82、理想模型中通用可组合提取器（UCE）的构建与分析

理想模型中通用可组合提取器（UCE）的构建与分析

1. 引言

在密码学领域，随机预言机在构建安全的哈希函数等方面起着重要作用。而通用可组合提取器（UCE）为哈希函数提供了一种可实现的安全定义。本文将探讨在理想模型中构建 UCE 的相关内容，特别是分析 HMAC 和改进的截断 MD 哈希函数在 UCE 安全方面的特性。

2. 基本概念与前期结果

2.1 游戏概率与敌手优势

在相关分析中，有如下概率等式：
[Pr[Game5(\lambda) = 1] = Pr[Game6(\lambda) = 1]]
敌手((S, D))的优势可通过对各个游戏跳转中的损失求和得到：
[Adv_{uce}^{H,S,D}(\lambda) \leq \frac{q_S(\lambda)}{2^{\lambda}} + q_D(\lambda) \cdot Adv_{pred}^{S,P}(\lambda)]

2.2 随机预言机与 UCE 的关系

随机预言机足以构建 UCE，这并不令人意外，因为 UCE 为哈希函数提供的安全定义比“表现得像随机预言机”更弱且更易实现。

2.3 HMAC 与 UCE

HMAC 是一种自然的 UCE 安全函数候选者。在之前的研究中，我们知道 HMAC 与随机预言机是不可区分的，并且在单阶段游戏中，如果底层压缩函数是理想的，HMAC 可以安全地替代随机预言机。然而，UCE 游戏并非单阶段游戏，源和区分器不能共享任意状态，因此产生了一个问题：在底层压缩函数为理想的情况下，HMAC 是否像基于随机预言机的构造一样，具有 UCE[Scu