论文笔记：（续）AOMPR的代数基础

为了清晰起见，将上篇博客中引用的一些代数问题整理如下

Basic Algebra

Modules

对于任何具有乘法单位1的环$R$和任何阿贝尔群$(M,+)$，我们说$M$是一个$R-module$如果存在一个运算$\cdot :R\times M\to M$使得对于任何$a,b\in R$和任何$x,y\in M$，有：（1）$a\cdot (x+y)=a\cdot x+a\cdot y$（2）$(a+b)\cdot x=a\cdot x+b\cdot x$ （3）$(ab)\cdot x=a\cdot (b\cdot x)$ （4）$1\cdot x=x$；另外用$0$表示$M$的单位元。

Module Homomorphisms

对于任何$R-modulesM$和$N$，一个映射$f:M\to N$是$R-modules$的同态，如果对于任何$r\in R$和$x,y\in M$，$f(x+r\cdot y)=f(x)+r\cdot f(y)$。

我们说同态$f$是一个epimorphism（满同态），如果$f$是一个surjection（满射）；我们说同态$f$是一个monomorphism （单同态），如果$f$是一个injection（单射）。
（满射+同态=满同态；单射+同态=单同态；双射+同态=同构）

Characteristic of a Field

对于任何field $\mathbb{F}$，其特征，用$char(\mathbb{F})$表示，是最小的正数$k$使得，其中$1$表示$\mathbb{F}$的乘法单位元，用$0$表示$\mathbb{F}$的加法单位元。如果$k$不存在，我们说$\mathbb{F}$的特征值是$0$。

线性哈希函数LHF

定义：线性哈希函数族LHF是一对算法$(PGen,F)$，使得：

1. PGen是一种随机算法，它将安全参数$1^{\kappa }$作为输入，并返回系统参数$par$，它定义了三个集合$\mathcal{S}=\mathcal{S}(par),\mathcal{D}=\mathcal{D}(par),\mathcal{R}=\mathcal{R}(par)$，其中$\mathcal{S}$是一个field，$\mathcal{D},\mathcal{R}$是$\mathcal{S}$-modules.
   并且要求：
2. F是一个确定性函数，它以系统参数$par$和一个元素$x\in \mathcal{D}$作为输入，并返回$\mathcal{R}$中的一个元素，使得$F(par,\cdot ):\mathcal{D}\to \mathcal{R}$是$\mathcal{S}$-modules的一个满同态。而且，F不是单同态，这等价于存在$z^{\ast }\in \mathcal{D}$使得$z^{\ast }\ne 0,F(par,z^{\ast })=0$。

注意：最后这句是怎么来的呢，已知满同态的前提下，为什么非单同态等价于存在$z^{\ast }\in \mathcal{D}$使得$z^{\ast }\ne 0,F(par,z^{\ast })=0$。
$Proof.$目标的逆反命题是，如果不存在$z^{\ast }\in \mathcal{D}$使得$z^{\ast }\ne 0,F(par,z^{\ast })=0$，则$F$是单同态。
（1） 首先，如果不存在这样的$z^{\ast }$，且$F$是满射，则一定有且仅有$F(0)=0$。
（2） 再假设此时$F$不满足单同态，则存在$x,y\in \mathcal{D},x\ne y,f(x)=f(y)$；根据同态性质，$f(x)-f(y)=0=f(x-y)=f(0)$，所以$f(x)=f(y)=0$；根据（1）有$x=y=0$，矛盾产生，假设不成立，即$F$满足单同态。
（3）根据逆否命题，证明成立。

DLP

one-more discrete logarithm assumption (OMDL)

https://doi.org/10.1007/s00145-002-0120-1
对于OMDL问题的定义（又叫Known-Target Discrete Log Problem）

Algebraic OMDL: A Falsifiable Variant of OMDL

https://link.springer.com/chapter/10.1007/978-3-030-84242-0_8
一个密码假设在算法上是可证伪的，如果在多项式时间内可以被确定给定的算法是否会破坏它。
虽然这对于大多数标准假设(如RSA假设或DL假设)是成立的，但对于OMDL假设显然不成立，因为OMDL挑战者需要向敌手提供无法在p.p.t中实现的DL oracle(除非DL问题是容易的，但这会导致OMDL假设无论如何都不成立)。
观察到，当要求求解算法是代数的的时候，DL oracle实际上可以在p.p.t.中实现。
在OMDL的上下文中，这意味着每当敌手通过DL oracle查询group元素的离散对数时，它都会在由生成元和迄今为止收到的所有DLchallenges构成的基中输出该group元素的表示（它们共同构成了迄今为止它所收到的所有group元素）。
因此，得到了一个可证伪的OMDL假设，称之为代数OMDL (AOMDL)假设。由于每个代数算法也是一种普通算法，因此AOMDL假设立即隐含在已建立的OMDL假设中。

原文的说法看起来不太好理解，分析一下：

• 首先敌手手中掌握的信息有：先前查询oracle得到的若干组挑战和对应的离散对数，采样一些$\alpha ,{\beta }_i$，并结合所有已知的挑战生成新的$X$进行查询。而挑战者可以用代数方法计算出对应的离散对数。

• 然后明确一下什么是可证伪的，根据定义可看出是指提供oracle的挑战者算法是否是ppt的。

• 原始DL的显然是可证伪的。而OMDL中要回答最多n次查询，而挑战者在每次查询时都要回答打破DLP的结果，这个过程一定无法在PPT内完成。

• 再看AOMDL，挑战者在DLoracle中生成回答的过程是代数的，且每次回答时并不需要打破DLP的算法，因为回答DL挑战的次数$q$与敌手获得的挑战值$c$（对应每个离散对数$x_i$）个数无关，所以整个回答DL的过程也是ppt的，即可证伪的。

AOMPR：Algebraic One-More Preimage Resistance for linear hash functions

上篇博客：https://blog.csdn.net/jiongxv/article/details/131110322
原文：https://link.springer.com/chapter/10.1007/978-3-031-30589-4_22
再说到 Algebraic One-More Preimage Resistance

可以看出AOMPR和AOMDL的区别仅在于将$g^x$运算替换成$F(\cdot )$，并且这是一个线性哈希函数LHF。

AOMPR for LHF满足Collision Resistance

Collision Resistance：线性哈希函数的抗碰撞性类似于加密哈希函数的抗碰撞性，它确保很难找到映射到相同输出的两个不同输入

线性哈希函数族的AOMPR由其抗碰撞性隐含。

以上是EUROCRYPT 2023论文《Threshold and Multi-signature Schemes from Linear Hash Functions》中所涉及的代数相关知识及引用补充，继续阅读作者如何基于AOMPR构造方案：https://blog.csdn.net/jiongxv/article/details/131110322