56、无随机预言机的抗颠覆认证加密

无随机预言机的抗颠覆认证加密

1. 抗颠覆的 GOAL 安全性

在离线看门狗模型中，对于一个原语规范 $\hat{\Pi} = (Am, \pi)$，若能高效构建一个概率多项式时间（ppt）的看门狗算法 $WD$，使得对于任何 ppt 敌手 $A = (A_0, A_1)$，满足以下两个条件之一：
- $Adv_{SR - GOAL, \hat{\Pi}}^A(1^{\lambda}, \delta)$ 可忽略；
- $Det_{WD, A}(1^{\lambda})$ 不可忽略。

其中：
- $Adv_{SR - GOAL, \hat{\Pi}}^A(1^{\lambda}, \delta) = |Pr[Exp_{SR - GOAL, \hat{\Pi}}^{WD, A}(1^{\lambda}) = 1] - \delta|$；
- $Det_{WD, A}(1^{\lambda}) = |Pr[WD\hat{\pi}(1^{\lambda}) = 1] - Pr[WD\pi(1^{\lambda}) = 1]|$，$\delta \in {0, \frac{1}{2}}$ 表示考虑的是搜索问题还是决策问题。

这里的 $Adv_{GOAL, \hat{\Pi}}^A(1^{\lambda}, \delta)$ 未由看门狗 $WD$ 参数化，是为了简化符号，因为看门狗的测试不会直接影响敌手的优势。对于公钥加密，该模型与 Russell、Tang、Yung 和 Zhou 提出的模型不等价；对于对称加密，该定义更通用，在语法上有一些差异。

2. 实现抗颠覆性

为证明即将构建的伪随机函数（PRF）具有