60、密码学假设：分类与评估

密码学假设：分类与评估

1. 引言

在科学发展中，猜想和假设起着关键作用。在密码学领域，假设同样至关重要，因为大多数密码学安全证明本质上是将违反安全定义的敌手存在性，归结为对某些计算不可行性的猜想。传统上，密码学方案基于一些经过深入研究的计算假设，可分为通用假设和具体假设。然而，近年来密码学领域出现了大量性质迥异的新假设，这些假设往往与使用它们的构造紧密相连，缺乏独立性和“双赢”结果。因此，我们需要对假设进行分类，以区分“安全”和“危险”的假设。

2. 分类

2.1 搜索复杂度假设

搜索复杂度假设由一对概率多项式时间算法 (D, R) 组成，断言不存在高效算法 M，能在输入按分布 D 随机挑战 x 时，以不可忽略的概率计算出使得 R(x, y) = 1 的值 y。正式定义如下：
- 定义 1 ：一个假设是搜索复杂度假设，如果它由一对概率多项式时间算法 (D, R) 组成，并且断言对于任何高效算法 M，存在一个可忽略函数 μ，使得对于每个 n ∈ N，有：
[Pr_{x←D(1^n)}[M(x) = y \text{ s.t. } R(x, y) = 1] ≤ μ(n)]
- 定义 2 ：一个假设是私有可验证的搜索复杂度假设，如果它由一对概率多项式时间算法 (D, R) 组成，并且断言对于任何高效算法 M，存在一个可忽略函数 μ，使得对于每个 n ∈ N，有：
[Pr_{r←{0,1}^n}[M(x) = y \text{ s.t. } R(x, y, r) = 1 | x = D(r)] ≤ μ(n)]

“高效算法”可