2、重温剩余哈希引理：突破局限，提升密码学应用效能

重温剩余哈希引理：突破局限，提升密码学应用效能

引言

在密码学和复杂性理论领域，著名的剩余哈希引理（LHL）有着广泛应用。简单来说，通用哈希函数是优秀的随机数提取器。若随机变量 $X$ 在某个空间 $X$ 上的最小熵为 $m$，$H$ 是从 $X$ 到 ${0, 1}^v$ 的通用函数族，且 $H$ 是 $H$ 中的随机成员，那么即使已知 “种子” $H$，$H(X)$ 与 ${0, 1}^v$ 上的均匀分布 $U_v$ 之间的统计距离也被 $\sqrt{2^{-L}}$ 所界定，其中 $L = m - v$ 为熵损失。

LHL 具有诸多吸引人的特性：
1. 简单高效 ：能构建简单高效的随机数提取器，用于需要良好秘密随机性的场景，如密码密钥派生、隐私放大、Diffie - Hellman 密钥交换等。
2. 函数通用 ：许多简单函数，如内积或矩阵 - 向量乘法，都是通用的，具有良好的代数性质。
3. 构造多样 ：已知许多简单高效的（几乎）通用哈希函数构造方法，使基于 LHL 的提取器成为目前最有效的提取器。
4. 熵损失最优 ：能达到实现所需统计距离 $\varepsilon$ 的最小熵损失 $L = 2 \log (1 / \varepsilon)$。

然而，LHL 也存在两大局限性：
1. 熵损失大 ：在理论上，$2 \log (1 / \varepsilon)$ 的熵损失可能并不显著，但在实际的密钥派生场景中，这往往是一个关键问题。例如在