密码学系列6-随机预言机模型和标准模型

本章主要介绍随机预言机模型和标准模型的概念和区别
本系列中，BLS就是随机预言机模型；

一、随机预言机模型
随机预言机模型（Random oracle）是一个理想化的东西。因为他要求对任何输入，都有均匀随机的一个输出。对相同的输入，有相同的输出。而在现实构造中，我们只能做到伪随机，而无法构造真正的均匀随机的输出。

随机预言机模型通常是现实中哈希函数的理想化的替身。该随机预言机的内部工作状态及运行原理对于敌手或者用户来说都是未知的。用户只需要与其交互来获得相应的输出。

因为这种哈希函数的黑盒性，我们不能使用通常的哈希函数来实现（如SHA256等）。敌手或用户需要像挑战者发起哈希问询，才能得到对应的哈希值。在安全性证明中，挑战者通常会对哈希函数的输出进行设定，从而达到一些目的。

比如系列5中BLS安全性证明就是随机预言机模型。我们对哈希函数$H$的第$j$次输出，按我们的需求进行了设定。从而通过敌手的伪造求解了CDH问题。

题外话：随机预言机模型目前还存在争议。因为哈希函数的输出应该是随机的，而我们却控制了他的输出。并且存在在随机预言机下模型下证明了安全性的方案，现实中却被证明不安全。因此现在有学者在研究non-programmable random oracle。
但是一个方案有安全性证明，总比没有好！

二、标准模型

只要求哈希函数的现实特性如抗碰撞性，单向性等，不依赖于对哈希函数的完全随机，构建的安全性证明。
标准模型下安全性证明更困难，增加了方案设计困难性。但是标准模型下的方案更具现实意义，所以读者阅读论文时，会发现有的工作便是将随机预言机模型下安全的方案改为标准模型下安全的方案。

比如系列3的加密和系列4中的Cramer-Shoup安全性证明就是标准模型下。
通过系列3，4，5几篇文章，读者能够清晰地感受到两种安全性证明的区别。
同时避免了一些同学陷入到有哈希函数就是随机预言机模型的错误认知！