22、基于有损陷门函数的高效门限加密

基于有损陷门函数的高效门限加密

1. 引理 3 的证明

假设存在 $1 \leq i \leq n - t_p$，使得 $|\Pr [X_i] - \Pr [X_{i - 1}]|$ 不可忽略。我们构造一个敌手 $C_i$，它以 $A$ 作为子程序，成功破坏 TBE 的选择性标签 CCA 安全性。

$C_i$ 的操作步骤如下：
1. 如同游戏序列的“全局”设置，$C_i$ 首先选择一个一次性签名密钥对 $(vk^ , sk^ ) \leftarrow Gen(\lambda)$，然后输出挑战标签 $\tau^ = vk^ $。
2. $C_i$ 获取 TBE 的公钥 $pk$，设置 $pki = pk$，并自行生成其余 $(n - 1)$ 个公钥/私钥对。
3. 将这些公钥以及最后 $t_p$ 个私钥提供给 $A$。
4. $C_i$ 诚实地模拟游戏 $Game_{i - 1}$ 或 $Game_i$ 的运行，直到 $A$ 提交挑战 $(m_0, m_1)$。
5. 此时，$C_i$ 选择一个随机比特 $b$，计算份额 $(s_1^ , \cdots, s_n^ ) \leftarrow Share(m_b)$，并像在 $Game_{i - 1}$ 和 $Game_i$ 中一样为 $j \neq i$ 准备 $c_j^ $。
6. $C_i$ 在自己的 CCA 实验中输出挑战 $(s_i^ , 0)$。
7. 收到密文 $\hat{c}^ $ 后，设置 $c_i^ = \hat{c}^ $，对所需内容进行签名，并