安全性归约（游戏）

基于游戏的安全性定义

在将攻击 $\Gamma$ 的算法 $A^{\prime }$ 归约到攻击 $\Pi$ 的算法 $A$ 时，

1. 让 $A^{\prime }$ 根据 $C{h}_{\Gamma }$ 提供的信息，为 $A$ 模拟出同分布的 $C{h}_{\Pi }$，
2. 然后 $A^{\prime }$ 根据 $A$ 针对 $C{h}_{\Pi }$ 的输出，计算出针对 $C{h}_{\Gamma }$ 的输出。

归约中的概率关系

某事件发生

归约过程中，$A^{\prime }$ 归约到 $A$，两算法 $A,A^{\prime }$ 的成功概率关系式为：
$$Pr[A^{\prime }=1]=Pr[A=1\wedge E]$$
其中 $E$ 是 guess 事件，与事件 $A=1$ 相互独立。

对于事件 $A,B$，由于相互独立，因此
$$\begin{array}{rl}Pr[A,B]& =Pr[A,B]=Pr[A]\cdot Pr[B]\end{array}$$
类似的，
$$\begin{array}{rl}Pr[A\wedge B_1\wedge \cdots \wedge B_t]& =Pr[A]\cdot Pr[B_1\wedge \cdots \wedge B_t]\end{array}$$

假设

1. 算法 $A$ 的成功率 $Pr[A=1]\ge 1/p_1(n)$ 不可忽略，
2. 同时 $Pr[E]=1/p_2(x)$ 是多项式的，

那么算法 $A^{\prime }$ 的成功率也不可忽略，
$$Pr[A^{\prime }=1]\ge \frac{1}{p_1(n)p_2(n)}$$

某事件不发生

归约过程中，$A^{\prime }$ 归约到 $A$，两算法 $A,A^{\prime }$ 的成功概率关系式为：
$$Pr[A^{\prime }=1]=Pr[A=1\wedge \overline{E}]$$

其中 $E$ 是 abort / stop 事件。

对于事件 $A,B$，由于 $1=Pr[A,B]+Pr[A,\overline{B}]+Pr[\overline{A},B]+Pr[\overline{A},\overline{B}]$，因此
$$\begin{array}{rl}Pr[A,\overline{B}]& =Pr[A]-Pr[B]+Pr[\overline{A},B]\\ & \ge Pr[A]-Pr[B]\end{array}$$

类似的，
$$\begin{array}{rl}Pr[A\wedge {\overline{B}}_1\wedge \cdots \wedge {\overline{B}}_t]& =Pr[A]-Pr[\overline{{\overline{B}}_1\wedge \cdots \wedge {\overline{B}}_t}]+Pr[\overline{A}\wedge \overline{{\overline{B}}_1\wedge \cdots \wedge {\overline{B}}_t}]\\ & \ge Pr[A]-Pr[\overline{{\overline{B}}_1\wedge \cdots \wedge {\overline{B}}_t}]\\ & =Pr[A]-Pr[B_1\vee \cdots \vee B_t]\\ & \ge Pr[A]-\sum _{i=1}^{t}Pr[B_i]\end{array}$$

假设

1. 算法 $A$ 的成功率 $Pr[A=1]\ge 1/p_1(n)$ 不可忽略，
2. 同时 $E$ 发生的概率足够小，即 $1/p_1(n)-Pr[E]\ge 1/p_2(x)$，一般地 $Pr[E]=negl(n)$

那么算法 $A^{\prime }$ 的成功率也不可忽略，
$$Pr[A^{\prime }=1]\ge Pr[A]-Pr[E]\ge 1/p_1(n)-negl(n)$$

互斥事件

归约过程中，$A_1^{\prime }$ 归约到 $A$，且 $A_2^{\prime }$ 归约到 $A$

算法 $A,A_1^{\prime }$ 的成功概率关系式为：
$$Pr[A_1^{\prime }=1]=Pr[A=1\wedge \overline{E}]$$
算法 $A,A_2^{\prime }$ 的成功概率关系式为：
$$Pr[A_2^{\prime }=1]=Pr[E]$$
其中 $E$ 是 if-else 事件，它使得 $A_1^{\prime }=1,A_2^{\prime }=1$ 不会同时发生。

由于
$$\begin{array}{rl}Pr[A=1]& =Pr[A=1\wedge \overline{E}]+Pr[A=1\wedge E]\\ & =Pr[A_1^{\prime }=1]+Pr[A=1\wedge E]\\ & \le Pr[A_1^{\prime }=1]+Pr[E]\\ & =Pr[A_1^{\prime }=1]+Pr[A_2^{\prime }=1]\end{array}$$
于是，
$$Pr[A_1^{\prime }=1]\ge Pr[A=1]-Pr[A_2^{\prime }=1]$$
如果算法 $A$ 的成功率 $Pr[A=1]\ge 1/poly(n)$ 不可忽略，

• 要么 $Pr[A_2^{\prime }=1]\ge 1/poly(n)$，$A_2^{\prime }$ 的成功率不可忽略
• 要么 $Pr[A_2^{\prime }=1]\le negl(n)$，此时有 $Pr[A_1^{\prime }=1]\ge Pr[A=1]-negl(n)$，$A_1^{\prime }$ 的成功率不可忽略