Score:3

จะสร้าง PRF เป็นระยะจาก PRF ได้อย่างไร

ธง ru

คำถามนี้อาจเกี่ยวข้องกับ อันนี้แม้ว่าการก่อสร้างจะแตกต่างกัน

ให้เราพิจารณา PRF $f$. เรากำหนด $g_k$ เช่น $g_k(x)=f(x)\oplus f(x\oplus k)$. เป็น $g_k$ PRF สมมติว่า $k$ ถูกสุ่มเลือก?

ผมพยายามพิสูจน์ดังนี้ ให้เราพิจารณาศัตรู $\คณิตศาสตร์แคล{A}$ ที่สามารถแยกแยะระหว่าง $g_k$ และ PRF ที่มีข้อได้เปรียบที่ไม่มีนัยสำคัญ อนุญาต $\mathcal{R}$ เป็นส่วนลดที่เข้าถึงได้ $\คณิตศาสตร์แคล{A}$ และต้องการทำลายความปลอดภัยของ PRF $f$. ในทั้งสองเกม $b=0$ หมายถึงโลกแห่งความจริงและ $b=1$ โลกสุ่มซึ่งใช้ฟังก์ชันสุ่มอย่างแท้จริงแทน $f$ หรือ $g_k$.

ในช่วงเริ่มต้นของเกม $\mathcal{R}$ เลือก $k$ สุ่ม. เมื่อไร $\คณิตศาสตร์แคล{A}$ สอบถาม $x$, $\mathcal{R}$ สอบถาม $x$ และ $x\oบวก k$, XORs ผลลัพธ์และส่งกลับไปที่ $\คณิตศาสตร์แคล{A}$. เมื่อไร $\คณิตศาสตร์แคล{A}$ ส่งคืนการคาดเดา $ข'$, $\mathcal{R}$ ส่งคืนบิตเดียวกัน

เพื่อเป็นการพิสูจน์ว่า $\mathcal{R}$ มีข้อได้เปรียบที่ไม่มีนัยสำคัญ เราเพียงแค่ต้องแสดงให้เห็นว่ามันจำลองการใช้งาน Oracle ได้อย่างสมบูรณ์แบบ $g_k$. ในกรณี $b=0$เป็นกรณีไปไม่มีอะไรแตกต่าง $\mathcal{R}$ จากการใช้ oracle $g_k$. ถ้า $b=1$ อย่างไรก็ตาม, $\คณิตศาสตร์แคล{A}$ คาดว่าจะได้รับ $\pi(x)$ สำหรับฟังก์ชั่นสุ่ม $\pi$ในขณะที่ได้รับ $\pi(x)\oplus\pi(x\oplus k)$. $\pi(x)$ เป็นการสุ่มแบบสม่ำเสมอและตามนิยามของฟังก์ชันสุ่ม ไม่เกี่ยวข้องกับ $\pi(x\oplus k)$แล้วไงล่ะ $\mathcal{R}$ กลับไปที่ $\คณิตศาสตร์แคล{A}$ เป็นแบบสุ่มเหมือนกัน ก็แสดงว่าตอนนี้ $\pi$ ได้กำหนดไว้ที่ $x$ และบน $x\oบวก k$, $\คณิตศาสตร์แคล{A}$ สามารถทำนายค่าการเข้ารหัสของ $x\oบวก k$ เนื่องจากสิ่งนี้จะเหมือนกับ $x$'s. เนื่องจาก $\คณิตศาสตร์แคล{A}$ ไม่รู้ $k$นี่ไม่ใช่กลยุทธ์ที่เป็นไปได้ เพราะฉะนั้น, $\คณิตศาสตร์แคล{A}$ ไม่สามารถแยกแยะระหว่างสถานการณ์เหล่านี้ได้

หลักฐานนี้ถูกต้องหรือไม่? สิ่งที่รบกวนจิตใจฉันก็คือ PRF ใหม่นี้มีการปะทะกันมากมาย ซึ่งค่อนข้างน่าแปลกใจสำหรับ PRF แต่ฉันคิดว่าฝ่ายตรงข้ามไม่สามารถหาพวกเขาได้เว้นแต่พวกเขาจะรู้ $k$.

pe flag
มีสองเหตุการณ์ที่เลวร้ายในโลกอุดมคติ: $k = 0$, ด้วยความน่าจะเป็น $2^{-n}$, และ $x_i = x_j \oplus k, 0 \le i
Score:4
ธง us

สิ่งที่คุณเขียนถูกต้องและสัญชาตญาณถูกต้อง ฝ่ายตรงข้ามไม่สามารถแยกแยะได้หากไม่ "คาดเดา" $k$. สิ่งนี้สามารถทำให้เป็นทางการได้ และดูเหมือนว่าการทำให้เป็นทางการนี้จะหายไปจากโพสต์ของคุณ

นี่คือภาพร่างของหลักฐานการรักษาความปลอดภัยตามเกมแบบดั้งเดิม สมมติว่าฝ่ายตรงข้ามไม่เคยถามคำถามซ้ำโดยไม่สูญเสียความหมายทั่วไป

ไฮบริดจริง:

  • เลือกแบบสุ่ม $k$ และฟังก์ชั่นสุ่ม $\pi$
  • สำหรับทุกคำถามของฝ่ายตรงข้าม $x$, ตอบกลับด้วย $\pi(x) \oplus \pi(k \oplus x)$

ไฮบริด 1:

  • เลือกแบบสุ่ม $k$ และฟังก์ชั่นสุ่ม $g$
  • สำหรับทุกคำถามของฝ่ายตรงข้าม $x$หากมีการสอบถามก่อนหน้านี้ $x \oบวก k$ แล้วกลับ $g(x \oบวก k)$; มิฉะนั้นกลับ $ก(x)$

ไฮบริดในอุดมคติ:

  • เลือกแบบสุ่ม $k$ และฟังก์ชั่นสุ่ม $g$
  • สำหรับทุกคำถามของฝ่ายตรงข้าม $x$, กลับ $ก(x)$

นี่คือข้อสังเกตที่พิสูจน์ให้สมบูรณ์:

  1. ลูกผสมจริงและลูกผสม #1 มีการกระจายเหมือนกัน ตามตรรกะของไฮบริดที่แท้จริง: หากไม่มีการค้นหาก่อนหน้า $x \oบวก k$แล้วทั้งคู่ $\pi(x)$ และ $\pi(x \oบวก k)$ เป็นอิสระจากมุมมองของฝ่ายตรงข้าม ดังนั้นผลลัพธ์ที่ได้จึงเหมือนกันทุกประการ มิฉะนั้น ผลลัพธ์จะตรงกับคำตอบจากแบบสอบถาม $x\oบวก k$. สิ่งนี้ตรงกับตรรกะของ Hybrid #1 ทุกประการ

  2. ในไฮบริด #1 และไฮบริดในอุดมคติ ให้กำหนด "เหตุการณ์ที่ไม่ดี" เป็นกรณีที่ฝ่ายตรงข้ามสอบถาม $x$ หลังจากที่สอบถามไปก่อนหน้านี้ $x \oบวก k$. โปรดทราบว่าลูกผสมทั้งสองทำงานเหมือนกันทุกประการ (ให้การตอบสนองที่เหมือนกัน/เป็นอิสระต่อกัน) จนกว่าเหตุการณ์เลวร้ายนี้จะเกิดขึ้น ดังนั้นลูกผสมทั้งสองนี้จึง "เหมือนกันจนเลว" ในคำศัพท์ของ เบลแลร์ & โรกาเวย์. โดย Bellare-Ragaway "Fundamental Lemma" ความน่าจะเป็นที่แตกต่างของฝ่ายตรงข้ามนั้นถูกล้อมรอบด้วยความน่าจะเป็นที่เหตุการณ์เลวร้ายจะเกิดขึ้นในอุดมคติ

  3. ความน่าจะเป็นของเหตุการณ์เลวร้ายในอุดมคติคืออะไร? สิ่งที่ดีเกี่ยวกับลูกผสมนี้คือมุมมองของฝ่ายตรงข้ามนั้นเป็นอิสระจากกันอย่างชัดเจน $k$ --- มันจะไม่เปลี่ยนแปลงอะไรที่จะจินตนาการ $k$ กำลังถูกเลือก หลังจาก ปฏิปักษ์เสร็จสิ้นการสอบถามทั้งหมดแล้ว ถ้า $k$ ถูกเลือกหลังจากคำถามของฝ่ายตรงข้าม จากนั้นเราจะเห็นว่าเหตุการณ์ที่เลวร้ายเกิดขึ้นหากมีคำถามอยู่ $x_i, x_j$ ดังนั้น $k = x_i \oบวก x_j$. กับ $คิว$ สอบถามได้มากที่สุด $q^2$ ค่าที่เป็นไปได้ของ $x_i \oบวก x_j$, ดังนั้น $\Pr[ไม่ดี] \le q^2/2^n$, ที่ไหน $n$ คือความยาวของ $x$'s.

โดยรวมแล้ว ความได้เปรียบที่โดดเด่นของฝ่ายตรงข้ามนั้นถูกล้อมรอบด้วย $q^2/2^n$.

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา