电子货币与候选单向函数的相关研究
电子货币的可追溯性与大小增长
在电子货币的研究中,有几个关键的概念和结论。首先,当电子货币进行转移时,其大小会增加,增加的部分是识别新付款人所需的比特数。具体来说,如果银行需要 $k$ 比特的信息来识别每个付款人,那么有 $H(C_{n + 1}) \geq kn - 2nq$ ,并且由于 $C_n$ 和 $C_{n + 1}$ 的对称性,我们可以得出结论:电子货币的大小会随着每次转移时识别付款人所需的比特数而增长。
对于前向可追溯性,如果银行的所有秘密密钥都由银行的公钥唯一确定,那么拥有无限计算能力的付款人在给定一个已转移的硬币时,总是可以确定他之前是否拥有过这枚硬币,具体步骤如下:
1. 模拟他原始硬币的另一次支付。
2. (利用无限计算能力)计算银行的秘密密钥。
3. 确定双重支出者的身份(就像银行会做的那样)。
计算上不可追溯的货币
之前的研究表明,无条件不可追溯的电子货币在转移时大小必须增加。在计算上不可追溯的货币方面,也有类似的结果。之前考虑的树结构不足以给出计算上不可追溯货币大小的有趣下界,因为在这样的系统中,每个元素原则上可能包含识别付款人所需的所有信息,但不包含关于先前付款人的额外信息。
这里的证明基于一个如下构建的支付树:
1. 首先,$p_b$ 从银行收到一枚硬币 $c$。
2. 然后,他在系统中的所有个体中随机选择两个收款人 $p_1$ 和 $p_2$,并在正确且独立的支付协议执行中向他们付款。
3. 由于货币系统具有可转移性,$p_1$ 和 $p_2$ 随后可以相互独立地以类似方式两次花费收到的硬币。
4. 一般来说,对于 $j \geq 1$ 和 $0 \leq i < 2^{j - 1}$,$p_i^j$ 将收到的硬币转移给 $p_{2i}^j$ 和 $p_{2i + 1}^j$。
5. 一段时间后,原始硬币变成了 $C_0, C_1, \cdots, C_{2^n - 1}$,其中 $p_i^j$ 是 $c_{2i}$ 和 $c_{2i + 1}$ 的付款人,$i = 0, 1, \cdots, 2^{n - 1} - 1$。
设 $C_i$ 是一个值为 $c_i$ 的随机变量,$P_i$ 是一个值为 $p_i$ 身份的随机变量。对于任何 $i = 0, 1, \cdots, 2^n - 1$,设 $P_{i,1}, P_{i,2}, \cdots, P_{i,n}$ 是支付树中从根到 $C_i$ 的路径。此外,对于任何一对 $(i, j)$,其中 $0 \leq i < 2^n$ 且 $1 \leq j < n$,定义了一些子树和相关函数。
设 $p$ 是用户可以两次花费硬币而不被识别的最大概率,$L = p\log K$,其中 $K$ 是可能参与者的数量。银行能够识别双重支出者的属性可以用熵来表示。
有如下定理:
定理 5.1
:在深度为 $n$ 的树中,$\sum_{i = 0}^{2^n - 1}H(C_i) \geq \sum_{i = 0}^{2^n - 1}\sum_{j = 1}^{n - 1}H(P_{i,j}) - 2^{n - 1}3n\epsilon$。
这表明电子硬币在转移时大小必须增长。具体来说,当对每个付款人的不确定性为 $k$(即需要 $k$ 比特的信息来唯一识别一个付款人)时,该定理意味着硬币的熵至少为 $n\frac{k - 3\epsilon}{2}$,并且如果所有 $C_i$ 的熵相等,那么硬币的熵随着转移次数线性增长,并且每次转移时硬币大约增长 4 比特(因为 $k >> 3\epsilon$)。
该定理通过结合两个引理来证明:
-
引理 5.2
:对于每个 $i$($0 \leq i < 2^n$),$H(C_i) \geq \sum_{j = 1}^{n}H(P_{i,j} | C_{f(i,1)}, \cdots, C_{f(i,j)}) - 2n\epsilon$。
-
引理 5.3
:对于 $0 \leq k < 2^n$,有相应的熵的上界关系。
证明过程使用了以下四个规则:
1. $H(U) \geq 0$
2. $H(U, V) = H(U | V) + H(V)$
3. $H(U, V | W) = H(U | V, W) + H(V | W)$
4. $H(U | V, W) \leq H(U | V)$
电子货币与秘密共享的联系
定理 4.2 和 5.1 给出了转移电子货币大小的下界。从另一个角度看,这些定理与秘密共享有关。
如果将 $p_1, p_2, \cdots, p_n$ 视为 $k$ 比特的秘密,$c_1, c_2, \cdots, c_{n + 1}$ 视为这些秘密的份额,那么这个树结构描述了一个人(经销商)有 $n$ 个秘密并希望以信息论安全的方式将它们分配给 $n + 1$ 个人的情况,使得对于每个 $i = 1, 2, \cdots, n$,可以从 $c_i$ 和 $c_j$(其中 $i < j \leq n + 1$)中找到 $p_i$。定理 4.2 表明份额 $c_{n + 1}$ 必须至少为 $nk$ 比特,并且可以推广到每个 $c_i$ 必须至少为 $ik$ 比特长($1 \leq i \leq n$)。
同样,第 5 节的结果也可以用秘密共享方案来描述。将付款人的身份视为秘密,硬币视为秘密的份额。有 $2^n - 1$ 个秘密和 $2^n$ 个人获得份额 $c_0, c_1, \cdots, c_{2^n - 1}$,访问结构由第 5 节描述的树定义。如果每个秘密是均匀选择的 $k$ 比特秘密,定理 5.1 表明 $\sum_{i = 0}^{2^n - 1}H(C_i) \geq n2^{n - 1}k - 2^{n - 1}n3\epsilon$。这个结果是最优的,因为可以为每个变量赋值使得 $\epsilon = 0$ 时,$\sum_{i = 0}^{2^n - 1}H(C_i) = n2^{n - 1}k$。
例如,假设 $k$ 是偶数,设 $\lfloor x \rfloor$ 表示 $x \in {0, 1}^k$ 的前 5 比特,$[x]$ 表示 $x$ 的后 $k - 5$ 比特。对于 $n = 8$ 的情况,可以通过以下方式达到下界:
- $c_0 := (\lfloor p_1 \rfloor, \lfloor p_2 \rfloor, \lfloor p_3 \rfloor)$
- $c_1 := (\lfloor p_1 \rfloor, [p_2], \lfloor p_3 \rfloor)$
- $c_2 := (\lfloor p_1 \rfloor, \lfloor p_2 \rfloor, [p_3])$
- $\cdots$
- $c_7 := ([p_1], [p_2], [p_3])$
这里每个份额由 9 比特组成,满足要求。并且这些秘密也可以以信息论安全的方式共享,例如让每个份额 $c_i$ 由 $3k$ 比特组成。这表明第 4 节的下界不能使用第 5 节的树来改进。
下面是支付树构建过程的 mermaid 流程图:
graph TD;
A[p_b 从银行收到硬币 c] --> B[p_b 随机选择 p_1 和 p_2 并付款];
B --> C[p_1 和 p_2 可独立两次花费硬币];
C --> D[一般情况 p_i^j 转移硬币];
D --> E[原始硬币变为 C_0 到 C_{2^n - 1}];
| 步骤 | 描述 |
|---|---|
| 1 | $p_b$ 从银行收到硬币 $c$ |
| 2 | $p_b$ 随机选择 $p_1$ 和 $p_2$ 并付款 |
| 3 | $p_1$ 和 $p_2$ 可独立两次花费硬币 |
| 4 | 一般情况 $p_i^j$ 转移硬币 |
| 5 | 原始硬币变为 $C_0$ 到 $C_{2^n - 1}$ |
电子货币与候选单向函数的相关研究
候选单向函数的局部随机性
在密码学中,建立单向函数是一个重大的开放问题。虽然无法证明单向性,但分析候选单向函数并证明其在密码学应用中有用的性质是有意义的。
我们称 $n$ 位字符串上的分布为 $(\epsilon, e)$ - 局部随机的,如果对于每一个 $e \leq n$ 位置的选择,在 $e$ 位字符串上的诱导分布在 $L_1$ 范数下与 $e$ 位字符串上的均匀分布的距离至多为 $\epsilon$。我们在作为候选单向函数的多项式随机数生成器(RNG)中建立了局部随机性。
设 $N$ 是一个无平方因子的整数,$f_1, \cdots, f_l$ 是系数在 $\mathbb{Z}_N = \mathbb{Z} / N\mathbb{Z}$ 中的多项式。我们研究将随机 $x \in \mathbb{Z}_N$ 扩展为 $f_1(x), \cdots, f_l(x)$ 的最低有效位序列的 RNG。如果对于 $N$ 的每个素因子 $p$,多项式 $f_1, \cdots, f_l$ 在 $\mathbb{Z}_p[x]$ 中次数 $\leq 1$ 的多项式子空间模下线性独立,那么这个 RNG 提供局部随机性。
例如,设 $N$ 是一个素数且 $N > 2^n$,$f_1, \cdots, f_l \in \mathbb{Z}_N[x]$ 是在 $\mathbb{Z}_N[x]$ 中次数 $\leq 1$ 的多项式子空间模下线性独立的任意多项式。对于随机 $x \in \mathbb{Z}_N$,由 $f_i(x)$ 模 $N$ 在 $[0, N - 1]$ 中的余数的奇偶位 $f_i(x)[1]$ 组成的位串 $(f_1(x)[1], \cdots, f_l(x)[1])$ 是 $(\epsilon, e)$ - 局部随机的,前提是 $\epsilon, n, e$ 和 $l$ 满足不等式 $2^{-n/2}(2n \log 2)^{l + 1}2^e \leq \epsilon$,其中 $\log$ 表示自然对数。例如,我们可以选择 $n \geq 64$,$l = \lfloor 2n / 7 \rfloor$,$\epsilon = 2^{-n/7}$,$e = \lfloor n / (7 \log n) \rfloor$。
我们的主要结果涵盖了 $N$ 是任意无平方因子整数、输出包含每个余数 $f_i(x)$ 模 $N$ 的多个位以及 $x$ 是在 $[0, N - 1]$ 的子区间 $[0, M - 1)$ 中随机选择的情况。
需要注意的是,函数 $[0, N - 1] \ni x \to (f_1(x)[1], \cdots, f_l(x)[1])$ 是一个候选单向函数。目前还没有已知的反演算法在 $\min(l, \log_2 N)$ 上是多项式时间的。到目前为止,仅对于随机 RSA 模 $N$ 和 RSA 多项式 $f_i = x^{e_i}$(前提是 RSA 方案是安全的)证明了该函数的单向性。然而,这个单向函数可能比 RSA 方案更安全。
以下是判断候选单向函数是否为 $(\epsilon, e)$ - 局部随机的步骤列表:
1. 确定 $N$ 是否为无平方因子的整数。
2. 检查对于 $N$ 的每个素因子 $p$,多项式 $f_1, \cdots, f_l$ 在 $\mathbb{Z}_p[x]$ 中次数 $\leq 1$ 的多项式子空间模下是否线性独立。
3. 验证 $\epsilon, n, e$ 和 $l$ 是否满足不等式 $2^{-n/2}(2n \log 2)^{l + 1}2^e \leq \epsilon$。
随机函数生成器与密码学哈希函数
我们还建立了与固定多项式相关的随机函数生成器,这些生成器提供局部随机性,它们是密码学哈希函数的候选者。
对于一个次数为 $d$ 的多项式 $P \in \mathbb{Z}_N[x]$,我们关联一个多项式函数族 $P_x(y) = P(x + y)$,其中 $x$ 是函数名,$y$ 是输入。对于固定的 $k, m \leq \log_2 N$,我们将随机 $x \in \mathbb{Z}_N$ 关联一个随机函数 $P_x^m : [0, 2^k - 1] \to {0, 1}^m$,$y \to P(x + y)[m]$,其中 $P(x + y)[m]$ 表示 $P(x + y)$ 模 $N$ 在 $[0, N - 1]$ 中的余数的最低 $m$ 位组成的位串。
我们称函数族 ${P_x}$ 为 $(\epsilon, e)$ - 局部随机的,如果对于随机 $x$ 和任意 $e$ 个不同的点 $y_1, \cdots, y_e$,$em$ 位串 $(P_x(y_1), \cdots, P_x(y_e))$ 的分布在 $L_1$ 范数下与均匀分布的距离至多为 $\epsilon$。
我们证明了如果 $N$ 是素数,$d = \text{deg}P$ 满足 $e + 1 \leq d < N$,那么上述函数族 ${P_x^m}$ 是 $(\epsilon, e)$ - 局部随机的。
一个函数族是 Carter 和 Wegman(1979)引入的 $e$ - 通用哈希函数族,当且仅当它是 $(0, e)$ - 局部随机的。我们的哈希函数比 Carter 和 Wegman 的哈希函数需要更少的随机比特。
下面是生成随机函数并判断其是否为 $(\epsilon, e)$ - 局部随机的 mermaid 流程图:
graph TD;
A[选择多项式 P 和参数 N, k, m] --> B[随机选择 x 属于 Z_N];
B --> C[定义随机函数 P_x^m];
C --> D[选择 e 个不同的点 y_1 到 y_e];
D --> E[计算 em 位串 (P_x(y_1), ..., P_x(y_e))];
E --> F[判断分布是否满足 (epsilon, e) - 局部随机];
| 步骤 | 操作 |
|---|---|
| 1 | 选择多项式 $P$ 和参数 $N, k, m$ |
| 2 | 随机选择 $x \in \mathbb{Z}_N$ |
| 3 | 定义随机函数 $P_x^m$ |
| 4 | 选择 $e$ 个不同的点 $y_1, \cdots, y_e$ |
| 5 | 计算 $em$ 位串 $(P_x(y_1), \cdots, P_x(y_e))$ |
| 6 | 判断分布是否满足 $(\epsilon, e)$ - 局部随机 |
综上所述,电子货币的可追溯性和大小增长、候选单向函数的局部随机性以及随机函数生成器与密码学哈希函数之间存在着紧密的联系。这些研究成果为密码学的发展提供了重要的理论基础和实践方向。
扫一扫
7083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
