33、密码验证框架下的公钥加密与数字签名功能实现

密码验证框架下的公钥加密与数字签名功能实现

1. 定理 3 及相关概念

定理 3 指出，设 $I$ 和 $J$ 是不相交的接口，$F$、$R$、$P[\vec{x}]$ 为系统，满足 $R \leq_J F$，$P[\vec{x}]·F$ 是确定性的，且 $P[\vec{x}]·F : I$（因此 $P[\vec{x}]·R : I$）。若 $P[\vec{x}]·F$ 是 $I$-非干扰的，则对于所有合适类型的 $\vec{a}_1$ 和 $\vec{a}_2$，有 $P[\vec{a}_1]·R \approx_I^{comp} P[\vec{a}_2]·R$。

该定理的直观理解和典型用途在于，$P$ 需要执行的密码操作通过系统 $R$（如密码库）来完成。要证明秘密输入的密码隐私性（$\forall\vec{a}_1, \vec{a}_2: P[\vec{a}_1] · R \approx_J^{comp} P[\vec{a}_2] · R$），只需证明 $P[\vec{x}] · F$ 的 $I$-非干扰性，即把 $R$ 替换为理想对应物 $F$（理想密码库）的系统。理想功能 $F$ 通常可以不使用概率操作来表述，并且 $F$ 指定的理想原语在无界对手存在的情况下也是安全的。因此，$P[\vec{x}]·F$ 可以通过先验上不能处理密码学（概率和多项式有界对手）的标准工具来分析。

$F$ 依赖于环境和模拟器分别提供的接口 $I_E \cup I_S$，这意味着在检查 $P[\vec{x}]·F$ 的非干扰性时，无需分析实现该库的代码。同样，$R$ 依赖于环境提供的接口 $I_E$，所以 $P[\vec{x}] · R$ 对于 $I_E$ 的所有实现都具有计算不可区分性。这有