OWF通過加密一個常數?
這個問題是對這個古老的、未回答的問題的概括。
假設我們有一個強大的 PRP $ E:\mathcal K\times\mathcal M\to\mathcal C,(K,M)\mapsto C=E(K,M) $ . 假設我們進一步選擇一個常數參數 $ S\in\mathcal M $ .
是 $ F_S:\mathcal K\to \mathcal C, X\mapsto E(X,S) $ 一種安全的單向功能?
如果以上無法回答:是 $ F_S $ 至少一個安全的 OWF 用於實際目的?
作為範例,可以想像 $ S=0^{128},E=\operatorname{AES} $ 或者 $ E $ 作為Even-Mansour 構造中的固定密鑰 AES 實例。
自從 $ E $ 是一個安全的 PRP,而不是給予 $ C=E(X, S) $ 給對手,你可以給一個統一的隨機 $ C\gets\mathcal{C} $ . 要“反轉”這一點,對手必須找到一個關鍵 $ X’ $ 這樣 $ E(X’, S)=C $ .
因此,作為單向函式的構造等價於給定均勻隨機函式的性質 $ C $ ,應該很難找到 $ X $ 這樣 $ E(X, S)=C $ . 我認為這不一定來自 $ E $ 安全,強大的 PRP。例如,當分組密碼具有多項式大小的小域時(我知道這是非常不尋常的情況),那麼這將不成立。另一方面,我猜大多數合理的分組密碼結構都會具有此屬性。因此,我認為在合理的設置中,出於實際目的,它可以被視為安全的 OWF。
我將採用“單向函式”來表示在具體設置中抗原像,其中用於原像查找算法 $ A $ 我們有
$$ \operatorname{Adv}H^{\mathrm{pre}}(A) = \Pr[H\mathit{salt}(A(\sigma)) = \sigma], $$在哪裡 $ \mathit{salt} $ 和 $ \sigma $ 是統一的隨機位串,大概我們希望 $ \operatorname{Adv}H^{\mathrm{pre}}(A) $ 受 $ C(q)/2^n $ 如果 $ A $ 使 $ q $ 一些看似很小的查詢 $ C(q) $ 當輸出 $ H $ 有 $ n $ 位。 PRP 安全性 $ E $ 並不意味著原像電阻 $ H\mathit{salt}\colon X \mapsto E_X(\mathit{salt}) $ , 因為攻擊者可能知道關於輸入的任意多結構 $ X $ ,這違反了 PRP 安全性的假設。我們沒有理由懷疑 AES-256 的 PRP 安全性,但它不提供這種原像抗性。
理想密碼 $ E $ 將暗示這種結構的原像抗性,如Black、Rogaway 和 Shrimpton所示 $ j=17 $ 和 $ v = 0 $ , 敵手在區間內的最佳機率 $ [0.15q^2/2^n, 9(q + 3)^2/2^n] $ . 但是你需要找到比 AES-256 更好的密碼才能解決這個問題。