82、基于亚指数单向函数的常数轮不可变承诺方案

基于亚指数单向函数的常数轮不可变承诺方案

1. 引言

在两方协议执行过程中，若存在一个能完全控制通信信道的对手，该对手可随意省略、插入或修改消息，而诚实方可能并未意识到对手的存在，且不使用任何可信设置（如公共参考字符串），这种攻击被称为中间人攻击。能抵御此类攻击的协议被称为不可变协议。

早期，Dolev 等人提出了基于单向函数的不可变承诺和零知识协议，需要 $O(log n)$ 轮交互（$n$ 为安全参数）。后来，Barak 提出了基于陷门置换和亚指数硬度的抗碰撞哈希函数的常数轮不可变协议，Pass 和 Rosen 进一步改进，仅假设标准硬度的抗碰撞哈希函数即可实现常数轮协议。但后续工作都未减少常数轮不可变承诺所需的假设。由此引出问题：构建常数轮不可变承诺方案的最小假设是什么？单向性本身是否足以构建常数轮不可变承诺方案？

2. 主要结果

本工作表明，具有亚指数硬度的单向性足以构建常数轮不可变承诺。
- 主要定理（非正式） ：若存在能抵御亚指数规模电路攻击的单向函数，则存在常数轮不可变承诺方案。
与 Lin 和 Pass 的工作相比，本结果在轮复杂度和定量硬度假设之间提供了新的权衡。同时，本承诺方案实现了强不可变性——并发不可变性，保证了即使多个承诺方案同时执行，所承诺的值也是相互独立的。

3. 相关背景与应用

• 黑盒安全证明 ：最初的构造使用“基本”技术并具有黑盒安全证明，而大多数常数轮不可变承诺方案依赖非黑盒模拟技术，需要更强的假设（如抗碰撞哈希函数）。本构造具有黑盒安全证明，反驳了常数轮不可变承诺方案需