随机预言机与非均匀性研究

最新推荐文章于 2025-12-12 07:00:00 发布

原创最新推荐文章于 2025-12-12 07:00:00 发布 · 799 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#随机预言机 #非均匀性 #预采样 #加盐 #安全界

随机预言机与非均匀性

S安德罗·科雷蒂1(B)，叶夫根尼·多迪斯1,郭思瑶2,和约翰·斯坦伯格 3
1纽约大学，纽约，美国{corettis,dodis}@nyu.edu
2东北大学，波士顿，美国 s.guo@neu.edu
3日内瓦，瑞士

摘要

我们重新审视了在 auxiliary-input random-oracle model (AI‐ROM)中针对各种密码学原语的安全证明，在该模型中，攻击者 A可以在攻击系统之前计算关于随机预言机 O的任意 S位泄露信息，并在攻击过程中额外使用 T预言机查询 O。该模型在传统随机预言机证明不适用的场景中具有自然的应用：(a) 抵抗非均匀攻击者的安全性；(b) 抵抗预处理攻击的安全性。我们获得了关于AI‐ROM的一些新结果：
– 翁鲁（CRYPTO’07）提出了 pre-sampling technique，该方法将AI‐ROM中的安全性证明普遍地归约到更简单的P-bit-fixing random-oracle model（BF‐ROM），其中攻击者可以在 O的某些 P坐标上任意设定其值，而其余坐标则随机选择。翁鲁在此变换中的安全损失为 √ST/P。我们将此损失改进至 opti-mal值 O（ST/P），从而在AI‐ROM中针对多种不可区分性应用获得了近乎紧的界。
——虽然基本的预采样技术无法为不可预测性应用提供紧的界，但我们引入了一种新的“乘法版本”预采样技术，该技术可显著减小预采样集合的 P大小至 P= O(ST)，并在AI‐ROM中为多种不可预测性应用提供近乎紧的安全界。从定性角度看，它验证了翁鲁的“多项式预采样猜想”——该猜想已被多迪斯et al.(EUROCRYPT’17)在一般情况下证伪——但在不可预测性应用这一特殊情况下成立。
– 使用我们的技术，我们重新证明了多迪斯 et al. （使用了一种更为繁琐的压缩技术）获得的几乎所有AI‐RO模型界，而且我们还将该方法应用于许多压缩技术不适用（例如，计算约简）或似乎难以处理的场景（例如，Merkle‐Damg˚ard 哈希）。
– 我们证明，对于任意输出长度为m位的 salted Merkle‐Damg˚ard哈希函数，均存在一个大小为 Θ(2 m/3 )的碰撞查找电路（以盐值作为输入），这显著低于针对均匀攻击者所推测的 2 m/2生日安全性。
– 我们构建了两个编译器，用于将传统随机预言模型（ROM）中已证明安全的应用程序的扩展安全性推广到AI‐ROM。其中一个编译器只需在随机预言机前添加一个公共盐值，表明salting generically provably defeats preprocessing。

c©国际密码研究协会2018 J. B. 尼尔森和 V. 里赫门 (Eds.): 欧洲密码学会议2018, LNCS 10820, 第227–258页, 2018. https://doi.org/10.1007/978‐3‐319‐78381‐9_9
本文档由 funstory.ai 的开源 PDF 翻译库 BabelDOC v0.5.10 (http://yadt.io) 翻译，本仓库正在积极的建设当中，欢迎 star 和关注。

1 引言

我们首先分别探讨本工作的两个主要主题——非均匀性和随机预言机，然后再将它们联系起来，以阐明本工作的主要动机。

非均匀性

现代密码学（在“标准模型”中）通常将攻击者 A建模为非均匀的，这意味着允许其在攻击系统之前获得一些任意的（但有界的）“建议信息”。这种建模的主要理由在于认识到：一个确定的攻击者会提前知道系统的安全参数 n，并可能投入大量预处理资源，针对该固定的 n值进行某些“特殊”操作，特别是当 n不太大时（出于效率考虑），或攻击者需要在线破解大量实例（从而摊销一次性离线成本）。这类攻击最著名的例子可能是彩虹表（[31,46]；另见[38,第5节.4。3]），用于逆向任意函数；其思想是通过一次性的预处理来初始化一种巧妙的数据结构，从而显著加速暴力逆向攻击。因此，仅限于均匀攻击者的模型可能无法准确刻画实际中需要防范的实际的预处理攻击。然而，还有其他更技术性的原因使得这一选择更为方便：
– 阿德勒曼 [2]指出，可以假设非均匀的多项式时间攻击者是确定性的（形式上，BP P/poly= P/poly），这在某些证明中非常有用。
– 尽管密码学中的许多自然规约是均匀的，但在一些重要情况下，唯一已知（甚至可能）的归约是非均匀的。也许最著名的例子是零知识证明[27,28],，除非允许非均匀攻击者（以及模拟器；直观上，为了使用第二个零知识证明的模拟器，必须将第一个证明的模拟器输出作为验证者的辅助输入），否则它们在不在顺序组合下封闭。1当然，作为一般协议组合的特例，这意味着任何工作——无论是将零知识作为子程序使用，还是普遍处理协议组合——都必须采用针对非均匀攻击者的安全性，以使组合能够成立。
1存在一些变通方法（参见 [26]），这些方法允许在均匀攻击者下定义零知识性，但与假设非均匀性相比，它们更难处理，因此未被学术界采纳。
– 非均匀计算模型在复杂性理论中有许多应用，例如著名的“困难性与随机性”联系（参见 [33–36,45]），该联系大致表明，非均匀的困难性意味着非平凡的去随机化。因此，通过将密码学攻击者定义为非均匀机器，此类密码学应用的任何下界都可能产生令人奋兴的去随机化结果。

当然，尽管非均匀性在实践、定义和概念上具有优势，但必须确保不会使攻击者“过于强大”，以至于能够（不现实地）解决密码学应用中可能使用的难题。幸运的是，尽管非均匀攻击者能够解决不可判定问题（通过将输入以一进制编码并在非均匀建议中输出解决方案），但普遍认为非均匀性无法在多项式时间内解决有意义的“困难问题”。作为间接证据之一，卡普‐利普顿定理 [37] 表明，如果 NP 具有多项式大小电路，则多项式层次崩溃。当然，整个密码学领域都成功地建立在这样一个假设之上：许多困难问题即使在平均情况下也无法被多项式大小电路解决，而这一信念至今尚未受到严重挑战。

因此，尽管这种模型过于保守且可能包含不切实际的攻击者，理论界普遍认为非均匀性是建模攻击者的正确密码学方法。

随机预言模型

哈希函数在密码学中无处不在。它们被广泛用于构造单向函数(OWFs)、抗碰撞性哈希函数（CRHFs）、伪随机函数/生成器（ PRFs/PRGs）、消息认证码（MACs）等。此外，它们还经常与其他计算假设结合使用，以证明高层应用的安全性。常见的例子包括用于签名方案的菲亚特‐沙米尔启发式 [1,23]（例如，Schnorr签名 [49]）、全域哈希签名 [8], 或陷门函数（TDFs）[8] 以及OAEP 加密等。

对于每个此类应用 Q，当使用具体的哈希函数（如 SHA‐3）实例化时，人们都会思考如何评估其安全性 ε。鉴于我们无法证明无条件下界，传统方法如下：不针对某个特定的 H 证明 ε 的上界，而是假设 H 是一个真正随机（即“理想”）的函数 O，来分析 Q 的安全性。由于大多数 Q 仅能抵御计算受限的攻击者，因此允许攻击者 A 对 O 进行预言机访问，并通过某个参数 T 限制 A 可进行的预言机查询次数。这就形成了由贝尔尔和罗加威的开创性论文 [8] 所推广的传统随机预言模型（ROM）。

ROM的吸引力源于两个方面。首先，它为许多原语提供了非常简洁直观的安全证明，而这些原语在自然安全假设下难以通过标准模型分析（见下文的一些具体示例）。其次，这种由此产生的ROM分析独立于 H的繁琐细节，对于给定的基于哈希的应用只需进行一次一次，并且还为非病态的 Q提供了人们期望通过任何方式所能达到的最佳安全性。

具体函数 H。特别是，我们希望所使用的特定哈希函数 H设计得足够“良好”，以至于它（本质上）符合这一理想化界限。如果确实如此，那么我们对 ε的安全性分析本来就是准确的；而如果不符合，则通常强烈表明我们不应使用该特定的 H，而不是说明理想化分析是猜测 Q精确安全性的错误方法。具有讽刺意味的是，理论上我们知道上述乐观的方法论是错误的[5,11,12,29,44],，某些在 ROM下安全的应用在任何 H的实际实例化下都会变得不安全，更不用说保持对 ε的理想化界限了。幸运的是，所有这类反例都相当人为构造，并未对实际应用中使用的具体方案的安全性提供太多启示，例如将哈希函数用作单向函数、抗碰撞性哈希函数、伪随机函数、伪随机生成器、消息认证码，以及实际中自然签名和加密方案的组成部分[8,9,23,49]。换句话说，尽管存在纯理论上的担忧，以下随机预言方法论似乎为实践者评估给定（自然）应用的最佳可能安全水平提供了一种有效途径 Q。

Random-oracle methodology. 对于哈希函数的“自然”应用，假设选择了“最佳可能”的具体哈希函数 H，在标准模型中，随机预言模型下证明的具体安全性仍然是正确的界。

随机预言与非均匀性

本工作的主要动机是检验上述方法论的合理性，同时保持与攻击者应被建模为非均匀的这一事实的一致性。我们强调，我们并不讨论在密码学中将非均匀安全性作为建模攻击者的“正确”方式这一概念性问题，因为这正是理论研究者与实践者之间一场激烈且持续争论的主题；有关此问题的一些讨论参见[10,48]。相反，我们假设希望将攻击者建模为非均匀的（基于上述理由，并与理论文献保持一致），并且假设我们希望有一种正确评估在应用中哈希函数重要用途下的具体、非渐近安全性的方法，那么我们提出一个问题：随机预言机方法论是否是一种实现该目标的合理方式？遗憾的是，对于哈希函数最基本的使用场景而言，即使采用传统的随机预言机建模方式，答案也显然是“否”，这一点可以从以下示例中看出。

(i) 在标准模型中，单个函数 H不可能是抗碰撞性的，因为非均匀攻击者可以轻易地将碰撞硬编码。相比之下，在ROM中，单个（未加盐）随机预言机 O显然是抗碰撞性的，并具有极佳的精确安全性 O(T 2/M)，其中 M 是 O 的值域。因此，在标准模型中，人们考虑使用一个抗碰撞性哈希函数族，其公钥我们称之为盐值，该盐值在 A 获得非均匀建议信息之后才被选择。after值得注意的是，本文的一个结果表明，对于流行的Merkle‐Damg˚ard构造，即使允许加盐even if salting is allowed，均匀安全性与非均匀安全性之间仍然存在巨大差距（找到碰撞的时间为 M 1/2 与 M 1/3 之间的差距）。

(ii) 在标准模型中，任何伪随机生成器候选 H(x) 的安全性甚至无法超过 2−n/2，即使针对在 n 上的线性时间攻击者[3,10,20],，其中 n 是 x 的种子长度。相比之下，在传统随机预言模型中，扩展随机预言机 O(x) 可以被轻易证明是 (T/2n)‐安全的伪随机生成器，轻松超越标准模型中的 2−n/2 界限（即使对于非常大的 T 直到 2n/2，更不用说多项式大小的 T）。

(iii) 赫尔曼的开创性论文 [31], 若用非均匀攻击者的语言来表述，表明一个随机函数 H：[N]→[N] 可以被大小为 O(N2/3) 的非均匀攻击者以恒定概率逆向求解，而菲亚特和诺尔 [22] 将此攻击扩展，表明每个（即使是非随机的）函数 H 都可由大小至多为 N3/4 的电路以恒定概率实现逆向求解。相比之下，若将 H 建模为随机预言机 O，则可以在传统ROM中直接证明 O 是具有安全性 O(T/N) 的单向函数。例如，设定 T= N2/3（甚至 T= N3/4），仍会得到可忽略的安全性 N−1/3（或 N−1/4），这与上述具体的非均匀攻击相矛盾。

换句话说，一旦在标准模型中允许非均匀性，随机预言模型与标准模型之间的分离就不再人为和刻意，而是导致了广泛部署的应用的精确安全性达到了不可能实现的理想程度。

辅助输入随机预言模型

关于随机预言方法的上述担忧并非新问题，Unruh [51] 和 Dodis等[18]对此进行了广泛研究。幸运的是，这些工作提供了一个简单的解决方案，即通过扩展传统ROM以允许存在依赖于预言机的辅助输入。由此得到的模型称为辅助输入随机预言机模型（AI-ROM），该模型由两个参数 S（“空间”）和 T（“时间”）进行参数化，其工作方式如下：首先，与传统随机预言模型一样，从具有某个定义域和值域的函数空间中均匀选择一个函数 O 。其次，AI‐ROM中的攻击者 A由两个实体 A1和 A2组成。第一阶段的攻击者 A1计算能力无限制，能够完全访问随机预言机 O，并计算出大小为 S的某种“非均匀”建议信息 z。然后将此建议信息传递给第二阶段的攻击者 A2，后者最多可向预言机 O发出 T次查询（并且与A1不同，可能还受到其他特定应用的限制，例如运行时间受限等）。这自然对应于之前讨论的预处理模型，也可用于通过设置 S= T= C来分析针对大小为 C的非均匀电路的安全性。2

实际上，在AI‐ROM中，示例(i)–(iii)中提到的所有担忧都不再成立：(i) O本身不再具有抗碰撞性，因为 A1可以预先计算出碰撞；(ii)–(iii) 前面提到的通用非均匀PRG或OWF攻击也可以作用于 O本身（通过让A1将 O视为任意其他函数 H，并为其计算相应的建议信息 A2）。总之，AI‐ROM模型使我们能够重新表述修改后的随机预言方法如下：

但分离 S和 T也可以对具有内存S和查询复杂度 T的非均匀RAM计算进行建模。

1.1 我们的结果

我们获得了一系列关于处理AI‐ROM的结果，这些结果在高层次上结合了预采样（简洁性、通用性）和压缩（紧致性）的优点。

改进翁鲁

回顾一下，翁鲁 [51] 指出，可以从 AI‐ROM 转换到 P‐BF‐ROM，其加性代价为 δ(S, T, P) ≤√ST/P，而多迪斯等人 [18] 指出一般情况下 δ (S, T, P) = Ω(ST/P)。我们证明了真实附加误差界实际上是 δ(S, T, P) =Θ(ST/P)，从而将翁鲁的界在二次因子上进行了改进；见定理1。也就是说，针对进行 T 次自适应随机预言机查询的攻击者， S 比特辅助信息 z= z(O) 的影响可以通过固定随机预言机在 P 个点（这些点依赖于函数 z）上的取值，并独立于辅助信息随机选择其余点来模拟，且模拟的加性误差为 O(ST/P)。

尽管二次改进看起来“渐近地很小”，但我们证明，对于所有通过[18]使用更为复杂的压缩论证所证明的不可区分性应用（具体而言，伪随机生成器和伪随机函数），它已经达到了接近紧的界。例如，为了匹配种子域为 N的伪随机生成器的 ε= O(√ST/N+T/N)界，我们通过一个简单的论证表明，该随机预言机在 P‐ BF‐ROM中是 ε′= O(P/N+ T/N)‐安全的，其中第一项对应于种子从预采样集合中选取的情况，第二项对应于在攻击阶段查询种子上预言机的概率。通过设置 P= O(√ST N) 以平衡 P/N和ST/P项，我们立即得到最终界限，该界限与[18]的界限一致。

为了说明目的，我们还将改进后的界限应用于论证一些[18]未考虑的不可区分性应用的AI‐ROM安全性。首先，我们展示了随机预言机作为弱伪随机函数时的一个改进界限（相较于其作为标准伪随机函数的应用），该界限足以支持选择明文安全的对称密钥加密。我们的证明只是对BF‐ROM中伪随机函数证明的一个非常简单的调整；而我们认为，相应的压缩证明即使可行，也将需要对[18]的伪随机函数证明进行显著修改（因为需要更好的压缩效果以获得改进的界限）。其次，我们还将其应用于一个典型的计算型应用示例，即原始Bellare‐Rogaway论文[8],中基于陷门置换的公钥加密方案Encf(m; x)=(f(x) O(x) ⊕ m)的KEM变体，其中 f是一个陷门置换（作为公钥的一部分，其逆运算为私钥）， x是用于加密的随机性。回顾一下，压缩技术无法应用于此类应用。

总之，我们推测改进后的安全界 ST/P 足以为大多数自然的不可区分性应用提供良好的界限；这些界限要么是紧的，要么至少与通过压缩论证所能达到的界限相匹配（同时更为简单且更具通用性）。

不可预测性应用的改进预采样

即使采用我们对 ST/P预采样的改进界限，我们仍无法达到多迪斯等人et al.[18]针对单向函数和消息认证码所获得的几乎紧的压缩界限。特别是，求解 P的最优值将导致出现“平方根项”，而现有任何攻击均未达到这一项。我们的关键洞察是，这并非源于预采样的局限性（即通过BF‐ROM的方法），而是因为在不可预测性不可预测性应用中要求加法误差是不必要的限制。相反，我们证明，如果可以接受系统被攻破概率中存在一个2倍的乘法因子，则可以通过将预采样集合大小设为 P ≈ ST来通用地实现这一点；见定理2。

这具有多个影响。首先，利用这种乘法预采样技术，我们可以轻松地达到多迪斯等人[18],所考虑的单向函数和消息认证码不可预测性应用中的压缩界限，但证明过程要简单得多。其次，我们还将其应用于一个自然的信息论应用中，在该应用中我们认为压缩技术无法获得良好的界限；即通过 Merkle‐Damg˚ård范式构建一个（加盐）CHRF族，其中盐值是构造的初始化向量（见定理 3）。此示例的显著特点是随机预言机被迭代使用，这对将标准 ROM证明适配到BF‐ROM带来较小困难，但似乎会完全增加压缩论证的复杂性，因为当块数大于1时，攻击者造成不同盐值碰撞的可能性太多。6

所得的 AI‐ROM 界限 O(ST 2/M) 对于规模约为 M1/3 的电路而言变得无效，其中 M 是压缩函数的值域。该界限远低于基于Merkle‐Damg˚ard 构造、针对均匀攻击者的抗碰撞性哈希函数所推测的 M1/2生日安全性。令人意外的是，我们证明了 M1/3所证明的安全性是紧的：存在一种（非均匀的）碰撞查找攻击，可用规模为 O(M1/3) 的电路实现（见定理 4）！此示例再次说明了非均匀性的惊人能力。

对计算约简的影响

回想一下，与压缩技术不同，预采样可以应用于计算约简中，方法是将大小为 P的预采样集合“硬编码”到打破计算假设的攻击者中。然而，这意味着 P不能超过此类攻击者的最大允许运行时间 t。由于标准预采样会带来附加成本Ω(ST/P)，因此无论对应计算假设的(t, ε)‐安全性中 ε的值如何，最终的安全性都无法优于 ST/t。例如，当 t是关于安全参数的多项式且 ε 1/t是指数级小时，使用标准预采样最多只能获得逆多项式安全性（即ST/t）。相比之下，预采样的乘法变体将列表大小设置为大约 P ≈ ST，当 S和 T为多项式时，该值也是多项式，并且可以小于我们所用计算假设下标准模型攻击者的复杂度 t。因此，当 t为多项式且 ε为指数级小时，使用乘法预采样可实现可忽略安全性。一个具体的说明性示例，请参见将我们改进的预采样应用于Schnorr签名的自然计算不可预测性应用时定理5中的界[49].7换句话说，尽管多迪斯等人[18]的工作表明翁鲁的“预采样猜想”在一般情况下不成立——意味着当列表大小 P为多项式时无法实现可忽略安全性——但我们证明了该猜想在不可预测性应用中在定性意义上是成立的，其中列表大小可以设为多项式（约为 ST）。

此外，我们表明在某些计算不可区分性应用中，我们仍然可以在归约内部应用改进的预采样技术，并在归约内部，获得高于上述 ST/t界限的安全性。我们在对TDF加密的分析中（参见定理6）通过将攻击者的成功概率分为两个互斥事件来说明这一现象：(1) 攻击者在给定密文 f（x）的情况下，成功查询了随机预言机上的TDP原像 x；(2) 攻击者在未查询 O（x）的情况下成功区分值 O（x）与随机值。现在，对于事件(1)，我们可以利用改进的乘法预采样（因为这是一个不可预测性事件）归约到具有多项式列表长度的TDP安全性，而对于事件(2)，我们可以使用标准的加法预采样证明信息论的安全性，而无需受限于将 P上界限定为TDP攻击者的运行时间。精确分类此类“混合”归约技术可适用的不可区分性应用类型是一个有趣的开放问题。

7有趣的是，一般的Fiat‐Shamir变换在AI‐ROM中是 not安全的，因此我们的证明利用了Schnorr签名的具体特性。

走向传统随机预言模型

到目前为止，我们使用的一般范式是将任意方案在AI‐ROM中难以分析的安全性归约到同一方案在BF‐ROM中更简单且易于证明的安全性。然而，如果可能的话，一种更为简单的方法是将AI‐ROM中的安全性直接归约到传统ROM。当然，我们知道如果不对手法进行任何修改，这是不可能的，因为我们已经有很多例子表明，方案在AI‐ROM中的安全性远弱于其在ROM中的安全性（甚至完全消失）。尽管如此，当可以进行简单的修改而不会给用户带来太多不便时，归约到ROM相比归约到BF‐ROM具有许多明显的优势：
– 尽管在AI‐ROM中已大为简化，但仍需在BF‐ROM中证明安全界。如果能够直接利用已在ROM中被证明的结果，并以较小的代价将其“无缝迁移”到 AI‐ROM中，则会容易得多。
– 一些在传统随机预言模型中安全的自然方案在 BF‐ ROM（以及AI‐ROM）中未经修改时是不安全的。简单的例子包括通用的菲亚特‐沙米尔启发式[1,23]或FDH签名方案[8] （参见本文的完整版本[15]）。因此，为了将这些方案扩展到AI‐ROM，我们必须对它们进行修改，既然如此，我们不妨尝试从通用层面确保ROM中的安全性已足够。

作为我们的下一组结果，我们展示了两种简单的编译器，它们通过在传统 ROM应用中使用的哈希函数 O构建出一个可在AI‐ROM应用中使用的哈希函数 O′。这两个结果均位于公共随机字符串模型中。这意味着它们使用了一个公共随机字符串（我们称之为盐值，并记为 a），该字符串是在攻击者计算出关于 O的辅助信息之后才选择的后。诚实方被假定能够可靠地访问该 a值。我们注意到，在诸如加密和认证等基本应用中，盐值可以在密钥生成时简单地选择，并作为公钥/参数的一部分，因此其代价非常小。

第6.1节分析的第一个变换就是加盐；即O′ a(x)= O(a, x)，其中 a是从大小为 K的定义域中选择的一个公共随机字符串。该技术在实践中被广泛使用（可追溯到密码哈希[43]），并在AI‐ROM背景下由多迪斯等人[18]通过应用压缩论证进行了分析，以证明对于他们所考虑的少数自然应用（单向函数、伪随机生成器、伪随机函数和消息认证码），加盐可有效抵御预处理攻击。我们的工作表明，加盐可以普遍地有效抵御预处理攻击，而不仅仅是多迪斯等人所分析的少数具体应用。[18]。8也就是说，

8当然，通过对 salted方案进行直接分析（例如，使用定理1或2），我们可能获得比使用通用结果更好的精确安全性界限；也就是说，更短的盐值就足以达到所声称的安全性水平。然而，在最小盐值并非关键的应用场景中，我们的编译器所具备的简洁性和通用性为在AI‐ROM中论证安全性提供了一种方便且无缝的方式，而无需进行直接分析。

通过使盐值域 K足够大，可以在AI‐ROM中获得几乎与传统ROM相同的安全性。换句话说，当可以加盐时，就能得到两全其美的效果：既抵御非均匀攻击，又能实现与传统ROM相匹配的精确安全性。

基本的加盐技术为了构建 O′（对于足够大的 K以降低“加盐误差”），牺牲了随机预言机 O定义域中相对较大的因子 K。当 O的定义域是一种昂贵资源时，在第6.2节中，我们还设计了一种更域高效的编译器，该编译器仅在 O的定义域中牺牲一个较小的因子 k ≥ 2，代价是每次对 O′的评估需要进行 k ≥ 2次对 O的评估（且“加盐误差”随 k指数级衰减）。这种变换基于毛雷 [41],技术的改进，该技术最初用于带随机化子的密钥协商场景。尽管基本变换需要 O(k log N)比特的公共盐值，我们还表明可以将所需随机比特数减少至 O(k+ log N)。并且由于在任何实际应用中，我们都不认为 k会大于 O(log N)，因此盐值的总长度始终为 O(log N)。

我们的主引理

我们工作的关键技术贡献是1，该引理在第2.1节中被证明，大致表明带有辅助输入的随机预言机“接近”于“P‐位固定源”的凸组合（见定义1）。此外，我们给出了这种“接近性”的加性和乘性版本，以便后续可以使用不同的参数推导出我们在第2.2节中的定理1（用于AI‐ROM中的不可区分性应用）和定理2（用于AI‐ROM中的不可预测性应用）。

1.2 其他相关工作

大部分相关工作前文已提及。多迪斯et al.[19]在改进密钥派生方案的熵损失背景下，指出乘法误差对于不可预测性应用已足够，并且能够带来非平凡的节省。特萨罗[50]将翁鲁的预采样技术推广到随机‐置换模型，尽管并未提升界紧致性。

De 等[17]研究了加盐对解封一个置换 O以及基于单向置换的特定伪随机生成器的影响。Chung 等[14]研究了加盐在抗碰撞性哈希函数设计中的影响，并使用翁鲁的预采样技术论证了在此重要情况下加盐能够抵御预处理攻击。马赫穆迪和穆罕默德 [40],也主张使用加盐来获得非均匀安全性，并利用该技术实现了非均匀黑盒分离结果。

最后，关于有界存储模型[4,21,41,52]的大量研究工作与AI‐ROM的一个特例相关，其中第二阶段的所有 T查询均由挑战者执行以生成密钥（因此需要最小化 T以确保局部可计算性），但在完成 S比特的预处理后，实际攻击者不允许进行任何此类查询。

2 处理辅助信息

由于在拥有依赖于预言机的辅助输入的攻击者可能获得在随机预言机的函数表上计算的任意函数的输出，因此在辅助输入随机预言机模型（AI-ROM）中分析方案的安全性并不明显。为了弥补这一问题，翁鲁[51]引入了位固定随机预言机模型（BF-RO模型），在此模型中，预言机在坐标的一个子集上是固定的，在其余部分则是均匀且独立的，并证明了这样的预言机与AI‐RO是不可区分的。

在第2.1节中，我们从以下两个方面改进了翁鲁证明的安全界：首先，我们证明了BF‐RO与AI‐RO不可区分，其加性项大约为 ST/P，其中 P是BF‐RO固定部分的大小；这大大改进了翁鲁的界限，其原界限为√ST/P的数量级。其次，我们证明了在AI‐ROM中，任何区分器输出1的概率至多是在BF‐ROM中该区分器输出1的概率的两倍——即使当 P约等于 ST时也成立。

第2.2节包含了AI‐ROM和BF‐ROM的形式化定义、具有依赖于预言机的建议的攻击者，以及应用的概念。由于两种模型之间的关联，任何在 BF‐ROM中的应用的安全性可转化为AI‐ROM中的安全性，代价为 ST/P项；此外，不可预测性应用的安全性转化仅需付出乘性因子2的代价（只要 P ≥ ST成立）。相应的定理及其证明也可在第2.2节中找到。

2.1 用位固定源替换辅助信息

在本节中，我们证明了关于攻击者可能掌握一定量辅助信息的任何随机预言机，都可以被适当选择的位固定源的凸组合所替代。这种替换的代价是区分优势增加一个加性项，或区分器输出1的概率增加一个乘性项。为此，考虑以下定义：

定义1. 一个(N, M)-源是一个取值范围为[M]N的随机变量 X。称一个源为
–(1 − δ)-稠密，如果对于每个子集 I ⊆[N]， H∞(XI) ≥(1 − δ) · |I| · log M=(1 − δ) · log M|I|.
–(P, 1−δ)-稠密，如果它至多在 P个坐标上是固定的，并且在其余部分是(1−δ)-稠密的，
– P-位固定，如果它至多在 P个坐标上是固定的，而在其余部分是均匀的。

也就是说，对于一个 δ‐稠密源的函数表的每个子集，其最小熵至多比均匀随机情况下的最小熵少一个 δ的分数。

引理1. 设 X在[M]N上均匀分布，且 Z：= f（X），其中f： [M]N→{0, 1}S为任意函数。对于任意的 γ> 0和 P ∈ N，存在一族凸组合 Yz，其由 P-比特固定（N, M）-源构成的{Yz}z∈{0,1}S，使得对于任何接收 S-比特输入并最多查询其预言机 T< P个坐标的区分器 D，

∣∣P[DX(f(X))= 1] − P[DYf(X)(f(X))= 1] ∣∣ ≤ (S+ log1/γ) · T P + γ

and

P[DX(f(X))= 1] ≤ 2(S+log 1/γ)T/P · P[DYf(X)(f(X))= 1]+ γ.

引理1的证明使用了一种技术（参见证明中的第一个声明），该技术由G¨o¨os等人[30]在通信复杂性领域提出。Kothari等人[39],的论文也采用了这一技术，他们给出了将高熵源分解为具有恒定密度的位固定源的简化论证（参见定义1）。为了内容完整，本文的完整版本[15]包含了该分解技术的证明。此外，该证明使用了Patarin著名的H系数技术<v30}，同时遵循了Hoang和 Tessaro[32]对该技术的近期重新表述。

证明。 固定任意的 z ∈{0, 1}S，令 Xz 表示在 f(X) = z 条件下 X 的分布。令 Sz= Nlog M−H∞(Xz) 为 Xz 的最小熵缺陷。令 γ> 0 为任意值。

断言1。 对于每个 δ> 0， Xz与有限个(P′, 1 − δ)‐稠密源的凸组合 γ‐接近

P′= Sz+ log1/γ δ · log M .

The p上述声明的证明可在本论文的完整版本 [15] 中找到 .

设X′ z为(P′, 1−δ)‐稠密源的凸组合，该凸组合与 Xz的距离为 γ，其中 δ= δz将在后续确定。对于该凸组合中的每个(P′, 1−δ)源 X′，令 Y ′为对应的 P′‐比特固定源 Y ′，即X′和 Y ′在相同坐标上被固定为相同的值。以下声明给出了任意 T‐查询区分器对 X′和 Y ′之间区分优势的界限。

断言2。 对于任意(P′, 1−δ)‐稠密源 X′及其对应的 P′‐位固定源 Y ′，对于任何最多查询其预言机T个坐标的（自适应）区分器 D，均成立

∣ ∣ ∣ P[DX ′ = 1] − P[DY ′ = 1] ∣ ∣ ∣ ≤ Tδ · log M,

and

P[D X ′ = 1] ≤ M Tδ · P[D Y ′ = 1].

证明。 不妨假设 D是确定性的，且不查询任何固定位置。令 TX′和 TY ′分别为 D与 X′和 Y ′交互所产生的包含查询/回答对的转录对应的随机变量。对于固定的转录 τ，记pX′(τ)和pY ′(τ)分别为 X′和 Y ′在 τ中的查询被提出时生成 τ中回答的概率。注意到这些概率仅依赖于 X′和 Y ′，且与 D无关。

请注意，对于每个转录 τ，

pX′(τ) ≤ M−(1−δ)T and pY ′(τ)= M−T (1)

因为 X′是(1 − δ)‐稠密的，且 Y ′是均匀分布的。

由于 D是确定性的，P[TX′= τ] ∈{0,pX′(τ)}，类似地，P[TY ′= τ] ∈{0, pY ′(τ)}。记 TX为所有满足P[TX′= τ]> 0的转录 τ的集合。对于这样的 τ，有P [TX′= τ]=pX′(τ)以及P[TY ′= τ]=pY ′(τ)。为了证明该引理的第一部分，注意到

∣ ∣ ∣ P[DX′= 1] − P[DY ′= 1] ∣ SD(TX′, TY ′)

= ∑ τ max{0, P[T
X′= τ] − P[TY ′= τ]} = ∑ τ∈TX max{0, pX′(τ)− pY ′(τ)} = ∑ τ∈TX pX′(τ) · max{0, 1 − pY ′(τ) pX′(τ)} ≤ 1 − M−Tδ ≤ Tδ · log M, 其中第一个求和遍历所有可能的转录，最后一个不等式使用了 2−x ≥ 1 − x 对于 x ≥ 0。

至于引理的第二部分，注意到由于（1）以及 TX′的支持集是 TY ′,的子集 P[TX′= τ] ≤ MTδ · P[TY ′= τ] 对于任何转录 τ。设 TD 为 D 输出 1 的转录集合。那么， P[D X ′ = 1]= ∑ τ∈TD P[TX′= τ] ≤ MTδ ·∑ τ∈TD P[TY ′= τ]= MTδ · P[D Y ′ = 1].

设 Y ′ z通过将 X′替换为 Y ′中的相应 X′ z 而得到。令 δz=(Sz+ log 1/γ) /(P log M)，声明 1和 2意味着 ∣ ∣ ∣ P[D X z(z)= 1] − P[D Y ′ z(z)= 1] ∣ ∣ ∣ ≤ (Sz+ log1/γ) · T P + γ, (2)

以及 P[DXz(z)= 1] ≤ 2(Sz+log 1/γ)T/P · P[DY ′ z(z)= 1]+ γ. (3)

此外，请注意，对于上述选择的 δz, P′= P，即源 Y ′ 最多固定在 P 个坐标上，符合预期。

声明 3. Ez[Sz] ≤ S和 Ez[2SzT/P] ≤ 2ST/P。

上述声明的证明可在本文的完整版本中找到 [15]。现在通过在Yz:= Y ′ z 上对 z（2）和（3）取期望并应用上述声明，即可得出该引理。

2.2 从 BF‐ROM 到 AI‐ROM

模型概述。 在使用前一节中的引理 1来说明 BF‐ROM 中的安全性证明如何迁移到 AI‐ROM 之前，有必要正式定义这两个模型，以及具有依赖于预言机的建议的攻击者和应用的概念。其高层次思想是考虑两阶段攻击者 A=（A1, A2）和（单阶段）挑战者 C，它们均可访问一个预言机 O。预言机具有两个接口 pre和main，其中 pre仅可被 A1访问，其可将辅助信息传递给 A2，而A2和 C均可访问 main。

预言机。 一个预言机 O 有两个接口 O.pre 和 O.main，其中 O.pre 只能在调用 O.main 之前访问一次。本文中使用的预言机包括：
– 随机预言机 RO(N, M) ：从 [N] 到 [M] 的所有函数的集合 FN,M 中采样一个随机函数表 F ← FN,M；在 O.pre 处不提供任何功能；在 O.main 处通过对应的值 F[x] ∈[M] 回答查询 x ∈[N]。
– 辅助输入随机预言机 AI‐RO(N, M) ：采样一个随机函数表 F ← FN,M；在 O.pre 处输出 F；在 O.main 处通过对应的值 F[x] ∈[M] 回答查询 x ∈[N]。
– 位固定随机预言机 BF‐RO(P, N, M) ：采样一个随机函数表 F←FN,M；在 O.pre 处接收一个最多包含 P 个查询/回答对的列表，这些对会在相应位置覆盖 F；在 O.main 处通过对应的值 F[x] ∈[M] 回答查询 x ∈[N]。
– 标准模型 ：两个接口均不提供任何功能。

当上下文中无关紧要时，参数 N, M 有时会被省略。同样，当上下文明确时，也会省略对具体查询接口的说明。

具有依赖于预言机建议的攻击者。 攻击者 A=(A1, A2) 由一个预处理过程 A1和一个主算法 A2组成，主算法使用 A1的输出来执行实际的攻击。相应地，在存在预言机 O的情况下， A1与 O.pre交互，并输出一个S比特的字符串，以及 – A2，其接收一个 S比特的辅助输入，并最多向O.main发出 T次查询。

定义2 在（S, T）-攻击者 A=（A1, A2）的 O-模型中包含两个过程
– A1，其计算能力无限制，与 O.pre交互，并输出一个S比特的字符串，以及
– A2，其接收一个 S比特的辅助输入，并最多向O.main发出 T次查询。

在某些情况下，可能会对A2施加额外的限制，这些限制由某些参数 p所捕获。此时， A被称为(S, T, p)‐攻击者。此类参数的示例包括 A2的时间和空间要求，或 A2与其交互的挑战者之间查询特定类型次数的限制。注意，参数 S在标准模型中也有意义，它衡量的是提供给攻击者的标准非均匀建议的长度。然而，参数 T并不相关，因为在攻击阶段不存在可查询的随机预言机。因此，具有资源 p的标准模型攻击者被称为(S, ∗,p)‐攻击者。

应用。 设 O为任意预言机。在 O‐模型中的一个应用 G通过指定一个挑战者 C来定义，该挑战者C是一个可访问 O.主阶段、与攻击者 A=(A1, A2)的主阶段A2进行交互，并在交互结束时输出一位的预言机算法。在O‐模型中， A对 G的成功性被定义为 SuccG,O(A):= P[AO.main 2 (AO.pre 1 )↔ CO.main= 1], 其中 AO.main 2 (AO.pre 1 ) ↔ CO.main 表示攻击者与 C 交互后 C 输出的比特。本工作考虑由下述定义描述的两类应用。

定义3。 对于 O-模型中的一个不可区分性应用 G ，攻击者 A的优势定义为 AdvG,O(A):= 2 ∣ ∣ ∣ ∣ SuccG,O(A)− 1 2 ∣ ∣ ∣ ∣ . 对于一个不可预测性应用 G，其优势定义为 Adv G,O(A):= SuccG,O(A). 如果对于每个(S, T,p)-攻击者 A，应用 G在 O-模型中被认为是((S, T,p) ε)-安全的 Adv G,O(A) ≤ ε.

组合查询复杂度。 为了利用引理1证明下面的定理1和2，需要将某个攻击者 A=(A1, A2)在 O‐模型下与挑战者C的交互“合并”成一个单一实体 D=(D1, D2)，该实体与预言机 O进行交互。也就是说， D(·) 1:= A(·) 1且 D(·) 2(z):= A(·) 2(z) ↔ C(·)对于 z ∈{0, 1}S成立。D被称为 A与 C的组合，其向预言机发出的查询次数称为 A与C的组合查询复杂度。在本文的所有应用中，均存在一个上界 T comb G = T comb G(S, T,p)，用于限制任意攻击者与挑战者的组合查询复杂度。

任意应用的加性误差。 利用引理1的第一部分，可以证明以下定理，该定理指出，任何应用的安全性都可以从BF‐ROM转化为AI‐ROM，代价是一个大约为 ST/P的加性项，其中 P是攻击者 A1在BF‐ROM中允许固定的坐标的最大数量。

定理1. 对于任意 P ∈ N和每一个 γ> 0，如果一个应用 G在((S, T,p) ε′)-安全的，在BF-RO(P)-模型中，则它在((S, T,p) ε)-安全的，在AI-RO-模型中，对于 ε ≤ ε′+(S+ log γ−1) · T comb G P + γ, 其中 T comb G是对应于 G的组合查询复杂度。

证明。 固定 P以及 γ。设BF‐RO：= BF‐RO(P)，并令 G为任意应用，C为相应的挑战者。此外，固定一个(S, T)‐攻击者A=(A1, A2)，并令{Yz}z∈{0,1}S为引理1所保证存在的分布族，其中函数 f由 A1定义。考虑以下(S, T)‐攻击者 A′=(A′ 1, A ′ 2)（期望与BF‐RO交互）：
– A′ 1内部模拟 A1以计算 z← AAI-RO.pre 1 。然后，它从构成 Yz的 P‐位固定源 Y ′ 中采样一个，并预设BF‐RO在 Y ′被固定的最多 P个点上与 Y ′一致。 A′ 1的输出为 z。
– A′ 2的工作方式与 A2完全相同。

设 D为 A2= A′ 2和 C的组合。因此， D是一个区分器，接受一个 S比特的输入，并对其预言机最多进行 T comb G次查询。因此，根据引理1的第一部分， SuccG,AI-RO(A) ≤ SuccG,BF-RO(A′)+(S+ log γ−1) · T comb P + γ. 由于两个成功概率之间仅存在一个加性项，上述不等式意味着 Adv G,AI-RO(A) ≤ Adv G,BF-RO(A ′ )+ (S+ log γ −1) · T comb G P + γ 对于不可区分性和不可预测性应用。

不可预测性应用中的乘性误差。 利用引理1的第二部分，可以证明以下定理：只要允许 A1在BF‐ROM中固定大约 ST个坐标，则任何不可预测性应用的安全性都可以以乘性因子2为代价从BF‐ROM转换到AI‐ROM。

定理2. 对于任意 P ∈ N和每一个 γ> 0，如果一个不可预测性应用G在((S, T,p) ε′)-安全的，在BF-RO(P, N, M)-模型中 P ≥(S+ log γ−1) · T comb G , 那么它在((S, T,p) ε)-安全的，在AI-RO(N, M)-模型中 ε ≤ 2ε′+ γ, 其中T comb G是对应于 G的组合查询复杂度。

证明。 使用相同的攻击者 A′如定理1的证明中所述，并应用引理 1的第二部分，可得，对于任意 P ≥（S+ log γ−1） · T comb G ， SuccG,AI-RO(A) ≤ 2(S+log 1/γ)T comb /P · SuccG,BF-RO(A′)+ γ ≤ 2 · SuccG,BF-RO(A′)+ γ, 这转化为 AdvG,AI-RO(A) ≤ 2 · AdvG,BF-RO(A′)+ γ 用于不可预测性应用。

AI‐ROM中的应用安全性。 上述建立的辅助输入随机预言机模型（AI-ROM）与位固定随机预言机模型（BF-RO模型）之间的联系，提示了以下证明特定应用在AI‐ROM中安全性的方法：首先，在易于分析的BF‐RO模型中推导出安全界；然后，根据所处理的是不可区分性应用还是不可预测性应用，分别通过定理1或2，泛化地推断方案在AI‐ROM中的安全性。

接下来的三个小节讨论 AI‐ROM 中的各种应用：第3节致力于基本原语的安全性分析，其中“基本”意味着直接将预言机作为原语使用；第4节讨论通过 Merkle‐Damg˚ård 结构从随机压缩函数构建的哈希函数（MDHFs）的抗碰撞性；最后，第5节分析几种具有计算安全性的密码方案。

3 AI‐ROM 中的基本应用

本节讨论单向函数(OWFs)、伪随机生成器(PRGs)、普通和弱伪随机函数的 AI‐ROM安全性

（伪随机函数和弱伪随机函数），以及消息认证码（MACs）。更具体地说，所考虑的应用是：
– 单向函数 ：对于预言机 O: [N] →[M]，给定均匀随机的 x ∈[N] 对应的 y= O(x)，寻找一个原像 x′ 使得 O(x′) = y。
– 伪随机生成器 ：对于预言机 O: [N] →[M] 且 M> N，将均匀随机的 x ∈[N] 对应的 y= O (x) 与 [M] 中的一个均匀随机元素区分开来。
– 伪随机函数 ：对于预言机 O: [N] ×[L] →[M]，将对均匀随机的 s ∈[N] 对应的 O(s, ·) 的预言机访问与对一个均匀随机函数 F: [L]→[M] 的预言机访问区分开来。
– 弱伪随机函数 ：与伪随机函数相同，但预言机的输入是独立且均匀随机选择的。
– 消息认证码 ：对于预言机 O: [N]×[L]→[M]，在给定对均匀随机的 s ∈[N] 对应的预言机 O(s, ·) 的访问权限下，找到一对 (x, y) 使得 O(s, x) = y 成立，其中 x 是一个未查询过 O(s, ·) 的输入。

	AI‐ROM 安全性	AI‐ROM 安全性	在 [18] 中绑定	在 [18] 中绑定	下界
OWFs	ST N+ T N	ST N+ T N	Same	Same	min{ST N,(S 2T N2)1/3}+ T N
PRGs	(ST N)1/2+ T N	(ST N)1/2+ T N	Same	Same	( S N)1/2+ T N
PRFs	( S(T+q prf ) N ) 1/2 + T N	( S(T+q prf ) N ) 1/2 + T N	Same	Same	( S N)1/2+ T N
弱伪随机函数	( S(T+q p rf ) q LN ) 1/2 +prf T N	( S(T+q p rf ) q LN ) 1/2 +prf T N	未分析	未分析	未知
MACs	S( T+ q 签名算法 ) + T + 1	S( T+ q 签名算法 ) + T + 1	S( T+ q 签名算法 ) + T + T	S( T+ q 签名算法 ) + T + T	min{ST N ,(S 2T N2)1/3}+ T N
MACs	N	N M	N	N M	min{ST N ,(S 2T N2)1/3}+ T N

表1. 在AI‐ROM中，针对(S, T)‐攻击者的基本原语安全性的渐近上下界，其中 qprf和 qsig分别表示伪随机函数查询和签名查询，且为简洁起见， N= M用于单向函数。注意，对单向函数的攻击同样适用于伪随机生成器和伪随机函数。

相关应用的渐近界限总结在表1中。对于单向函数、伪随机生成器、伪随机函数和消息认证码，所得界限与多迪斯等人et al.[18],所推导的相应界限一致，他们使用了（更复杂的）压缩论证；弱伪随机函数此前尚未被分析过。

精确的表述及相应证明可在此论文的完整版本中找到[15]；这些证明均遵循第2.2节中提出的范式，即首先评估特定应用在BF‐ROM中的安全性，然后通过定理1或2在AI‐ROM中通用地推导出最终界限。

4 AI‐ROM中的抗碰撞性

第3节中缺失的一个重要应用是3关于抗碰撞性，即对于一个预言机 O： [N] ×[L]→ M，给定一个均匀的盐值 a ∈[N]，

找到两个不同的 x, x′ ∈[L]，使得 O(a, x)= O(a, x′)。省略这一点的原因是，在BF‐ROM中，最佳可能界限显然在 P/N+ T 2/M的数量级上。即使对不可预测性应用使用定理 2且 P ≈ ST，最终得到的AI‐ROM界限也大约为 ST/N+T 2/M，这比多迪斯等人[18]通过压缩方法证明的最优界限 S/N+ T 2/M 差。

然而，实际中使用的哈希函数，最显著的是SHA‐2，基于压缩函数 O的 Merkle‐Damg˚ard操作模式：[M] ×[L]→[M]，此处将其建模为随机预言机。具体而言，一个 B‐分组消息y=(y1,…, yB)，其中 yj ∈[L]，被哈希为 OB(y)，其中 O1(y1)= O(a, y1) and Oj(y1,…, yj)= O(Oj−1(y1,…, yj−1), yj) for j> 1.

尽管——如上所述——多迪斯等[18]为单块情况提供了紧的界，但他们的基于压缩的证明如何扩展到处理双块消息仍不明显。幸运的是，当我们应用通过BF‐ROM模型的技术时，不会出现此类困难，从而能够在下面的定理3中推导出一个界。

形式上，Merkle‐Damg˚ard 哈希函数（MDHFs）在 O(ML, M)‐模型中的抗碰撞性由应用 GMDHF,M,L 描述，该应用通过以下挑战者 CMDHF,M,L 定义：挑战者首先均匀地随机选择一个公开的初始化向量 (IV) a ∈[M] 并将其发送给攻击者。如果攻击者提交了 y=(y1,…, yB) 和 y′=(y′ 1,…, y′ B′)，使得 y = y′ 且 OB(y) = OB′ (y′)，则攻击者获胜。

对于以下定理中的攻击者 A=(A1, A2)，我们做出简化假设： T> max(B, B′)。我们在 AI‐ROM 中证明了 MDHF 安全性的如下界限：

定理3. 应用 GMDHF,M,L在((S, T, B) ε)-安全的，位于 AI-RO(ML,M)-模型中，其中 ε= O˜(ST 2 M + T 2 M).

定理 3 的证明 在此论文的完整版本中提供[15]。

注意，如果 S和 T被取为电路规模，则定理 3中的界限对于规模为 M1/3的电路变得无效，即它仅在生日界限以下很远的位置提供安全性，因此可能显得极为宽松。然而令人惊讶的是，该界限是紧的：

定理4. 存在一个(S, T)-攻击者 A=(A1, A2)针对应用G:= GMDHF,M,L在 O:= AI-RO(ML, M)-模型中，其优势至少为 Adv G,O(A)= Ω˜(ST 2 M + 1 M), 假设 ST 2 ≤ M/2和 L ≥ M.

该攻击大致基于彩虹表 [31]并由以下（S， T）攻击者 A=（A1， A2）所描述：
– A1 ：从 O获取函数表 F：[M]×[L]→[M]。对于 i= 1,…, m：=S/（3log L），操作如下： 1. 随机均匀地选择 ai,0 ∈[M]。2. 计算 ai,−1← F(−1)(ai,0,0)，其中 : = T/2.9 3. 找到满足 ai,:= F(ai,−1, xi) = F(ai,−1, x′ i) 的值 xi = x′ i；若不存在这样的值，则中止。输出三元组（ai，−1, xi, x ′ i 对于 i= 1,…, m。– A2：从 CMDHF,M,L 获取公开的初始化向量 a，以及由 A1输出的 m三元组。操作步骤如下： 1. 如果对于某个 i，a= ai,−1成立，则返回(xi, x′ i)。 2. 否则，设置 a˜← a，并对 j= 1,…, T执行以下操作： (a) 查询 a˜← O(a˜,0)。 (b) 如果对于某个 i，a˜= ai,−1成立，则返回(0j‖xi, 0j‖x′ i)；否则返回(0, 1)。

该攻击的分析可在本论文的完整版本 [15] 中找到。需要注意的是，实际中的哈希函数使用固定的初始向量 IV a，因此——与例如函数求逆不同（通常单次预处理阶段的成本可以分摊到多次求逆挑战中）——该攻击为仅找到一次碰撞所需的大规模预处理可能并不划算。然而，在某些情况下，特定应用中使用的哈希函数（依赖于抗碰撞性）会通过在输入前添加一个随机盐值来进行加盐。这种加盐本质上对应于本文所考虑的随机初始向量（IV）设置，因此，攻击再次变得相关，因为可能能够利用一次预处理阶段来攻破该应用的多个实例。

5 AI‐ROM中的计算安全应用

本节通过两种典型的计算安全性应用来说明位固定方法：(1) Schnorr签名 [49],其中由于伪造签名是一种不可预测性应用，因此可应用2定理；以及 (2) 陷门函数（TDF）密钥封装机制（KEM）[8],为了获得更紧的安全归约，此处需要采用比仅在BF‐ROM中分析安全性并应用1定理更为复杂的方法；详见下文。（有关本节中使用的数字签名、KEMs、TDFs 及其他标准概念的定义，请参见附录A。）

施诺尔的菲亚特‐沙米尔。 设 G为一个素数阶 |G| = N的循环群。在 O(N2, N) 模型中的施诺尔签名方案Σ=(Gen, Sig,Vfy)工作方式如下：
– 密钥生成 ：随机均匀选择 x ∈ Z N，计算 y← g x，并输出sk := x和vk := y。

9 F( k )表示对 F进行 k次应用，且为了具体起见，设[L]={0,…, L − 1}。

– 签名：使用密钥sk = x对消息 m ∈[N]进行签名，随机均匀选取 r ∈ ZN，计算 a← gr，查询 c← O(a, m)，设置 z← r+ cx，并输出σ:=(a, z)。
– 验证：要使用密钥 vk = y 验证消息 m 的签名 σ=(a, z)，查询 c← O(a, m)，并检查 gz?= ayc 是否成立。如果检查通过且c = 0,则接受该签名，否则拒绝。

对于攻击者 A=(A1, A2) 在定理 5中，该定理评估了在AI‐ROM下施诺尔的 Fiat‐Shamir的安全性，我们明确给出了 t运行时间以及 s空间复杂度 A2。此外，如果 A是针对 GDS的攻击者Σ，则存在一个额外参数 qsig，限制 A2最多进行 qsig次签名查询。定理5的证明见于本论文的完整版本[15]。

定理5. 假设 GDL,G对于一个素数 |G| = N在((S′, ∗, t′, s′) ε′)-安全的，并令 Σ= (Gen,Sig,Vfy)为施诺尔方案。那么，对于任意的 T, qsig ∈ N,GDS,Σ在AI-RO(N2, N)-模型中是((S, T, t, s, qsig) ε)-安全的 ε= O˜(√Tε′+ Sqsig(qsig+ T) N), any ˜ ˜ ˜ S ≤ S′/O(T+ qsig), t ≤ t′ − O(S(T+ qsig)),以及 s ≤ s′ − O(S(T+ qsig)) .

作为对比，注意Schnorr签名在标准ROM中的安全性为 O(√Tε′+ qsig (qsig+T N))，即在AI‐ROM中第二项恶化了 S倍。

TDF密钥封装。 设 F为一个陷门函数族（TDF）生成器。TDF加密是一种密钥封装机制Π=(Gen,Enc,Dec)，其工作方式如下：
– 密钥生成 ：运行陷门函数生成器得到(f, f −1) ← F，其中f, f −1: [N]→[N]。设置公钥 pk := f 和私钥 sk := f −1。
– 封装：使用公钥 pk = f 封装一个密钥时，选择 x ∈[N]，查询 k← O(x)，计算 y← f(x)，并输出 (c, k) ←(y, k)。
– 解封装 ：使用私钥 sk = f −1 对密文 c= y 进行解封装，输出 k← O(f −1(y))。

定理 6 讨论了AI‐ROM中TDF密钥封装的安全性。再次强调，对于攻击者 A= (A1, A2)，其运行时间 t和空间复杂度s对 A2是明确的。定理 6的证明在此论文的完整版本中提供 [15]。

定理6。 设Π为陷门函数封装。如果 G TDF ,F是((S ′, ∗, t′, s′ ) ε′ )-安全的，那么对于任意的 T ∈ N, G KEM-CPA ,Π在AI-RO(N, N)-模型中是((S, T, t, s) ε)-安全的，其中 ε= O˜(ε′+ √ ST N)

˜ ˜ ˜和 S= S′ −O(ST)， t= t′ −O (ttdf · T)，以及 s= s′ −O(ST)，其中 ttdf是评估陷门函数所需的时间。

此外， GKEM-CCA,Π在相同参数下是((S, T, t, s) ε)-安全的，˜只是 t= t′ − O( ttdf · ST)除外。

注意，上述安全界简单地对应于陷门函数的安全性与 O作为伪随机生成器的安全性的总和（参见第3节）；在标准的随机预言模型中，陷门函数加密的安全性仅由 O(ε′) 上界限定（参见第A.2节）。

关于定理6证明的一个重要点是，它并未遵循通常的范式，即先推导陷门函数加密在BF‐ROM中的安全性，然后应用定理1（因为CPA/CCA安全性是一种不可区分性应用）。像翁鲁对RSA‐OAEP所做的那样去做[51] （但如脚注 5所述，是在“渐近意义”上），会立即引入一个大小为 ST/P ≤ ST/t′ 的加性误差，因为列表 P的大小上界为陷门函数攻击者的规模 t′。因此，直接应用定理1将导致较差的精确安全性。

相反，我们对定理6的更紧致证明考虑了两个混合实验（其中之一是 AI‐ROM中的原始CPA/CCA安全性游戏）。BF‐ROM的能力被使用了两次—— 采用不同的列表大小：(1) 用于论证两个实验的不可区分性，以及 (2) 用于上界化攻击者在第二个混合实验中的优势。关键的是，归约到TDF安全性仅需针对 (1)，而 (1) 具有不可预测性的特征，因此可以使用大约为 P ≈ ST的列表大小；请注意，这对于高效的(S, T)‐攻击者而言是多项式级别的。对于 (2) 的列表大小，则通过ST/P与BF‐ROM中安全界之间的常规权衡获得。10

6 加盐击败辅助信息

存在一些在标准ROM中安全但在AI‐ROM中不安全的方案。一个简单的例子是将随机预言机本身直接用作抗碰撞性哈希函数 O：[N]→[M]对于某些 N和 M：在ROM中，O显然具有抗碰撞性；而在AI‐ROM中，攻击者A1的第一阶段 A=(A1, A2)（参见第2.2节）可以简单地向 A2泄露一个碰撞，然后由其输出，从而破坏抗碰撞性质。

这篇论文的完整版本[15]简要介绍了两种具有计算安全性的方案，上述现象在这两种方案中也同样存在。第一种是使用所谓的Fiat-Shamir变换将识别方案通用地转换为签名方案，第二种是著名的全域哈希。11

10类似的方法也可用于改进 [51] RSA‐OAEP 在 AI‐ROM 中的安全界。11根据定理 2， AI‐ROM 中存在针对上述方案的攻击显然意味着这些方案在 BF‐ROM 中也无法安全。在 BF‐ROM 中设计直接攻击也相对简单。

为了弥补上述方案存在的问题，本节我们证明了通过牺牲BF‐RO的部分定义域用于加盐，任何标准ROM方案的安全性均可迁移到BF‐ROM中。首先，在第6.1节中，我们分析了通过对每次预言机查询添加一个随机选择的（公开的）值作为前缀来对随机预言机进行标准加盐的方法。其次，在第6.2节中，我们还展示了如何调整[41],毛雷最初在带有随机化的密钥协商背景下使用的技术，以获得一种更节省定义域的加盐技术，尽管其盐值更长；而通过基于扩展图上的随机游走的标准去随机化技术，可以缩短盐值长度。

6.1 标准加盐

对方案进行加盐的标准方法是将公共盐值简单地预置于每个预言机查询之前：考虑一个任意应用 G及其对应的挑战者C。令Csalt为与C相同但最初选择一个均匀随机值 a ∈[K]、输出 a到 A2并将a预置于每个预言机查询之前的挑战者。用 Gsalt表示相应的应用。注意，盐值 a是在攻击的第一阶段 A1之后才被选择的，因此，只要BF‐ROM中攻击者在第一阶段 A1的查询不以 a开头的位置作为前缀，该方案的执行就相当于在标准ROM中进行。此外，需要注意的是，由于证明中所使用的安全归约， A2的时间和空间复杂度分别大致增加了 s和 t。

定理7。 对于任意 P ∈ N，如果一个应用 G在((S′, T′, t′, s′) ε′)-安全的在 RO(N, M)-模型中，则Gsalt在((S, T, t, s) ε)-安全的在BF-RO(P, NK, M)-模型中 ε= ε′+ P K , ˜ ˜ ˜ S= S ′ − O(P)， T= T ′， t= t ′ − O(P) 以及 s= s ′ − O(P)。

定理7的证明 见于本论文的完整版本 [15]。结合第7条定理与第1条和2条来自第2.2节的定理，可得到以下推论：

推论1. 对于任意 P ∈ N和每一个 γ> 0，如果某个应用 G在((S′, T′, t′, s′) ε′)-安全的在RO(N, M)-模型中，则 Gsalt在((S, T, t, s) ε)-安全的在AI-RO(NK, M)-模型中 ε= ε′+ P K +(S+ log γ−1) · T comb G salt P + γ ˜ ˜ ˜以及任意S= S ′ − O(P)， T= T′， t= t ′ − O(P)和 s= s ′ − O(P)，其中T comb G salt 是对应于 G salt的组合查询复杂度。

推论2. 对于每个 γ> 0，如果一个不可预测性应用 G在((S′, T′, t′,s′) ε′)-安全的，在 RO(N, M)-模型中，则 Gsalt在((S, T, t, s) ε)-安全的，在AI-RO(NK, M)-模型中，对于 ε= 2ε+ 2(S+ log γ−1) · T comb Gsalt K + γ 以及任意 S= S′/ O˜(T comb Gsalt)、 T= T′、 t′= t − O˜(P)和 s′= s − O˜(P)，其中P=(S+ log γ−1)T comb Gsalt，且 T comb Gsalt是对应于 Gsalt的组合查询复杂度。

应用。 在本论文的完整版本中[15],我们简要讨论了加盐如何影响第3节到第5 节中所提出的应用的安全性。3至 5。我们还提供了示例，说明直接在 BF‐ROM中分析加盐方案可以得到比将标准ROM安全性界与上述推论之一结合更好的安全界。

6.2 改进的加盐方法

一种理解加盐的方法是将BF‐RO(KN, M)的函数表视为一个(K × N)矩阵，并让加盐方案中的挑战者随机选择并公布用于预言机查询的行。然而，为了获得有意义的界限， K的大小必须与 N相近。在本节中，基于毛雷[41],提出的技术，我们提供了一种更域高效的加盐方法，其中安全性将随着域扩展因子 K指数级（而非逆线性）衰减，代价是每次对派生随机预言机的评估需要 K次（而非1次）对原始随机预言机的评估。

考虑一个任意应用 G及其对应挑战者C。令Csalt′为如下工作的挑战者：它最初选择一个均匀随机值 a=（a1,…, aK） ∈[N]K并输出 a给 A2。然后，它内部运行C，转发攻击者与C之间的所有消息，但通过以下方式回答C对预言机的查询x ∈[N] K ∑ i=1 BF-RO.main(i, x+ ai), 其中加法分别在ZN和 ZM中进行。换句话说，BF‐RO的函数表被排列成一个 K×N矩阵，第 ith行被移位 ai，通过计算移位后的矩阵中第 xth列所有值对 M取模的和来回答查询x，记为 Fa。将相应的应用记为 Gsalt ′。以下定理的证明见本论文的完整版本[15]。此外，我们提出了一种减小公开盐值大小的方法。

定理8。 对于任意 P ∈ N，如果一个应用 G在((S′, T′, t′, s′) ε′)-安全的在RO(N, M)-模型中，则 Gsalt′在((S, T, t, s) ε)-安全的在BF-RO(P, NK, M)-模型中对于