20、采用分组密码后处理的哈希函数安全性分析

采用分组密码后处理的哈希函数安全性分析

哈希函数的不良事件概率

哈希函数在运行过程中可能会出现一些不良事件。这些不良事件主要源于 $F(M)$ 的特殊输出（当 $BadF 1 = T$ 或 $BadF 2 = T$ 时，可应用引理 3），或者 $simE(c)$ 的特殊输出（当 $BadE1 = T$ 和 $BadE2 = T$ 时）。可以得出以下结论：
$Pr[BadE1∨E2∨F 1∨F 2 = T ] ≤ \frac{2q0q3 + q2q0}{2n - q0 - q2 - q3} + \frac{(qH + q2 + q0)^2}{2n+1}$
这里使用了引理 3 来界定不良事件 $BadF 1$，其他不良事件的概率计算相对直接，具体细节可由读者自行推导。基于上述引理，可以得到如下定理：
对于任何不可区分性敌手 $A$，若其对四个预言机最多进行 $(q0, q1, q2, q3)$ 次查询，且最长的 $O0$ 查询的比特长度为 $lmax$，则存在一个 $PrA (q, q2 + 1, t)$ 敌手 $CA$，其运行时间 $t = Time(A) + O(q2 · Time(E) + q0 + q1 + (q2 + q0)NQ[lmax])$，并且有：
$Adv_{F,S}^{pro}(A) ≤ Adv_{HP ,P,E}^{pra}(CA) + q3 × Adv_{HP}^{PI}(q, t) + δ$
其中，$δ = q0q3ϵ + \frac{2q0q3 + q2q0}{2n - q0 - q2 - q3} + \frac{(qH + q2 + q0)^2}{2n+1}$，$HP (·)$ 是抗前像的，并且对于一个高效的可计算消息提取器 $Ecomp$ 而