

Hash 方案

Hash 函数：函数簇 H = { H s : { 0 , 1 } ∗ → { 0 , 1 } l ( λ ) } s ∈ I ∗ H = \{H_s: \{0,1\}^* \to \{0,1\}^{l(\lambda)}\}_{s \in I^*} H={Hs​:{0,1}∗→{0,1}l(λ)}s∈I∗​，其中 $l(\cdot )$ 是多项式，$|s|=\lambda$ 是安全参数

1. 可有效抽样：存在 PPT 抽样算法 $I$，使得 $s\leftarrow I(1^{\lambda })$ 满足 $s\in I^{\ast }$
2. 可有效计算：对于 $\forall s\leftarrow I(1^{\lambda })$，以及 ∀ m ∈ { 0 , 1 } ∗ \forall m \in \{0,1\}^* ∀m∈{0,1}∗，$H_s(m)$ 可有效计算

抗原像（Pre）：对于任意 PPT 算法 $A$，都有
P r A , I , y [ y = h I ( 1 λ ) ( x ′ ) :   y ← R { 0 , 1 } l ( λ ) ,   x ′ ← A ( 1 λ , I ( 1 λ ) , y ) ] ≤ n e g l ( λ ) \underset{A,I,y}{Pr}\left[ y=h_{I(1^\lambda)}(x'):\, y \leftarrow_R \{0,1\}^{l(\lambda)},\, x' \leftarrow A(1^\lambda,I(1^\lambda),y) \right] \le negl(\lambda) A,I,yPr​[y=hI(1λ)​(x′):y←R​{0,1}l(λ),x′←A(1λ,I(1λ),y)]≤negl(λ)

抗第二原像（Sec）：对于任意 PPT 算法 $A$，都有
P r A , I , x [ h I ( 1 λ ) ( x ) = h I ( 1 λ ) ( x ′ ) :   x ← R { 0 , 1 } ∗ ,   x ′ ← A ( 1 λ , I ( 1 λ ) , x ) ,   x ≠ x ′ ] ≤ n e g l ( λ ) \underset{A,I,x}{Pr}\left[ h_{I(1^\lambda)}(x)=h_{I(1^\lambda)}(x'):\, x \leftarrow_R \{0,1\}^*,\, x' \leftarrow A(1^\lambda,I(1^\lambda),x),\, x \neq x' \right] \le negl(\lambda) A,I,xPr​[hI(1λ)​(x)=hI(1λ)​(x′):x←R​{0,1}∗,x′←A(1λ,I(1λ),x),x​=x′]≤negl(λ)

抗碰撞（Coll）：对于任意 PPT 算法 $A$，都有
$$\underset{A,I}{\mathrm{Pr}}\left[h_{I(1^{\lambda })}(x)=h_{I(1^{\lambda })}(x^{\prime }):(x,x^{\prime })\leftarrow A(1^{\lambda },I(1^{\lambda })),x\ne x^{\prime }\right]\le negl(\lambda )$$

单向 Hash 函数：函数簇 H = { H s : { 0 , 1 } ∗ → { 0 , 1 } l ( λ ) } s ∈ I ∗ H = \{H_s: \{0,1\}^* \to \{0,1\}^{l(\lambda)}\}_{s \in I^*} H={Hs​:{0,1}∗→{0,1}l(λ)}s∈I∗​ 称为 OWHF，如果它抗原像且抗第二原像。

抗碰撞 Hash 函数：函数簇 H = { H s : { 0 , 1 } ∗ → { 0 , 1 } l ( λ ) } s ∈ I ∗ H = \{H_s: \{0,1\}^* \to \{0,1\}^{l(\lambda)}\}_{s \in I^*} H={Hs​:{0,1}∗→{0,1}l(λ)}s∈I∗​ 称为 CRHF，如果它抗原像且抗碰撞。

Claw-free 函数：设 $f_i^0:D_i^0\to R,f_i^1:D_i^1\to R$，一对函数簇 { f i 0 , f i 1 } i ∈ I \{f_i^0,f_i^1\}_{i \in I} {fi0​,fi1​}i∈I​ 称为无爪函数，如果

1. 可有效抽样，可有效计算
2. 令 $D(b,i)$ 是有效抽样算法，$f_i^0(D(0,i))$ 与 $f_i^1(D(1,i))$ 分布相同
3. 满足 $f_i^0(x_0)=f_i^1(x_1)$ 的 $(x_0,x_1)$ 称为一个 Claw，寻找 Claw 是困难的

一致单向 Hash 函数：函数簇 H = { H s : { 0 , 1 } t ( λ ) → { 0 , 1 } l ( λ ) } s ∈ I ∗ ⊆ { 0 , 1 } p o l y ( λ ) H = \{H_s:\{0,1\}^{t(\lambda)} \to \{0,1\}^{l(\lambda)}\}_{s \in I^* \subseteq\{0,1\}^{poly(\lambda)}} H={Hs​:{0,1}t(λ)→{0,1}l(λ)}s∈I∗⊆{0,1}poly(λ)​ 称为 UOWHF，如果

1. 有效性：可有效抽样，可有效计算

2. 收缩性：$t(\lambda )>l(\lambda )$

3. 一致单向性（Universal one-way）：对于任意 PPT 的两阶段算法 $A=(A_1,A_2)$，有
   $$\underset{A,I}{\mathrm{Pr}}\left[\begin{array}{rlr}{H}_s(x)=H_s(x^{\prime }):& & (x,z)\leftarrow A_1(1^{\lambda })\\ & & s\leftarrow I(1^{\lambda })\\ & & x^{\prime }\leftarrow A_2(1^{\lambda },s,z),x^{\prime }\ne x\end{array}\right]\le negl(\lambda )$$

   与 OWHF 的区别在于，

   • OWHF 中的 Sec，挑战者 $Ch$ 先抽样 $s\leftarrow I(1^{\lambda })$，然后 $x$ 由 $Ch$ 随机选择，最后敌手 $A$ 输出第二原像 $x’$
   • UOWHF 中的 UOW，敌手先选择 $x$（$z$ 是辅助信息），然后挑战者 $Ch$ 才抽样（或已经抽样，但没有公布） $s\leftarrow I(1^{\lambda })$，最后敌手 $A$ 输出第二原像 $x’$

高阶 UOWHF：函数簇 H = { H s : { 0 , 1 } t ( λ ) → { 0 , 1 } l ( λ ) } s ∈ I ∗ ⊆ { 0 , 1 } p o l y ( λ ) H = \{H_s:\{0,1\}^{t(\lambda)} \to \{0,1\}^{l(\lambda)}\}_{s \in I^* \subseteq\{0,1\}^{poly(\lambda)}} H={Hs​:{0,1}t(λ)→{0,1}l(λ)}s∈I∗⊆{0,1}poly(λ)​ 称为 $r$ 阶 UOWHF，简记为 $UOWHF(r)$，如果

1. 有效性：可有效抽样 $s\leftarrow I(1^{\lambda })$，可有效计算

2. 收缩性：$t(\lambda )>l(\lambda )$

3. 一致单向性：对于任意 PPT 的两阶段算法 $A=(A_1,A_2)$，有
   $$\underset{A,I}{\mathrm{Pr}}\left[\begin{array}{rlr}{H}_s(x)=H_s(x^{\prime }):& & (x,z)\leftarrow A_1^{O_{H_s}}(1^{\lambda })\\ & & s\leftarrow Ch\\ & & x^{\prime }\leftarrow A_2(1^{\lambda },s,z),x^{\prime }\ne x\end{array}\right]\le negl(\lambda )$$

两两独立 Hash 函数：函数簇 H = { h : { 0 , 1 } n → { 0 , 1 } m } H = \{h:\{0,1\}^n \to \{0,1\}^m\} H={h:{0,1}n→{0,1}m} 称为 Pairwise Independent，如果

1. 对于 ∀ x ∈ { 0 , 1 } n \forall x \in \{0,1\}^n ∀x∈{0,1}n，关于 $h$ 的随机变量 { h ( x ) } \{h(x)\} {h(x)} 是 { 0 , 1 } m \{0,1\}^m {0,1}m 上均匀分布

2. 对于 ∀ x 1 , x 2 ∈ { 0 , 1 } n \forall x_1,x_2 \in \{0,1\}^n ∀x1​,x2​∈{0,1}n，若 $x_1\ne x_2$，那么随机变量 $h(x_1)$、$h(x_2)$ 相互独立。即，$\forall x_1\ne x_2$，$\forall y_1\ne y_2$，有
   $$\underset{h\leftarrow H}{\mathrm{Pr}}[h(x_1)=y_1\wedge h(x_2)=y_2]=2^{-2m}$$