77、不可区分哈希函数构造与多阶段安全定义解析

不可区分哈希函数构造与多阶段安全定义解析

1. 不可区分哈希函数构造

1.1 不可区分优势分析

在相关分析中，有如下等式：
[
Pr[Game6(\lambda) = 1] = Pr[Game5(\lambda) = 1]
]
综合可得不可区分优势公式：
[
Adv_{H_h,RO,D,Sim}(\lambda) = \left|Pr\left[D_{H_h,h}(1^{\lambda}) = 1\right] - Pr\left[D_{RO,Sim^{RO}}(1^{\lambda}) = 1\right]\right| = |Pr[Game6(\lambda) = 1] - Pr[Game1(\lambda) = 1]| \leq \frac{q_{Sim}^2}{2c\cdot h.cl(\lambda)} + \frac{(q_{Sim} + (q_{RO} \cdot q_{len}^{RO}))^2}{2c\cdot h.cl(\lambda)}
]
从这个界限可以看出，安全性与隐藏状态的大小直接相关。被截断的比特越多（即 ( c ) 越大），留给区分器的隐藏状态就越多，模拟器在模拟时的余地也就越大。

1.2 其他不可区分哈希构造

除了之前提到的截断 MD（Chopped MD）在底层压缩函数 ( h ) 为固定输入长度随机预言机时与随机预言机不可区分外，还有其他一些哈希函数构造也具有不可区分性。不可区分性已成为新哈希函数的一个公认设计准则，如果一个函数不能被证明与随机预言机不可区分，很可能意味着存在实际的攻击。