52、灵活的群组密钥交换与量子读取物理不可克隆函数

灵活的群组密钥交换与量子读取物理不可克隆函数

1. 灵活的群组密钥交换证明

为了证明攻击者 A 在区分群组密钥 $k_i$ 和随机元素时的优势是可忽略的，我们构建了一系列游戏 $G_0, …, G_4$。在每个游戏中，只有当实例 $\Pi_s^i$ 是新鲜的时，才会回答 $TestGK(\Pi_s^i)$ 查询。
- 游戏 $G_0$ ：这是 $mBD + P$ 的真实执行，模拟器 $\Delta$ 按照 $Game_{ake - g,b}^{A,mBD + P}(\kappa)$ 的定义，代表实例真实回答 A 的所有查询。A 可以访问哈希函数 $H$、$H_g$ 和 $H_p$ 的哈希查询，这些函数被建模为经典的随机预言机。
- 游戏 $G_1$ ：排除每个诚实用户 $U_i$ 在不同会话中计算的转录 $(U_i, y_i)$ 和群组密钥 $k_i$ 的碰撞，以及 $k_i$ 与任何点对点密钥 $k_{i,j}$ 之间的碰撞。根据生日悖论，转录碰撞的概率至多为 $\frac{N(q_{Ex} + q_{Se})^2}{Q}$，$k_i$ 碰撞以及 $k_i$ 与 $k_{i,j}$ 碰撞的概率上限为 $\frac{(q_{H_g} + q_{H_p})^2}{2^{\kappa}}$。因此，$|\Pr[Win_{ake - g}^1] - \Pr[Win_{ake - g}^0]| \leq \frac{N(q_{Ex} + q_{Se})^2}{Q} + \frac{(q_{H_g} + q_{H_p})^2}{2^{\kappa}}$。
- 游戏 $G_2$ ：如果 A