10、一次和三次通过UM协议的组合安全分析及异或构造的不可区分性研究

一次和三次通过UM协议的组合安全分析及异或构造的不可区分性研究

一次和三次通过UM协议的组合安全分析

在安全分析方面，S对M环境的模拟几乎是完美的，出现偏差的概率可以忽略不计。假设事件M ∗∧E4发生，测试会话是第r个会话，且ˆU和ˆV是通信双方的概率至少为2/(n³t)。若确实如此，S在步骤1、2、3和4中不会中止。由于事件E4发生，S在步骤7和13中也不会中止。根据新鲜会话的定义，M只能在测试会话过期后破坏ˆU或ˆV中的一个。因此，在步骤10中止之前，S在步骤8中是成功的。除了以可忽略不计的概率猜出ξ(U, V)外，成功的M必须用(CDH(X, Y), CDH(U, V), ˆA, ˆB, X, Y)查询H，其中{ˆA, ˆB} = {ˆU, ˆV}，此时S在步骤11a中是成功的。S成功的概率下限为Pr(S) ≥2p₄/n³t（忽略可忽略项）。

总体分析中，在模拟过程中，S执行群指数运算、模拟预言机查询并访问DDH预言机，这些操作都在多项式时间内完成。如果M的运行时间也是多项式的，那么S是一个多项式有界算法，它产生MAC伪造或成功解决CDH挑战的概率至少为：
Pr(S) ≥max{ 2p₁/(nt)², 2p₂/n², 2p₃/n²t, 2p₄/n³t }

在模拟事件M ∗∧E2和M ∗∧E4时，隐含地假设了ˆU和ˆV是不同的参与方。更准确地说，如果允许一方与自己发起会话，那么S可能会失败，因为M可能会产生CDH(U, U)或CDH(V, V)而不是CDH(U, V)。ˆU = ˆV的情况可以通过从间隙平方问题（GSP）进行归约来涵盖，GSP是在给定gᵘ和DDH预言机的情况下计算gᵘ²的问题。S的操作修改如下：给定U = gᵘ，S从[1, q - 1]中随机选择v并