3、重温剩余哈希引理：降低熵损失与密钥推导优化

重温剩余哈希引理：降低熵损失与密钥推导优化

1. 降低熵损失

在许多密码学场景中，通常当考虑通用区分器 $D$ 时，$2 \log (1/\varepsilon)$ 的熵损失是最优的。然而，在各种实际的密码学场景里，我们往往只关注某类具有一定限制条件的区分器，这为降低这些应用中的熵损失提供了可能。

首先，我们给出一些重要的定义和定理：
- 碰撞概率与 $c$-方差 ：
- 对于分布 $Y$，其碰撞概率定义为 $Col(Y) \stackrel{\text{def}}{=} \sum_{y} Pr[Y = y]^2 \leq 2^{-H_{\infty}(Y)}$。
- 对于联合分布 $(Y, Z)$，$Col(Y | Z) \stackrel{\text{def}}{=} E_{z}[Col(Y | Z = z)] \leq 2^{-\tilde{H} {\infty}(Y | Z)}$。
- 我们用 $(U_Y, Z)$ 表示这样的概率分布：先从 $(Y, Z)$ 中采样 $(y, z)$，然后将 $y$ 替换为来自 $U_Y$ 的独立均匀样本。
- 对于随机变量 $W$ 和常数 $c$，定义其 $c$-方差为 $Var_c[W] \stackrel{\text{def}}{=} E[(W - c)^2]$，$c$-标准差为 $\sigma_c[W] \stackrel{\text{def}}{=} \sqrt{Var_c[W]}$。当 $c = E[W]$ 时，就得到了标准的方差和标准差概念，即 $Var[W]$ 和 $\sigma[W]$，并且它们是 $Var_c[W]$ 和 $\sigma_c[