คำถามนี้อาจเกี่ยวข้องกับ อันนี้แม้ว่าการก่อสร้างจะแตกต่างกัน
ให้เราพิจารณา PRF $f$. เรากำหนด $g_k$ เช่น $g_k(x)=f(x)\oplus f(x\oplus k)$. เป็น $g_k$ PRF สมมติว่า $k$ ถูกสุ่มเลือก?
ผมพยายามพิสูจน์ดังนี้ ให้เราพิจารณาศัตรู $\คณิตศาสตร์แคล{A}$ ที่สามารถแยกแยะระหว่าง $g_k$ และ PRF ที่มีข้อได้เปรียบที่ไม่มีนัยสำคัญ อนุญาต $\mathcal{R}$ เป็นส่วนลดที่เข้าถึงได้ $\คณิตศาสตร์แคล{A}$ และต้องการทำลายความปลอดภัยของ PRF $f$. ในทั้งสองเกม $b=0$ หมายถึงโลกแห่งความจริงและ $b=1$ โลกสุ่มซึ่งใช้ฟังก์ชันสุ่มอย่างแท้จริงแทน $f$ หรือ $g_k$.
ในช่วงเริ่มต้นของเกม $\mathcal{R}$ เลือก $k$ สุ่ม. เมื่อไร $\คณิตศาสตร์แคล{A}$ สอบถาม $x$, $\mathcal{R}$ สอบถาม $x$ และ $x\oบวก k$, XORs ผลลัพธ์และส่งกลับไปที่ $\คณิตศาสตร์แคล{A}$. เมื่อไร $\คณิตศาสตร์แคล{A}$ ส่งคืนการคาดเดา $ข'$, $\mathcal{R}$ ส่งคืนบิตเดียวกัน
เพื่อเป็นการพิสูจน์ว่า $\mathcal{R}$ มีข้อได้เปรียบที่ไม่มีนัยสำคัญ เราเพียงแค่ต้องแสดงให้เห็นว่ามันจำลองการใช้งาน Oracle ได้อย่างสมบูรณ์แบบ $g_k$. ในกรณี $b=0$เป็นกรณีไปไม่มีอะไรแตกต่าง $\mathcal{R}$ จากการใช้ oracle $g_k$. ถ้า $b=1$ อย่างไรก็ตาม, $\คณิตศาสตร์แคล{A}$ คาดว่าจะได้รับ $\pi(x)$ สำหรับฟังก์ชั่นสุ่ม $\pi$ในขณะที่ได้รับ $\pi(x)\oplus\pi(x\oplus k)$. $\pi(x)$ เป็นการสุ่มแบบสม่ำเสมอและตามนิยามของฟังก์ชันสุ่ม ไม่เกี่ยวข้องกับ $\pi(x\oplus k)$แล้วไงล่ะ $\mathcal{R}$ กลับไปที่ $\คณิตศาสตร์แคล{A}$ เป็นแบบสุ่มเหมือนกัน ก็แสดงว่าตอนนี้ $\pi$ ได้กำหนดไว้ที่ $x$ และบน $x\oบวก k$, $\คณิตศาสตร์แคล{A}$ สามารถทำนายค่าการเข้ารหัสของ $x\oบวก k$ เนื่องจากสิ่งนี้จะเหมือนกับ $x$'s. เนื่องจาก $\คณิตศาสตร์แคล{A}$ ไม่รู้ $k$นี่ไม่ใช่กลยุทธ์ที่เป็นไปได้ เพราะฉะนั้น, $\คณิตศาสตร์แคล{A}$ ไม่สามารถแยกแยะระหว่างสถานการณ์เหล่านี้ได้
หลักฐานนี้ถูกต้องหรือไม่? สิ่งที่รบกวนจิตใจฉันก็คือ PRF ใหม่นี้มีการปะทะกันมากมาย ซึ่งค่อนข้างน่าแปลกใจสำหรับ PRF แต่ฉันคิดว่าฝ่ายตรงข้ามไม่สามารถหาพวกเขาได้เว้นแต่พวกเขาจะรู้ $k$.
สิ่งที่คุณเขียนถูกต้องและสัญชาตญาณถูกต้อง ฝ่ายตรงข้ามไม่สามารถแยกแยะได้หากไม่ "คาดเดา" $k$. สิ่งนี้สามารถทำให้เป็นทางการได้ และดูเหมือนว่าการทำให้เป็นทางการนี้จะหายไปจากโพสต์ของคุณ
นี่คือภาพร่างของหลักฐานการรักษาความปลอดภัยตามเกมแบบดั้งเดิม สมมติว่าฝ่ายตรงข้ามไม่เคยถามคำถามซ้ำโดยไม่สูญเสียความหมายทั่วไป
ไฮบริดจริง:
ไฮบริด 1:
ไฮบริดในอุดมคติ:
นี่คือข้อสังเกตที่พิสูจน์ให้สมบูรณ์:
ลูกผสมจริงและลูกผสม #1 มีการกระจายเหมือนกัน ตามตรรกะของไฮบริดที่แท้จริง: หากไม่มีการค้นหาก่อนหน้า $x \oบวก k$แล้วทั้งคู่ $\pi(x)$ และ $\pi(x \oบวก k)$ เป็นอิสระจากมุมมองของฝ่ายตรงข้าม ดังนั้นผลลัพธ์ที่ได้จึงเหมือนกันทุกประการ มิฉะนั้น ผลลัพธ์จะตรงกับคำตอบจากแบบสอบถาม $x\oบวก k$. สิ่งนี้ตรงกับตรรกะของ Hybrid #1 ทุกประการ
ในไฮบริด #1 และไฮบริดในอุดมคติ ให้กำหนด "เหตุการณ์ที่ไม่ดี" เป็นกรณีที่ฝ่ายตรงข้ามสอบถาม $x$ หลังจากที่สอบถามไปก่อนหน้านี้ $x \oบวก k$. โปรดทราบว่าลูกผสมทั้งสองทำงานเหมือนกันทุกประการ (ให้การตอบสนองที่เหมือนกัน/เป็นอิสระต่อกัน) จนกว่าเหตุการณ์เลวร้ายนี้จะเกิดขึ้น ดังนั้นลูกผสมทั้งสองนี้จึง "เหมือนกันจนเลว" ในคำศัพท์ของ เบลแลร์ & โรกาเวย์. โดย Bellare-Ragaway "Fundamental Lemma" ความน่าจะเป็นที่แตกต่างของฝ่ายตรงข้ามนั้นถูกล้อมรอบด้วยความน่าจะเป็นที่เหตุการณ์เลวร้ายจะเกิดขึ้นในอุดมคติ
ความน่าจะเป็นของเหตุการณ์เลวร้ายในอุดมคติคืออะไร? สิ่งที่ดีเกี่ยวกับลูกผสมนี้คือมุมมองของฝ่ายตรงข้ามนั้นเป็นอิสระจากกันอย่างชัดเจน $k$ --- มันจะไม่เปลี่ยนแปลงอะไรที่จะจินตนาการ $k$ กำลังถูกเลือก หลังจาก ปฏิปักษ์เสร็จสิ้นการสอบถามทั้งหมดแล้ว ถ้า $k$ ถูกเลือกหลังจากคำถามของฝ่ายตรงข้าม จากนั้นเราจะเห็นว่าเหตุการณ์ที่เลวร้ายเกิดขึ้นหากมีคำถามอยู่ $x_i, x_j$ ดังนั้น $k = x_i \oบวก x_j$. กับ $คิว$ สอบถามได้มากที่สุด $q^2$ ค่าที่เป็นไปได้ของ $x_i \oบวก x_j$, ดังนั้น $\Pr[ไม่ดี] \le q^2/2^n$, ที่ไหน $n$ คือความยาวของ $x$'s.
โดยรวมแล้ว ความได้เปรียบที่โดดเด่นของฝ่ายตรงข้ามนั้นถูกล้อมรอบด้วย $q^2/2^n$.
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
