30、密码学中的伪随机与可证明安全加密

密码学中的伪随机与可证明安全加密

1. Yao定理相关内容

在密码学中，计算上完美的伪随机位生成器有着独特的特性，由单向置换诱导的伪随机位生成器就具有这样的特性：无法根据伪随机序列的前几位来预测下一位。

1.1 相关定义

• 下一位预测器 ：设 $I = (I_k) {k∈N}$ 是具有安全参数 $k$ 的密钥集，$G = (G_i : X_i → {0, 1}^{l(k)}) {i∈I}$ 是具有多项式拉伸函数 $l$ 和密钥生成器 $K$ 的伪随机位生成器。对于 $G$ 的下一位预测器 $A(i, z_1 … z_r)$ 是一个概率多项式算法，给定 $i ∈ I_k$，它从 $r$ 个输入位 $z_j$（$0 ≤ r < l(k)$）输出一个位（“下一位”）。
• 通过所有下一位测试 ：$G$ 通过所有下一位测试当且仅当对于每个下一位预测器 $A$ 和每个正多项式 $P ∈ Z[X]$，存在 $k_0 ∈ N$，使得对于所有 $k ≥ k_0$ 和所有 $0 ≤ r < l(k)$，有
  $prob(A(i, G_{i,1}(x) … G_{i,r}(x)) = G_{i,r + 1}(x) : i ← K(1^k), x \stackrel{u}{\leftarrow} X_i) ≤ \frac{1}{2} + \frac{1}{P(k)}$。

这里 $G_{i,j}$（$1 ≤ j ≤ l(k)$）表示 $G_i$ 生成的第 $j$ 位，即 $G_i(x) = (G_{i,1}(x), G_{i,2}