12、密码学中的压缩函数与异构签名方案研究

密码学中的压缩函数与异构签名方案研究

1. 速率为 1 的压缩函数

1.1 基本概念

速率为 1 的压缩函数是指使用一次对底层原语（如随机预言机或理想密码）的调用的压缩函数。在使用理想密码的情况下，假设对理想加密函数进行一次调用。基于前人的工作，定义了 64 种可能的速率为 1 的压缩函数，这些函数将 (D \times D \to D)，其中 (D = GF(2^{\lambda}))，并且可以使用 (\oplus) 和 (D) 中的常量值来定义，通常被称为 PGV 压缩函数。

1.2 碰撞抗性与分组 1 函数

研究中定义了一种更强的压缩函数碰撞抗性概念。程序 (P) 是 ((q, \epsilon)) - 碰撞抗性的，如果对于任何 (h_0 \in F)，任何最多进行 (q = q_E + q_D) 次查询的预言机敌手 (A)，在特定游戏中的成功概率至多为 (\epsilon)。

分组 1 函数是 PGV 压缩函数的一个子集，满足特定条件 (T1)（即 (P1)、(P2) 和 (P3) 的合取）。其中：
- (P1)：(f’) 是双射。
- (P2)：对于所有 ((h, m))，(f’‘(h, m, \cdot)) 是双射。
- (P3)：对于所有 ((k, y))，(f^*(k, \cdot, y)) 是双射。

若 (f: GF(2^{\lambda}) \times GF(2^{\lambda}) \to GF(2^{\lambda})) 是满足 (T1) 的 PGV 压缩函数，那么对于任何 (h_0 \in GF(2^{\lambda}))，任何进行 (q) 次查询的敌手