22、基于有损陷门函数的高效阈值加密

基于有损陷门函数的高效阈值加密

引理 3 的证明

假设存在 $1 \leq i \leq n - t_p$，使得 $|\text{Pr}[X_i] - \text{Pr}[X_{i - 1}]|$ 不可忽略。我们构造一个敌手 $C_i$，它将 $A$ 作为子程序来破坏 $TBE$ 的选择性标签 CCA 安全性。

$C_i$ 首先按照游戏序列的“全局”设置，选择一个一次性签名密钥对 $(vk^ , sk^ ) \leftarrow Gen(\lambda)$，然后输出挑战标签 $\tau^ = vk^ $。接着，$C_i$ 获取 $TBE$ 的公钥 $pk$，并设置 $pki = pk$，同时自行生成其余 $(n - 1)$ 对公私钥。这些公钥以及最后 $t_p$ 个私钥会被提供给 $A$。

$C_i$ 诚实地模拟游戏 $Game_{i - 1}$ 或 $Game_i$ 的运行，直到 $A$ 提交挑战 $(m_0, m_1)$。此时，$C_i$ 随机选择一个比特 $b$，计算份额 $(s_1^ , \cdots, s_n^ ) \leftarrow Share(m_b)$，并像在 $Game_{i - 1}$ 和 $Game_i$ 中那样为 $j \neq i$ 准备 $c_j^ $。此外，$C_i$ 在自己的 CCA 实验中输出挑战 $(s_i^ , 0)$。收到密文 $\hat{c}^ $ 后，$C_i$ 设置 $c_i^ = \hat{c}^ $，对所需内容进行签名，并将挑战密文 $c^ $ 提供给 $A$。

对于 $A$ 的