FO 混合加密的證明很難理解。 $ : $

特別是當挑戰者只能有一些加密查詢時，挑戰者 如何 響應解密查詢？

直覺

證明背後的直覺是正確生成了有效的密文，因此，攻擊者應該查詢隨機預言機以在密文中生成隨機字元串。此外，請注意，在隨機預言機模型中，未查詢字元串上的雜湊值是未確定的（對攻擊者而言）。因此，在不查詢隨機預言機的情況下建構有效密文的機會可以忽略不計。

如何回答解密查詢

引理 11 是證明的核心。沒有密鑰但具有隨機預言機表的知識（或明文）提取器成功地模擬了具有密鑰的真實解密預言機，遵循上述直覺。在附錄 B 中，描述了知識提取器。

轉換後的 PKE 的密文形式為

$$ (C_1, C_2) = (\mathsf{PKE.Enc}{pk}(\sigma; H(\sigma,m)), \mathsf{SKE.Enc}{G(\sigma)}(m)). $$ 知識提取器有表格 $ T_G, T_H $ 隨機預言 $ G, H $ . 桌子 $ T_H $ 包含 $ (\sigma_j,m_j,h_j) $ ， 在哪裡 $ h_j $ 是查詢的返回值 $ (\sigma_j,m_j) $ . 桌子 $ T_G $ 包含 $ (\sigma_i,g_i) $ ， 在哪裡 $ g_i $ 是查詢的返回值 $ \sigma_i $ . 知識提取器，給定密文 $ (C_1, C_2) $ , 選取一致的對 $ (\sigma, m) $ 從表 $ T_G $ 和 $ T_H $ ，滿足等式，

$$ (C_1, C_2) = (\mathsf{PKE.Enc}{pk}(\sigma; H(\sigma,m)), \mathsf{SKE.Enc}{G(\sigma)}(m)), $$ 通過重新加密 $ h $ 和 $ g $ 在表中。如果被發現，知識提取器返回 $ m $ . 否則，它返回 $ \bot $ . 你可以在論文的附錄 B 中找到證明。

引用自：https://crypto.stackexchange.com/questions/15230