16、组合 FIL 随机预言机的构造的安全性分析

组合 FIL 随机预言机的构造的安全性分析

1. 原像抗性的安全性分析

原像抗性是密码学中哈希函数的一个重要属性，它要求对于给定的哈希值，找到对应的原像在计算上是困难的。
- 定理 1（原像抗性的安全边界） ：设 $h$ 是一个 $(c, t, k, m)$ - 压缩函数构造（不一定是 I 型），参数 $\beta_1(q)$ 由定义 6 给出。则有：
[Adv_{h}^{pre}(q) \leq \frac{1}{2^n} + \frac{\beta_1(q)}{2^{cn}}]
证明过程如下：
- 设 $A$ 是一个攻击压缩函数 $h$ 的原像查找敌手。不失一般性，假设敌手的随机输入 $H’$ 为 0。
- 定义 $Preim$ 为关于 $A$ 的最终查询集可由 $h$ 计算的外部输入 $M \parallel H$ 的集合，且满足 $h(f^{(1)}, \ldots, f^{(t)})(M \parallel H) = 0$。
- 如果 $A$ 没有在这个集合中找到任何外部输入，其成功概率非常低。根据引理 3，输出为有效原像的概率 $\leq \frac{1}{2^n}$。所以有 $Pr[A \text{ wins}] \leq \frac{1}{2^n} + Pr[Preim \neq \varnothing]$。
- 接着分析 $Pr[Preim \neq \varnothing]$。按顺序分析 $A$ 的行为，每个外部输入 $M \parallel H$ 会经历不同状态。定义 $Pot1$ 为在 $A$ 的顺序查询的某个阶段，$M \parallel H$ 是 1 - 可计算且兼容的所有 $M \p