80、基于不可达熵的通用单向哈希函数

基于不可达熵的通用单向哈希函数

1. 不可达熵相关概念

在描述构造时，使用一种特殊的通用单向哈希函数（UOWHFs）变体更方便。对于每个安全参数 $k$，存在一个单一的收缩函数 $F : {0, 1}^n \to {0, 1}^m$，使得找到随机输入的碰撞是不可行的。即给定一个均匀随机的 $x \stackrel{R}{\leftarrow} {0, 1}^n$，敌手 $A$ 输出一个 $x’$ 满足 $F(x’) = F(x)$，若 $x’ \neq x$ 则敌手成功。可以不失一般性地假设 $x’ = A(x)$ 总是 $F(x)$ 的原像。

从熵理论的角度来看 UOWHFs，由于 $F$ 是收缩函数，意味着敌手 $A$ 有很多原像可供选择。若考虑一个低效的敌手 $A(x)$，它输出 $x’ \stackrel{R}{\leftarrow} F^{-1}(F(x))$，设随机变量 $X$ 在 ${0, 1}^n$ 上均匀分布，则有：
[H(A(X)|X) = H(X|F(X)) \geq n - m]
这里 $H(\cdot|\cdot)$ 表示条件香农熵，我们将 $H(X|F(X))$ 称为 $F^{-1}$ 的真实熵。

另一方面，目标碰撞抗性意味着实际上敌手 $A$ 只能访问到一个原像。对于每个概率多项式时间的 $F$ - 碰撞查找器 $A$，有 $\Pr[A(X) \neq X] = \text{neg}(n)$，这等价于要求：
[H(A(X)|X) = \text{neg}(n)]
我们将所有高效的 $F$ - 碰撞查找器的 $H(A(X)|X)$ 的最大值称为 $F^{-1}$ 的可达熵。需要强调的是，可达熵是一种计算熵的上界。