23、采用分组密码后处理的哈希函数安全性分析

采用分组密码后处理的哈希函数安全性分析

1. 预备知识

在密码学中，游戏是一个概率状态预言机的元组 (G = (O_1, \ldots, O_r))，其中预言机可以共享状态，并且可以通过黑盒模式访问原语（如随机预言机）。可以合理假设游戏的所有随机源都来自原语。概率预言机算法 (A)（如敌手）以输入 (x) 执行，其预言机查询由 (G) 的相应预言机回答，最终返回 (y := A^G(x))。敌手 (A) 可能受到不同资源的限制，如运行时间、对不同预言机的查询次数、输入或输出的大小等。如果 (\theta) 是描述 (A) 可用资源的参数元组，则称 (A) 是 (\theta) - 敌手。在本文中，(H_P) 是基于原语 (P) 在消息空间 (M) 上定义的 (n) 位哈希函数，且 (P) 只能通过黑盒访问。

• 不可区分性（Indifferentiability 或 PRO） ：由 Maurer 等人在 TCC’04 中引入，后来 Coron 等人在 Crypto’05 中将其作为哈希函数的安全概念。设 (F) 是基于理想原语 (P = (P_1, \ldots, P_j)) 的哈希函数，(\widetilde{F}) 是 VIL 随机预言机，(S_F = (S_{F_1}, \ldots, S_{F_j})) 是旨在模拟 (P) 的模拟器。对于任何敌手 (A)，其不可区分性或 PRO 优势定义为 (Adv_{F^P, S_F}^{pro}(A) = |Pr[A^{F, P} = 1] - Pr[A^{F, S} = 1]|)。当该优势值可忽略时，称哈希函数 (F) 是不可区分的或 PRO。如果 (F) 是不可区分的，那么在任何安全密码系统中使用的 (