可更新有损陷门函数及其抗连续泄露构造

可更新的有损陷门函数及其在连续泄露中的应用

摘要

有损陷门函数（LTFs）最初由Peikert 和 Waters提出[2]。自引入以来，LTFs已获得了大量应用。本文关注连续泄露环境下的LTFs。我们提出了可更新LTFs（ULTFs）的新概念，并给出了其形式化定义和安全属性。基于这些内容，我们将LTFs的安全模型扩展到连续泄露场景。

在DDH假设和DCR假设下，我们分别在标准模型中构造了两个明确的抗连续泄露的LTFs方案。我们还比较了所提方案与已知的连续抗泄露 LTFs方案的性能表现。

关键词 ：有损陷门函数 · Continuous leakage · ULTFs · DDH · DCR

1 引言

有损陷门函数（LTFs）最初由Peikert 和 Waters[2]提出。一组有损陷门函数 可分为两个计算上不可区分的族：第一个族是单射函数，可通过陷门高效地进行逆运算；另一个族是有损函数，在这些函数下，函数像的大小明显小于其定义域的大小，因此有损函数会丢失大量关于输入的信息。此外，单射函数和有损函数均可高效采样。

实际上，有损陷门函数已发现多种应用，可作为构建重要密码原语的工具， 例如在标准模型中构造单射单向陷门函数、选择明文安全（CPA）和选择密文 安全（CCA）的公钥加密（PKE）以及不经意传输（OT）。此外，有损陷门函数还已发现各种其他应用，包括确定性PKE方案[9],基于OAEP的PKE方案、用于防范不良随机性的对冲PKE方案、抵抗选择性打开攻击（SOA）的PKE方案 以及高效的非交互式字符串承诺等。

抗泄漏密码系统的特点是，即使包括私钥在内的某些秘密内部信息泄露给 对手，该系统仍然保持安全。在传统安全分析中，安全模型认为这些内部信息 对对手是完全隐藏的。随着各种侧信道攻击的发展，显然这种传统观点与某些 物理现实不一致[16]。密码学研究人员已高度关注抗泄漏密码系统的设计[5,17– 19]。

连续抗泄漏（CLR）模型由Dodis等人[13]和Brakerski等人[14]提出。该 模型是一种更强大的安全模型，因为它允许对手在整个系统运行期间持续获取 系统秘密内存中的无界泄漏信息。Alwen等人[15]对隐形密钥更新的这种模型 进行了形式化定义，其中假设存在一个可信无泄漏设备，该设备利用某个可更新密钥 uk以持续刷新私钥，同时仍满足上述两个要求。该无泄漏设备仅在密钥更新期间存在，而在解密等正常操作期间并不存在，而泄漏正是在这些正常操作期间发生。在[1],中，这种具有隐形密钥更新的CLR模型被称为软盘模型，该模型假设存在一个外部无泄漏存储，该存储仅在刷新操作期间可用。

Our Motivation

基于Brakerski等人[14],Koppula等人[7]首次给出了连续泄漏下的有损陷门函数的安全模型，并提出了抗连续泄漏的有损陷门函数，这是确定性公钥加密抵抗连续泄漏的基础。他们的安全模型主要基于Peikert 和 Waters在[2]中提出的全但一（ABO）有损陷门函数。在此模型下，他们的方案并不简洁高效，因为他们使用了大量的双线性对运算来加密单个比特。因此，他们提出的抗连续泄漏的有损陷门函数过于复杂，难以在实际中高效应用。

秦和刘等人首次引入了抗泄露有损陷门函数[8]。在他们的工作中，有损陷门函数的结构与Peikert 和 Waters在[2]中提出的略有不同。在[2],中，有损陷门函数的评估密钥包含了公共参数。但在[8],中，他们通过两个独立的算法区分了公共参数和评估密钥。尽管如此，这种结构上的微小改变并未影响其方案满足有损陷门函数的安全属性。

受秦和刘等人[8],工作的启发，我们致力于研究如何在软盘模型中构建高效且实用的有损陷门函数以抵御连续泄露。

O在本研究中，我们的贡献如下所述：

1. 我们基于[8]的LTFs结构引入了可更新的有损陷门函数（ULTFs）这一新概念，其中密钥生成算法被分为两个独立的步骤。同时，我们也给出了单射/有损评估密钥的不可区分性等安全要求。当评估算法F是抗泄露的时，我们可以实现抵抗连续泄露的LTFs，简称为CLR‐LTFs。借助ULTFs这一新概念，我们在软盘模型中实现了CLR‐LTFs的安全模型（表1）。

2. 基于向量形式 [1,4,5] 的类ElGamal公钥加密方案，该方案具有加法同态性且在DDH和DCR假设下分别实现针对连续泄露的CPA安全，我们提出了两种 CLR‐LTFs方案。在这两种CLR‐LTFs方案中，在公共参数和评估密钥固定的情况下，我们利用矩阵核技术完成陷门更新。

3. 与Koppula等人[7],提出的其他已知CLR‐LTFs构造相比，我们给出了以下效率比较。

	方案	困难性假设	泄露率			配对	群
	方案	困难性假设	泄露率			配对	群
[7]	DDH	DDH	DDH	1/2	1比特	Yes	素数阶
[7]	SXDH	SXDH	SXDH	1 − o(1)	1比特	Yes	素数阶
Ours	DDH	DDH	DDH	1/n	n 位	No	素数阶
|m|
Ours	DCR	1 − o(1)	αlogN‐比特	否	复合阶
|m| 表示加密消息的长度； n ≈ Θ(κ)，其中 κ是安全参数； N是RSA模数； α ≥ 1是自然数。

2 预备知识

令[t]表示集合{1, 2,···, t}，其中 t为自然数，logx表示 x以2为底的离散对数。

我们称函数negl(κ)在 κ上是可忽略的，如果对于所有多项式ploy和足够大的κ，均有negl( ≤ 1/) ≤ 1/ploy(κ)。Rki(Z n×m p )表示在群G上所有 n×m且秩为 i的矩阵上的均匀分布。我们将标准的DDH假设扩展为以下形式：对于群(G,p, g)以及随机元素 g1, g2,···, gl ∈ G，定义两个集合：L:={(g r 1, g r 2,···, g r l) : r ∈ Z p}； X:={(g r 1 r 2 l Z p} 。

如果 x ∈ L对应的 r称为 x的一个证人。同时，(X, L) 构成一个子集成员问题[5]，其困难性基于DDH假设[4]。另一方面，Naor和Segev[5]指出， DDH假设等价于如下假设：在素数阶群 G的生成元 g的指数上，难以区分一个秩为 i ≥ 1的 n‐乘‐m矩阵 X与一个秩为 j> i的矩阵。

秩隐藏假设[14]

沿用DDH假设的参数。令Rki(Zn×m p )表示在域 Zp上所有 n‐乘‐ m且秩为 i的矩阵的均匀分布。当且仅当以下条件成立时，秩隐藏假设成立：

Advrh G,A:= |Pr[A((G,p, g, gX): X ← Rki(Zn×m p ))= 1] −Pr[A((G,p, g, gX): X ← Rkj(Zn×m p ))= 1]| ≤ negl(κ)

对于任意概率多项式时间（PPT）对手 A。

扩展秩隐藏假设[1]

基于秩隐藏假设，扩展秩隐藏假设指出：对于任意概率多项式时间（PPT）对手 A，其优势

Adverh G,A :=|Pr[A((G,p, g, gX, v1,···, vt) : X ← Rki(Z n×m p ); {vl} t l=1 ∈kernel(X)) = 1]−Pr[A((G, p, g, gX, v1,···, vt) : X ← Rkj(Zn×m p ); {vl} t l=1 ∈kernel(X)) = 1]|≤negl(κ) 其中 m, n ∈ N, j> i ∈ N 和 t ≤min{n, m}−max{i, j}。

判定性复合剩余假设(DCR)假设

我们假设群Z∗ Nα+1是一个乘法群，其中 α ≥ 1为整数。整数N= PQ是一个RSA模数，意味着 P和 Q是具有相同位长度的奇素数。显然，群 Z∗ Nα+1是群G × H的直积，其中G是一个阶为 Nα 的循环群，H与 Z∗ N同构。我们定义 T:=1+ N(modNα+1)，因此 T生成群H。

判定性合剩余（DCR）假设在群 Z∗ Nα+1上成立当且仅当

AdvDCR N,A:= |Pr[A(N, g)= 1] − Pr[A(N, g · T)= 1]| ≤ negl(κ)

对于任意概率多项式时间（PPT）对手 A，其中 g ∈群G是随机选取的。

广义剩余哈希引理

我们用X ≈ε Y表示SD(X, Y)≤ε，用 X ≈ Y表示统计距离可忽略。随机变量 X的最小熵定义为 H∞(X) = −log(maxxPr[X= x])。我们使用平均最小熵的概念，用于刻画在给定另一个随机变量 Y的条件下，随机变量 X所保留的不可预测性，其形式化定义为： H˜∞(X|Y) = −log(Ey∈Y[2−H∞(X|Y=y)])，其中 Ey∈Y表示对 Y所有取值的期望。

定义 2.[6]

一个函数 Ext: X ×{0, 1} t → Y 是一个平均情况下的 (m, ε)‐强提取器，如果对于所有随机变量对 (X, Z)，满足 X ∈ X 且 ˜ H∞(X|Z) ≥ m，都有 SD((Ext(X, S) S, Z),(UY, S, Z)) ≤ ε.，其中 S 在 {0, 1} t 上均匀分布，且 UY 在 Y 上均匀分布。

引理 1。[6]（广义剩余哈希引理）

假设族 H={Hk: X → Y}k∈K 是一个通用哈希族。那么对于任意两个随机变量X, Z和 k ∈ K，都有SD((Hk(X) k, Z),(UY, k, Z)) ≤ 1 2√ 2− ˜ H ∞(X|Z) |Y|。

3 可更新的有损陷门函数

尽管Koppula等人[7]提出了抗持续内存泄露的有损陷门函数（LTFs）概念， 但他们的概念主要基于Peikert和Waters在[2]中提出的全但一（ABO）有损陷门函数。下面将要提出的新概念主要基于秦和刘等人[8]的有损陷门函数结构， 该结构与Peikert和Waters在[2]中引入的结构略有不同。在[2],中，有损陷门函数的评估密钥包含公共参数。但在[8],中，他们通过两个独立的算法区分了公共参数和评估密钥。因此，这种结构上的变化对安全性没有任何影响。基于这一新概念，当评估算法具有抗泄露性时，我们可以自然地将ULTFs扩展为 CLR‐LTFs。

我们给出一些关于安全参数 κ的相关函数： d(κ)：关于 κ的多项式的输入长度； k (κ)：有损性 k(κ) ≤ d(κ)。

定义（可更新的有损陷门函数）

一组可更新的(d, k)‐有损陷门函数是由五个（可能为概率性）多项式时间算法（PTA）(G, S, F, F−1,U)构成的集合，满足以下条件：

1. 公共参数 。G(1κ)：这是一个概率性多项式时间算法（PTA），输入安全参数 1κ，输出公共参数、陷门和可更新密钥(pp td, uk)。

2. 公共参数 。S(pp, b)：这是一个概率性多项式时间算法（PTA），输入公共参数pp和 b ∈{0, 1}，采样一个评估密钥 ek，也称为函数索引。

3. 评估 。F(ek, x)：这是一个确定性多项式时间算法（PTA），输入评估密钥 ek和 x ∈{0, 1}d，输出像 y。

4. 逆运算 。F−1(td, y)：这是一个确定性多项式时间算法（PTA），输入像 y和陷门 td，输出 x ∈{0, 1}d或 ⊥。

5. 更新 。U(uk, td)：这是一个概率性多项式时间算法 （PTA），输入可更新密钥 uk和原始陷门 td，输出更新后的陷门 td′，使得 |td| = |td′|。

基本性质

我们要求ULTF（G,S,F,F−1,U）具有一些基本性质，表明其正确性和困难性要求：

– 正确性 。对于所有 (PP td) ← G(1κ)，所有 ek ← S(pp,1) 以及所有 x ∈{0, 1}d，都有 F−1(td, F(ek, x)) = x，即 y 的原像。另一方面，要求在固定公共参数 pp 和评估密钥 ek 的情况下，更新后的陷门 td′也能在单射模式下正确恢复 y 的原像 x，即成立 F−1(td′, F(ek, x)) = x。

– 单射/有损 。对于第三个评估算法 F(ek,·)，要求对于任意 ek ← S(pp,1)，函数 F(ek,·) 处于单射模式；而对于任意ek ← S(pp,0)，函数 F(ek,·) 处于有损模式。有损函数 F(ek, x) 的像的大小至多为 2d−k。即使评估 F(ek, x) 处于单射模式，也要求能够使用陷门 td或其多项式多次更新的陷门 td′之一将其逆推出正确的原像。

– 不可区分性 。对于第二个公共参数算法 S(pp b)，分别由 S(pp,1) 和 S(pp,0) 生成的两个评估密钥 ek 在计算上是不可区分的，即使在陷门更新之后也是如此。

扩展

对于特定的结构，ULTFs 可以被视为一种特殊的有损陷门函数，在无泄露和泄露环境下的密码原语构造中均起到基础性作用。如果我们能够有效地将 ULTF 与泄露特性相结合，则可以实现连续抗泄露（CLR）LTFs。基于 ULTFs 的新概念，我们给出 CLR‐LTFs 的安全模型如下。

我们在软盘模型中考虑安全模型[1]。这意味着在陷门更新期间存在一个无 泄露的设备，并且在两次陷门更新之间关于陷门存在有界泄露（详见[1]以获取更多细节）。

定义（抗连续泄露的有损陷门函数）

我们称ULTFs（G,S,F,F−1,U）是在软盘模型下满足上述基本性质的一类连续 λ比特抗泄露的(d, k)‐LTFs（记为 λ‐ CLR‐LTFs），并且对于任意PPT λ密钥泄露对手A=(A1, A2)，其优势

Advλ−CLR ULTF,A(κ):= |Pr[Expλ−CLR ULTF,A(κ, 0)= 1] − Expλ−CLR ULTF,A(κ, 1)= 1]| ≤ negl(κ)

其中，实验Expλ−CLR ULTF A(κ, γ) (γ ∈{0, 1}) 描述如下：

实验 Expλ−CLR ULTF A(κ, γ): (pp td0) ← 群G(1κ) 对于 i= 0,1,2,···, t其中 t是安全参数 κ{Statei ← Aleakage(tdi 1)(pp)，其中 |泄露(tdi)| ≤ λ;

4 类似ElGamal的公钥加密方案

简要介绍将被优雅地嵌入到以下连续抗泄露LTFs中的类ElGamal加密方案。我们将下文中利用该密码学结构的一些良好代数性质。对于安全参数 κ, G=(G, p, g) ← G(1 κ)。该方案在具有素数阶G的群G中运行 p。对于某个可忽略的 ε= ε(κ)，设 l= 2+ λ+2log(1/ε)−2 logp。类ElGamal PKE（KeyGen, Encrypt, Decrypt）操作如下。

1. 密钥生成(1κ) ：运行 G=(G,p, g) ← G(1κ)。选择向量 w ∈ Z l p 和s ∈ Z l p ，并令 h= g 〈w, s〉 ∈ G。公钥为 pk=(G,p, g, g w, h)。私钥设置为 sk= s。

2. 加密(pk, m) ：给定一个公钥 pk=(G,p, g, gw, h) 和一条消息m ∈ G，随机均匀地选择一个标量 r ∈ Zq，并输出密文c c=(c1, c2) =(grw, hr · m).

3. 解密(sk, c) ：给定一个密文 c=(c1, c2) 以及一个私钥 sk= s，输出 m= c2 · c−s 1 。

正确性直接由 hr= gr〈w，s〉= g〈rw,s〉成立。上述方案是向量形式下的 ElGamal公钥加密的一种变体。另一方面，当 s ∈{0, 1}n时，它也可视为 BHHO公钥加密[4]。众所周知，该原语具有一些良好的密码学性质。我们将 在针对连续密钥泄露的有损陷门函数中利用这些性质。

从抗泄露的角度来看，Naor和Segev [5]指出，给定˜公钥和任意 λ比特的 泄露信息， H(sk|(pk, λ)) ≥ logp+ 2log(1/ε) −2。剩余哈希引理表明，在选择 c1 ∈ X\ L时以压倒性概率成立，即 hr在 G上的分布与均匀分布 ε‐接近。

引理2

如果在 p-素数阶群 G中DDH假设是困难的，那么只要泄露参数 λ ≤( l − 2)log(p) − 2log(1/ε)+ 2，其中 ε= ε(κ)是关于安全参数 κ的一个可忽略函数，上述方案就是一个 λ-LR-CPA安全的PKE方案。

从连续抗泄露的角度来看，Agrawal等人[1]表明，通过使用更新密钥 w ∈ Zl p，我们可以利用 sk′= sk+ β来更新私钥，其中 β ∈是核(w)。在固定公钥的情况下，更新密钥 sk′仍然能够正确解密密文。借助上述引理以及（扩展的）秩隐藏假设，上述方案是一个 λ‐CLR‐CPA安全的PKE方案。

引理3

在扩展的秩隐藏假设和 G的DDH假设下，只要泄露参数 λ ≤(l −2) log(p) −2log(1/ε)+ 2，其中 ε= ε(κ)是关于安全参数 κ的某个可忽略函数， 则上述方案在软盘模型中是一个 λ-CLR-CPA安全的PKE方案。

5 基于DDH假设的连续泄漏弹性LTF

在本节中，我们展示如何从连续抗泄露的CPA安全类ElGamal公钥加密方案构造连续抗泄露有损陷门函数（CLR‐LTF）。对于某个可忽略的 ε= ε(κ) 集合 l= 2+ λ+2log(1/ε)−2 logp。所提出的CLR‐TDF=(G, S, F, F−1, U) 构造如下。

1. G(1κ) ：运行 G=(G,p, g) ← G(1κ)。随机选择 g w=(w1, w2,···, wl) ∈ Z l p ，并计算 g w=(g1, g2,···, gl)，其中 gj = g w j 对于 j ∈[l]。为 i ∈[n]. 选择 n 组私钥 si=(si1, si2,··· sil) ∈ Z l p 。令 hi= Π l j =1g s i j j = g 〈w,si 〉。输出 pp =(G,p, g, g w, h1, h2,···, hn) td=(s1, s 2,···, sn)。

2. S(pp b) ：给定 b ∈{0, 1}。对于 i ∈[n]，随机独立地选取 Ri=(gri 1, gri 2,···, gri l) ∈ L及其在群G中的证人 ri ∈ Zp。
   Let
   $$
   R= \begin{pmatrix}
   R_1 \
   R_2 \
   \vdots \
   R_n
   \end{pmatrix} = \begin{pmatrix}
   g^{r_1 w_1} & g^{r_1 w_2} & \cdots & g^{r_1 w_l} \
   g^{r_2 w_1} & g^{r_2 w_2} & \cdots & g^{r_2 w_l} \
   \vdots & \vdots & \ddots & \vdots \
   g^{r_n w_1} & g^{r_n w_2} & \cdots & g^{r_n w_l}
   \end{pmatrix} {n\times l}
   $$
   and
   $$
   Q=(Q_1, Q_2, \cdots, Q_n)= \begin{pmatrix}
   h^{r_1}_1 \cdot g^b & h^{r_2}_1 & \cdots & h^{r_n}_1 \
   h^{r_1}_2 & h^{r_2}_2 \cdot g^b & \cdots & h^{r_n}_2 \
   \vdots & \vdots & \ddots & \vdots \
   h^{r_1}_n & h^{r_2}_n & \cdots & h^{r_n}_n \cdot g^b
   \end{pmatrix} {n\times n}.
   $$
   当 b= 1时，我们称其处于单射模式；否则，令g0= 1G，我们称其处于有损模式。评估密钥为 ek=(R, Q)。

3. F(ek, x) ：给定消息 x= x1x2 ··· xn ∈{0, 1}n。给定函数索引(R, Q)，然后计算FR,Q(x) =(c1, c2)，其中c1= x · R=(c11, c12,···, c1l)，其中 $c_{1i}=\prod_{j=1}^{n} g^{r_j x_j w_i}$, i ∈[l]；c2= x · Q=(c21, c22,···, c2n)，其中 $c_{2i}=\prod_{j=1}^{n} Q_{ij}^{x_j}$, i ∈[n]。输出 c= (c1, c2) ∈ G l × Gn.

4. F−1(td, c) ：首先将 c 解析为 (c1, c2) = ((c11, c12,···, c1l),(c21, c22,···, c2n))。如果 $\prod_{j=1}^{l} c_{1j}^{s_{ij}} = c_{2i}$，则 xi= 0, i ∈[n]；如果 $\prod_{j=1}^{l} c_{1j}^{s_{ij}} = c_{2i} \cdot g$, 则 xi= 1, i ∈[n]。最后，输出消息 x= x1x2 ··· xn ∈{0, 1}n.

5. U(td, uk) ：输入更新密钥 uk= w，并将陷门更新为新的陷门 td′= td+( β1, β2,···, βn)=(s1+ β1, s2+ β2,···, sn+ βn)，其中 βi=(bi1, bi2,···, bil) 属于核(kernel)(w)（即对于 ∀i ∈[n], j ∈[l] 有 s′ ij= sij+ bij）。

我们给出了以下正确性、一致性和安全属性。

– 由于更新后的陷门是 td′=(si+ βi) i∈[n]=(sij+ bij)i∈[n],j∈[l]，我们有 h′ i=Π l j=1g sij +bij j = g〈w, si+βi〉= g〈w,si〉= hi。
– 对于任意评估密钥 ek 和 ∀i ∈[n]，我们有
$$
c_{2i} = \prod_{j=1}^{n} Q_{ij}^{x_j} = g^{b x_i} \cdot \prod_{j=1}^{n} h_{j}^{r_j x_j} = g^{b x_i} \cdot h^{\sum_{j=1}^{n} r_j x_j} = g^{b x_i} \cdot g^{\langle w, s_i + \beta_i \rangle \cdot \sum_{j=1}^{n} r_j x_j} = g^{b x_i} \cdot g^{\langle w, s_i \rangle \cdot \sum_{j=1}^{n} r_j x_j}.
$$
另一方面,
$$
\prod_{j=1}^{l} c_{1j}^{s’ {ij}} = c {11}^{s’ {i1}} c {12}^{s’ {i2}} \cdots c {1l}^{s’ {il}} = \left(\prod {k=1}^{n} g^{r_k x_k w_1}\right)^{s’ {i1}} \left(\prod {k=1}^{n} g^{r_k x_k w_2}\right)^{s’ {i2}} \cdots \left(\prod {k=1}^{n} g^{r_k x_k w_l}\right)^{s’ {il}}
= g^{\sum {k=1}^{n} r_k x_k \langle w, s_i + \beta_i \rangle} = g^{\langle w, s_i \rangle \cdot \sum_{k=1}^{n} r_k x_k}.
$$
因为在单射模式（即 b= 1）下， g bx i= g x i 成立，且 F 和 F−1 的正确性得以保证。

定理1

在群 G的DDH假设和（扩展）秩隐藏假设下，且群具有素数阶 p，所提出的方案是一类 λ-CLR-LTFs，其参数为 λ ≤(l − 2)logp − 2log(1/ε)+ 2，其中 ε= ε(κ)是安全参数的一个可忽略函数 κ在软盘模型中。因此，泄露率是
$$
\frac{\lambda}{|td|} = \frac{(l−2)\log p − 2\log(1/\varepsilon)+ 2}{nl \log p} \approx \frac{1}{n}.
$$
有损性是 n−logp比特。

备注 ：在本节中，我们可以看到基于DDH的CLR‐LTF的泄露率仅为1/n，其中有损性为 n−logp。这种关系意味着泄露率越高，有损性越低。因此，在素数阶群中很难提高泄露率。在下一节中，我们将在复合阶群中提出一个实例化方案，这将有助于将泄露率提升至 1 − o(1)。

6 基于DCR假设的连续泄露弹性有损陷门函数

在本节中，我们展示如何在决策性复合剩余（DCR）假设下构造CLR‐LTF。群 Z∗ Nα+1是一个乘法群，其中 α ≥ 1为整数。整数 N= PQ是一个RSA模数，意味着 P和 Q是具有等同位长度的奇素数。显然，群 Z∗ Nα+1是群G与群H的直积G×H，其中G是阶为 Nα的循环群，H同构于 Z∗ N。我们定义 T:= 1+ N (modNα+1)，因此 T生成群H。此外，关于 T在群H上的离散对数是高效可计算的。这样的 N在后续讨论中将被称为可接受的。该方案如下：

设 l= 2+ λ+2log(1/ε) logN−3，其中 ε= ε(κ)为可忽略的。构造的 CLR‐TDF=(G, S, F, F−1, U)在群 Z∗ Nα+1上操作如下。

1. G(1κ) ：输入 1κ生成算法，选择一个可接受的 κ位RSA模数 N= P Q和一个自然数 α ≥ 1。注意，这确定了群G，其中生成元为 g，以及群H。选择 s=(s1, s2,···, sl) ∈ Zl N −1 作为随机值。均匀选取 g1= g w1, g2=4g w2,···, gl= g w l ∈ 群G，并令 w=(w1, w2,···, wl) ∈ Z l N − 1，4 然后 g w=(g1, g2,···, gl)。给定 h= Π l i=1g i s i α, g, g w, h) td= s.

2. S(pp b) ：给定 b ∈{0, 1}，选择 r ∈ Z ∗ N 并定义 R= g wr, Q= hr · T b.。当 b= 1时，称其处于单射模式；否则，称其处于有损模式。最后，评估密钥为 ek=(R, Q) ∈ G l × Z ∗ N α+1 。

3. F(ek, x) ：给定消息 x ∈ ZN α。给定函数索引 (R, Q)，计算 FR,Q(x) =(c1, c2)，其中 c1= x· R= Rx；输出 c=(c1, c2) ∈ 群Gl × Z∗ N α +1.

4. F−1 (td, c) ：首先将 c解析为(c1 , c 2)。在单射模式下，我们计算 X=c 2 ·(c − s 1) = T x。最后，输出消息 x= logT X.

5. U(td, uk) ：给定更新密钥 uk= w，并将陷门更新为新的 td′= td+ β= s+ β，其中 β ←属于核(kernel(w))。

正确性

正确性描述如下。

– 由于更新后的陷门为 td′= s+β，我们有 h′= g〈w,s+β〉= g〈w,s〉= h。
– 对于任意评估密钥 ek，存在
$$
c_2 \cdot (c_1^{-s}) = Q^x \cdot (R^x)^{-s} = (h^r \cdot T^b)^x \cdot (g^{wr \cdot x})^{-s} = h^{rx} \cdot T^{bx} \cdot h^{-rx} = T^{bx}.
$$
由于在单射模式下（即 b= 1），T bx= T x成立，且F和F−1的正确性得证。

定理2

如果DDH假设在群G中是困难的，并且DCR问题在Z∗ Nα+1中是困难的，则我们可以构造一个 λ-连续泄漏弹性有损陷门函数。在每个时间间隔内，所提出的方案最多可容忍 λ ≤(l−2)(logN −3)−2log1/ε位关于陷门的信息泄露，其中 ε= ε(κ)是关于安全参数 κ的一个可忽略函数。因此，泄露率为
$$
\frac{\lambda}{|td|} = \frac{(l−2)(\log N−3)−2\log(1/\varepsilon)}{l (\log N−3)} \approx 1−o(1).
$$
有损性至少为 αlogN −(logN −2)位。

7 结论与未来工作

本文中，我们研究了存在连续泄露情况下的有损陷门函数。首先，我们引入了 ULTFs的新概念，并给出了其形式化定义和安全要求。我们将ULTFs的概念扩展到CLR‐LTFs，并给出了CLR‐LTFs的明确安全模型。在DDH假设和DCR假设下，我们分别提出了两个在标准模型中抵抗连续泄露的具象有损陷门函数。我们提出的方案也可以视为一种确定性公钥加密，我们认为其在研究抵抗连续泄露的确定性PKE方面具有独立意义，这也是[7]中提出的一个开放问题。