单陷门置换

陷门置换定义

  一个陷门置换族是一个PPT算法元组$(Gen,Sample,Eval,Invert)$：

1. PPT，运行步数是安全参数的多项式函数。
2. $Gen(l^{\mathcal{K}})$是一个概率性算法，输入为安全参数$l^{\mathcal{K}}$，输出为$(i,td)$，其中$i$是定义域$D_i$上的一个置换$f_i$的标号（“公钥”），$td$是允许求$f_i$逆的陷门信息（“私钥”）。
3. $Sample(l^{\mathcal{K}},i)$是一个概率性算法，输入$i$有$Gen$产生，输出为$x{\leftarrow }_R{D}_i$。
4. $Eval(l^{\mathcal{K}},i,x)$是一个确定性算法，输出为$y\in D_i$。即$Eval(l^{\mathcal{K}},i,\cdot ):D_i\to D_i$是$D_i$上的一个置换。
5. $Invert(l^{\mathcal{K}},td,y)$，输出为$x$。

  RSA加密算法就是一个典型的陷门置换：
6. $Gen(k)$：随机选取两个$\mathcal{K}$比特素数$p$和$q$。计算$N=pq$，$\phi (N)=(p-1)(q-1)$。选取与$\phi (N)$互素的$e$，计算$ed=1mod\phi (N)$，输出为$((N,e),(N,d))$。分别对应$i$和$td$。定义域$D_{N,e}$就是$Z_N$。
7. $Sample(\mathcal{K},(N,e))$：从$Z_N$中选取一个随机元素$x$。
8. $Eval(\mathcal{K},(N,e),x)$：$y=x^{e}modN$。
9. $Invert(\mathcal{K},(N,d),y)$，输出为$x=y^{d}modN$ 。

单陷门置换定义

  在陷门置换中没有考虑任何“困难性”和安全性的概念（可以为线性置换以及求逆），这在密码学上是没有意义的。所以一般认为密码学中的陷门置换是单陷门置换。单陷门置换是指当陷门信息$td$未知时，一个随机陷门置换的求逆是困难的。具体定义如下：
  一个陷门置换簇$(Gen,Sample,Eval,Invert)$是单向的，如果对于任意的PPT敌手$\mathcal{A}$，存在一个可忽略的函数$ϵ(\mathcal{K})$，使得$\mathcal{A}$在下面的对抗中，其优势${Adv}_{\mathcal{A}}(\mathcal{K})\le ϵ(\mathcal{K})$：
${Function}_{\mathcal{A}}(\mathcal{K}):$
  $(i,td)\leftarrow Gen(\mathcal{K})$；
  $y\leftarrow Sample(\mathcal{K},i)$；
  $x\leftarrow \mathcal{A}(\mathcal{K},i,y)$
  如果$Eval(\mathcal{K},i,x)=y$，返回1；否则返回0。
  $\mathcal{A}$的优势${Adv}_{\mathcal{A}}(\mathcal{K})$定义为${Adv}_{\mathcal{A}}(\mathcal{K})=Pr[{Function}_{\mathcal{A}}(\mathcal{K})=1]$，其中$Pr$表示概率。
  为了方便理解可以将$i$表示为置换$f$，$td$表示为逆置换$f^{-1}$。