Show G 對適應性對手不安全
嘿crypto SE,我在這個問題上遇到了一些麻煩。誰能幫助我了解如何解決這個問題?任何幫助表示讚賞:)
通過設計自適應對手,Show G 對自適應對手不安全?
非自適應對手是否有可能獲得可比的優勢。
(a) 自適應案例:為了表明對手可以獲得非常大的優勢,發送任意查詢 $ x $ 到神諭。響應的左側部分是第二個查詢的輸入。如果預言機是 PRF,則第二個響應的左側部分等於第一個響應的右側部分。如果預言機是隨機預言機,則兩部分不相等的機率很高 $ p \rightarrow 1 $ 為了 $ n \rightarrow \infty $ .
讓
$$ L: {0,1}^{2n} \rightarrow {0,1}^n, ~L(x_1, \ldots, x_n, x_{n+1}, \ldots, x_{2n}) = (x_1, \ldots, x_n) $$和$$ R: {0,1}^{2n} \rightarrow {0,1}^n, L(x_1, \ldots, x_n, x_{n+1}, \ldots, x_{2n}) = (x_{n+1}, \ldots, x_{2n}) $$是左右投影 $ n $ 位,分別。
- 詢問
$$ G_k(x) = F_K(x) \parallel F_K(F_K(x)) $$ 2. 詢問
$$ G_k(L(G_k(x))) = F_K(L(G_k(x))) \parallel F_K(F_K(L(G_k(x)))) = F_K(F_K(x)) \parallel F_K(F_K(F_K(x))) $$
因此
$$ R(G_k(x)) = L(G_k(L(G_k(x)))) $$ (b) 非自適應情況:由於 $ F $ 都是 PRF $ F_K(x) $ 和 $ F_K(F_K(x)) $ , 因此 $ G_k(x) $ 無法與隨機輸出區分開來。由於事先選擇了查詢序列中的輸入,因此它們的響應看起來完全不相關,並且不提供有關預言機性質的任何資訊。