59、FleXOR：超越Free - XOR的灵活异或门加密方案

FleXOR：超越Free - XOR的灵活异或门加密方案

1. 定义与安全游戏

首先，我们正式定义两个安全游戏，它们由密钥派生函数（KDF）$H : {0, 1}^* \to {0, 1}^{\lambda + 1}$ 参数化。

• 游戏初始化 ：
• 生成 $n$ 个随机的（秘密）线偏移 ${\Delta_i} i$，其中 $n$ 是游戏的一个参数。为方便起见，设置 $\Delta_0 := \Delta {\infty} := 0^{\lambda}$。

• 随机选择 $\beta \in {0, 1}$。

• 游戏流程 ：

• 敌手可以进行形如 $H(X \oplus \Delta_a, Y \oplus \Delta_b, T) \oplus \Delta_c$ 的查询，条件是 ${\Delta_a, \Delta_b}$ 中至少有一个是未知的（即 $a, b \notin {0, \infty}$），并且调整值 $T$ 不能重复使用。该表达式的结果应与随机值不可区分。

• 在 kdf.rk 变体游戏中，有额外的“单调性”限制，即 $c > \max{a, b}$，这可以防止敌手在秘密 $\Delta_i$ 值之间引发“密钥循环”。

• 敌手优势定义 ：

• 设 $H$ 是一个 KDF，$A$