从OWF到密码学方案

OWF

求逆实验$Inver{t}_{A,f}(n)$，

1. 选择均匀的 x ∈ { 0 , 1 } n x \in \{0,1\}^n x∈{0,1}n，并计算$y:=f(x)$
2. 敌手$A$以$1^n$和$y$为输入，并输出$x^{\prime }$
3. 实验的输出为$1$当仅当$f(x^{\prime })=y$（注意，我们不要求$x’=x$）

一个函数 f : { 0 , 1 } ∗ → { 0 , 1 } ∗ f:\{0,1\}^* \rightarrow \{0,1\}^* f:{0,1}∗→{0,1}∗（任意长度）是单向函数（One-way Function），如果它满足两个条件：

1. 容易计算：存在多项式时间算法$M_f$，使得$M_f(x)=f(x),\forall x$
2. 难以求逆：任意的概率多项式时间（PPT）算法$A$，使得$Pr[Inver{t}_{A,f}(n)=1]\le negl(n)$，其中$negl(\cdot )$是可忽略函数

注意，难以求逆说的是，任意多项式时间敌手$A$，对于均匀随机的$x$的像$f(x)$，难以计算出它的原像
P r x ← { 0 , 1 } ∗ [ A ( 1 n , f ( x ) ) ∈ f − 1 ( f ( x ) ) ] ≤ n e g l ( n ) \underset{x \leftarrow \{0,1\}^*}{Pr}[A(1^n, f(x)) \in f^{-1}(f(x))] \le negl(n) x←{0,1}∗Pr​[A(1n,f(x))∈f−1(f(x))]≤negl(n)
OWF并非对所有点$x$都难以求逆，甚至可以存在可数无限个求逆容易的点。不是OWF的函数，也可以存在某些难以求逆的点。

目前没有证明OWF存在，也没有证明OWF不存在。如果OWF存在，那么$P\ne NP$（因为$OWF\notin P$）。反之，因此即使$P\ne NP$，也无法证明OWF存在，因为一个函数$f\notin P$，仅仅是存在至少一个点$x$，$f(x)$难以求逆，并不意味着$f$一定是OWF。

OWP

如果一个OWF是并且length-preserving（$|f(x)|=|x|,\forall x$）并且是双射，那么它是单向置换（One-way Permutation）

如果$1^n$足够大，那么$OWP\stackrel{c}{\equiv }OWF$，它们计算上不可区分。

Hard-Core Predicates

OWF难以求逆，但计算部分输入信息可以是容易的。令$g$是OWF，那么$f(x_1,x_2)=(x_1,g(x_2))$也是OWF。

一个函数 h c : { 0 , 1 } ∗ → { 0 , 1 } hc:\{0,1\}^* \rightarrow \{0,1\} hc:{0,1}∗→{0,1}是关于函数$f$的硬核谓词，如果它满足

1. 容易计算：存在多项式时间算法$M$，使得$M(x)=hc(x),\forall x$
2. 难以推断：任意的概率多项式时间算法$A$，使得 P r x ← { 0 , 1 } ∗ [ A ( 1 n , f ( x ) ) = h c ( x ) ] ≤ 0.5 + n e g l ( n ) \underset{x \leftarrow \{0,1\}^*}{Pr}[A(1^n, f(x)) = hc(x)] \le 0.5 + negl(n) x←{0,1}∗Pr​[A(1n,f(x))=hc(x)]≤0.5+negl(n)

一个双射函数$f$有硬核$hc$，仅当$f$是OWF（如果不是OWF，因为双射，可以求$f(x)$原像$x$，进而$hc(x)$容易计算）

有硬核的函数未必是OWF，比如$f(x_1\cdots x_n)=x_1\cdots x_{n-1}$和它的硬核$hc(x_1\cdots x_n)=x_n$

Goldreich-Levin Theorem：假设存在一个单向函数（单向置换）$f$，那么就存在拥有硬核$hc$的单向函数（单向置换）$g$，构造如下
$$\begin{gathered} g(x,r):=(f(x),r) \\ hc(x,r):={\oplus }_{i=1}^n{x}_i\cdot r_i \end{gathered}$$
其中$|x|=|r|=n$。即：用$r$挑选比特串$x$的随机子集，$f(x)$可以隐藏这个随机子集的异或值。

PRG

一个确定性多项式时间算法 G : { 0 , 1 } n → { 0 , 1 } l ( n ) G:\{0,1\}^n \rightarrow \{0,1\}^{l(n)} G:{0,1}n→{0,1}l(n)是伪随机生成器（Pseudorandom Generator），如果它满足两个条件：

1. 扩展性（Expansion）：多项式$l(\cdot )$，且$l(n)>n$，它叫做扩张因子（expansion factor）
2. 伪随机性（Pseudorandomness）：任意的PPT区分器$D$，使得$|Pr[D(G(s))=1]-Pr[D(r)=1]|\le negl(n)$，其中 r ∈ { 0 , 1 } l ( n ) r \in \{0,1\}^{l(n)} r∈{0,1}l(n)是均匀选取的（即$r$是真随机数）

构造PRG：令$f$是一个拥有硬核$hc$的OWP，那么扩张因子为$l(n)=n+1$的伪随机生成器可以构造如下
$$G(s):=f(s)||hc(s)$$

注意，OWF是不够的。例如，$g$是OWF，令$f=2g$也是OWF，但从随机分布中区分出$f(s)||hc(s)$是容易的，倒数第二个比特是偶数。

扩展PRG：如果存在扩张因子$l(n)=n+1$的伪随机生成器$G$，那么就存在$l(n)=poly(n)$的伪随机生成器$G^{\prime }$，构造如下
G 1 ( s ) : = G ( s ) = ( s 1 ∈ { 0 , 1 } n , σ 1 ∈ { 0 , 1 } ) G k ( s ) : = ( G ( s k − 1 ) , σ k − 1 , ⋯   , σ 1 ) = ( s k ∈ { 0 , 1 } n , σ k , ⋯   , σ 1 ) G ′ ( s ) : = G p ( n ) ( s ) G_1(s) := G(s) = (s_1 \in \{0,1\}^{n},\sigma_1 \in \{0,1\})\\ G_k(s) := (G(s_{k-1}), \sigma_{k-1},\cdots,\sigma_1) = (s_{k} \in \{0,1\}^{n}, \sigma_{k},\cdots,\sigma_1)\\ G'(s) := G_{p(n)}(s) G1​(s):=G(s)=(s1​∈{0,1}n,σ1​∈{0,1})Gk​(s):=(G(sk−1​),σk−1​,⋯,σ1​)=(sk​∈{0,1}n,σk​,⋯,σ1​)G′(s):=Gp(n)​(s)
简单来说，就是每次迭代都只将前$n$位输入$G$，并将最后$1$位保留在末尾。

PRF

令 F : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ F:\{0,1\}^* \times \{0,1\}^* \rightarrow \{0,1\}^* F:{0,1}∗×{0,1}∗→{0,1}∗是可以有效计算的带密钥函数（Efficient Keyed Function），它是伪随机函数（Pseudorandom Function），如果任意的PPT区分器$D$，满足如下条件
$$|Pr[D^{F_k}(1^n)=1]-Pr[D^f(1^n)=1]|\le negl(n)$$
其中 k ∈ { 0 , 1 } n k\in\{0,1\}^n k∈{0,1}n是均匀随机的，均匀选取$f\in Fun{c}_n$，这里$Fun{c}_n$是所有$n$比特输入输出函数的集合，大小为$(2^n{)}^{2^n}$

构造PRF：如果存在扩张因子$l(n)=2n$的伪随机生成器$G(x)=(G_0(x),G_1(x))$，那么就存在伪随机函数 F k : { 0 , 1 } n → { 0 , 1 } n F_k: \{0,1\}^n \rightarrow \{0,1\}^n Fk​:{0,1}n→{0,1}n，构造如下
$$F_k(x_1\cdots x_n):=G_{x_n}(\cdots (G_{x_2}(G_{x_1}(k))))$$
其实，上述过程就是在以$k$为根、以$G_0,G_1$为左右子树的二叉树上，用$x=x_1\cdots x_n$作为路径检索叶子。

另外，反过来从PRF构建PRG也是容易的，如$G(s):=F_s(1)||\cdots ||F_s(l)$

OWF的输出均匀，但是输出均匀的函数不一定是OWF。例如，$F_k(x)=k\oplus x$，对于均匀随机的$k$，它的输出是均匀的，但可以被差分分析。

PRP

令 F : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ F:\{0,1\}^* \times \{0,1\}^* \rightarrow \{0,1\}^* F:{0,1}∗×{0,1}∗→{0,1}∗是可以有效计算的带密钥置换（Efficient Keyed Permutation），它是强伪随机置换（Strong Pseudorandom Permutation），如果任意的PPT区分器$D$，满足如下条件
$$|Pr[D^{F_k,F_k^{-1}}(1^n)=1]-Pr[D^{f,f^{-1}}(1^n)=1]|\le negl(n)$$
其中 k ∈ { 0 , 1 } n k\in\{0,1\}^n k∈{0,1}n是均匀随机的，均匀选取$f\in Per{m}_n$，这里$Per{m}_n$是所有$n$比特置换的集合，大小为$(2^n)!$

注意，Strong说的是，即使额外给定求逆预言机，依然难以区分。

构造PRP：如果存在伪随机函数$f$，那么就存在强伪随机置换$F_k^{(4)}(x)$，其中 k = { k 1 , k 2 , k 3 , k 4 } k=\{k_1,k_2,k_3,k_4\} k={k1​,k2​,k3​,k4​}，$|k_i|=n$， x = ( L 0 , R 0 ) ∈ { 0 , 1 } 2 n x=(L_0,R_0) \in \{0,1\}^{2n} x=(L0​,R0​)∈{0,1}2n，构造如下
$$\begin{gathered} L_i:=R_{i-1} \\ {R}_i:=L_{i-1}\oplus F_{k_i}(R_{i-1}) \end{gathered}$$
最后将$(L_4,R_4)$作为输出。这其实就是$4$轮的Feistel network；如果是$3$轮的，那么只是PRP，并不Strong

转换

1. 可以从PRG构造OWF，事实上$l(n)=2n$的$G(\cdot )$它本身就是单向的，值域比定义域大$2^n$倍。

2. 使用线性反馈移位寄存器（Linear-Feedback Shift Registers，LFSRs）构造的流密码，它是PRG的候选。

3. 使用PRG可以构造窃听安全（Eavesdropper）的对称加密，

   • $Gen$：令$G$是扩展因子为$l(n)$的PRG，输入$1^n$，输出 k ∈ { 0 , 1 } n k \in \{0,1\}^n k∈{0,1}n作为密钥
   • $Enc$：输入消息 m ∈ { 0 , 1 } l ( n ) m \in \{0,1\}^{l(n)} m∈{0,1}l(n)，输出密文$c:=G(k)\oplus m$
   • $Dec$：输入密文 c ∈ { 0 , 1 } l ( n ) c \in \{0,1\}^{l(n)} c∈{0,1}l(n)，输出明文$m:=G(k)\oplus c$

4. 可以从$EAV$安全的对称加密构造OWF，构造为$f(k,m,r):=En{c}_k(m;r)||m$，其中$|k|=n,|m|=2n,|r|=l(n)$

5. 如果PRP存在，那么就存在$CCA$安全的对称密码。

6. 利用PRF，可以构造固定长度（fixed-length）的MAC，$\Pi =(Gen,Mac,Vrfy)$

   • $Mac$：令$F$是PRF，输入密钥 k ∈ { 0 , 1 } n k \in \{0,1\}^n k∈{0,1}n和消息 m ∈ { 0 , 1 } n m \in \{0,1\}^n m∈{0,1}n，输出$t:=F_k(m)$

   • $Vrfy$：输入 k , m , t ∈ { 0 , 1 } n k,m,t \in \{0,1\}^n k,m,t∈{0,1}n，判断$t=F_k(m)$是否满足

   • 它是在自适应选择消息攻击（Adaptive Chosen-message Attack）下的存在性不可伪造（Existentially Unforgeable）的，
     $$Pr[Mac-forg{e}_{A,\Pi }(n)=1]\le negl(n)$$

7. 从固定长度的MAC，可以构造任意长度（variable-length）的MAC

   • $Mac$：令${\Pi }^{\prime }=(Ma{c}^{\prime },Vrf{y}^{\prime })$是固定长度的MAC，输入密钥 k ∈ { 0 , 1 } n k \in \{0,1\}^n k∈{0,1}n和长度为$l<2^{n/4}$的消息 m ∈ { 0 , 1 } ∗ m \in \{0,1\}^* m∈{0,1}∗，将$m$做padding并分成若干块 m 1 , ⋯   , m d ∈ { 0 , 1 } n / 4 m_1,\cdots,m_d \in \{0,1\}^{n/4} m1​,⋯,md​∈{0,1}n/4，选择随机数 r ∈ { 0 , 1 } n / 4 r \in \{0,1\}^{n/4} r∈{0,1}n/4，计算$t_i=Ma{c}_k^{\prime }(r||l||i||m_i)$，输出$t:=(r,t_1,\cdots ,t_d)$（这里$|t|\propto |m|$）
   • $Vrfy$：输入$k,m,t$，将$m$分成$d^{\prime }$块，判断$d=d^{\prime }$和$\forall 1\le i\le d,Vrf{y}_k^{\prime }(r||l||i||m_i,t_i)=1$是否都满足
   • 它也是$EUF-CMA$的MAC

8. 利用PRF，可以构造任意长度的CBC-MAC

   • $Mac$其一：令$F$是PRF，输入密钥 k ∈ { 0 , 1 } n k \in \{0,1\}^n k∈{0,1}n和长度为$l<2^n$的消息 m ∈ { 0 , 1 } ∗ m \in \{0,1\}^* m∈{0,1}∗，将$m$做padding并分成若干块 m 1 , ⋯   , m d ∈ { 0 , 1 } n m_1,\cdots,m_d \in \{0,1\}^n m1​,⋯,md​∈{0,1}n，先计算$t_0=F_k(l)$（长度必须前置），再迭代计算$t_i=F_k(t_{i-1}\oplus m_i)$，输出$t:=t_d$
   • $Mac$其二：令$F$是PRF，输入密钥 k 1 , k 2 ∈ { 0 , 1 } n k_1,k_2 \in \{0,1\}^n k1​,k2​∈{0,1}n和长度为$l<2^n$的消息 m ∈ { 0 , 1 } ∗ m \in \{0,1\}^* m∈{0,1}∗，将$m$做padding并分成若干块 m 1 , ⋯   , m d ∈ { 0 , 1 } n m_1,\cdots,m_d \in \{0,1\}^n m1​,⋯,md​∈{0,1}n，先设置$t_0=IV$（必须是固定值），再迭代计算$t_i=F_{k_1}(t_{i-1}\oplus m_i)$，输出$t:=F_{k_2}(t_d)$

9. 一个$EUF-CMA$的MAC，根据安全性定义，它就是OWF

10. 抗碰撞Hash函数 H : { 0 , 1 } 2 n → { 0 , 1 } n H:\{0,1\}^{2n} \rightarrow \{0,1\}^n H:{0,1}2n→{0,1}n可以作为OWF，因为$Pr[Inver{t}_{A,f}(n)]=Pr[Hash-col{l}_{A,\Pi }(n))=1]$

11. 使用Merkle-Damgard Transform，可以将固定长度Hash函数$h^s$转化为任意长度Hash函数$H$，
    $$\begin{gathered} Z_1:=h^s(IV||m_1) \\ {Z}_i:=h^s(Z_{i-1}||m_i) \\ H(m):=h^s(Z_B||L) \end{gathered}$$
    注意，这里的长度$L$是后置的，$IV$是任意常数。

12. 使用抗碰撞Hash函数$h$构造HMAC，
    $$\begin{gathered} k_{in}:=h^s(IV||k\oplus ipad) \\ {k}_{out}:=h^s(IV||k\oplus opad) \\ {Z}_1:=h^s(k_{in}||m_1) \\ {Z}_i:=h^s(Z_{i-1}||m_i) \\ {Z}_{B+1}:=h^s(Z_B||L) \\ t:=h^s(k_{out}||Z_{B+1}) \end{gathered}$$

13. 可以从因子分解、RSA、DLP等问题，构造出OWF、OWP、Hash等部件。

文献

[1] J. Katz and Y. Lindell. Introduction to modern cryptography. CRC press, 2020.