从OWF到密码学方案

OWF

求逆实验$Inver{t}_{A,f}(n)$，

1. 选择均匀的$x\in \{0,1{\}}^n$，并计算$y:=f(x)$
2. 敌手$A$以$1^n$和$y$为输入，并输出$x^{\prime }$
3. 实验的输出为$1$当仅当$f(x^{\prime })=y$（注意，我们不要求$x’=x$）

一个函数$f:\{0,1{\}}^{\ast }\to \{0,1{\}}^{\ast }$（任意长度）是单向函数（One-way Function），如果它满足两个条件：

1. 容易计算：存在多项式时间算法$M_f$，使得$M_f(x)=f(x),\forall x$
2. 难以求逆：任意的概率多项式时间（PPT）算法$A$，使得$Pr[Inver{t}_{A,f}(n)=1]\le negl(n)$，其中$negl(\cdot )$是可忽略函数

注意，难以求逆说的是，任意多项式时间敌手$A$，对于均匀随机的$x$的像$f(x)$，难以计算出它的原像
$$\underset{x\leftarrow \{0,1{\}}^{\ast }}{\mathrm{Pr}}[A(1^n,f(x))\in f^{-1}(f(x))]\le negl(n)$$
OWF并非对所有点$x$都难以求逆，甚至可以存在可数无限个求逆容易的点。不是OWF的函数，也可以存在某些难以求逆的点。

目前没有证明OWF存在，也没有证明OWF不存在。如果OWF存在，那么$P\ne NP$（因为$OWF\notin P$）。反之，因此即使$P\ne NP$，也无法证明OWF存在，因为一个函数$f\notin P$，仅仅是存在至少一个点$x$，$f(x)$难以求逆，并不意味着$f$一定是OWF。

OWP

如果一个OWF是并且length-preserving（$|f(x)|=|x|,\forall x$）并且是双射，那么它是单向置换（One-way Permutation）

如果$1^n$足够大，那么$OWP\stackrel{c}{\equiv }OWF$，它们计算上不可区分。

Hard-Core Predicates

OWF难以求逆，但计算部分输入信息可以是容易的。令$g$是OWF，那么$f(x_1,x_2)=(x_1,g(x_2))$也是OWF。

一个函数$hc:\{0,1{\}}^{\ast }\to \{0,1\}$是关于函数$f$的硬核谓词，如果它满足

1. 容易计算：存在多项式时间算法$M$，使得$M(x)=hc(x),\forall x$
2. 难以推断：任意的概率多项式时间算法$A$，使得$\underset{x\leftarrow \{0,1{\}}^{\ast }}{\mathrm{Pr}}[A(1^n,f(x))=hc(x)]\le 0.5+negl(n)$

一个双射函数$f$有硬核$hc$，仅当$f$是OWF（如果不是OWF，因为双射，可以求$f(x)$原像$x$，进而$hc(x)$容易计算）

有硬核的函数未必是OWF，比如$f(x_1\cdots x_n)=x_1\cdots x_{n-1}$和它的硬核$hc(x_1\cdots x_n)=x_n$

Goldreich-Levin Theorem：假设存在一个单向函数（单向置换）$f$，那么就存在拥有硬核$hc$的单向函数（单向置换）$g$，构造如下
$$\begin{gathered} g(x,r):=(f(x),r) \\ hc(x,r):={\oplus }_{i=1}^n{x}_i\cdot r_i \end{gathered}$$
其中$|x|=|r|=n$。即：用$r$挑选比特串$x$的随机子集，$f(x)$可以隐藏这个随机子集的异或值。

PRG

一个确定性多项式时间算法$G:\{0,1{\}}^n\to \{0,1{\}}^{l(n)}$是伪随机生成器（Pseudorandom Generator），如果它满足两个条件：

1. 扩展性（Expansion）：多项式$l(\cdot )$，且$l(n)>n$，它叫做扩张因子（expansion factor）
2. 伪随机性（Pseudorandomness）：任意的PPT区分器$D$，使得$|Pr[D(G(s))=1]-Pr[D(r)=1]|\le negl(n)$，其中$r\in \{0,1{\}}^{l(n)}$是均匀选取的（即$r$是真随机数）

构造PRG：令$f$是一个拥有硬核$hc$的OWP，那么扩张因子为$l(n)=n+1$的伪随机生成器可以构造如下
$$G(s):=f(s)||hc(s)$$

注意，OWF是不够的。例如，$g$是OWF，令$f=2g$也是OWF，但从随机分布中区分出$f(s)||hc(s)$是容易的，倒数第二个比特是偶数。

扩展PRG：如果存在扩张因子$l(n)=n+1$的伪随机生成器$G$，那么就存在$l(n)=poly(n)$的伪随机生成器$G^{\prime }$，构造如下
$$\begin{gathered} G_1(s):=G(s)=(s_1\in \{0,1{\}}^n,{\sigma }_1\in \{0,1\}) \\ {G}_k(s):=(G(s_{k-1}),{\sigma }_{k-1},\cdots ,{\sigma }_1)=(s_k\in \{0,1{\}}^n,{\sigma }_k,\cdots ,{\sigma }_1) \\ {G}^{\prime }(s):=G_{p(n)}(s) \end{gathered}$$
简单来说，就是每次迭代都只将前$n$位输入$G$，并将最后$1$位保留在末尾。

PRF

令$F:\{0,1{\}}^{\ast }\times \{0,1{\}}^{\ast }\to \{0,1{\}}^{\ast }$是可以有效计算的带密钥函数（Efficient Keyed Function），它是伪随机函数（Pseudorandom Function），如果任意的PPT区分器$D$，满足如下条件
$$|Pr[D^{F_k}(1^n)=1]-Pr[D^f(1^n)=1]|\le negl(n)$$
其中$k\in \{0,1{\}}^n$是均匀随机的，均匀选取$f\in Fun{c}_n$，这里$Fun{c}_n$是所有$n$比特输入输出函数的集合，大小为$(2^n{)}^{2^n}$

构造PRF：如果存在扩张因子$l(n)=2n$的伪随机生成器$G(x)=(G_0(x),G_1(x))$，那么就存在伪随机函数$F_k:\{0,1{\}}^n\to \{0,1{\}}^n$，构造如下
$$F_k(x_1\cdots x_n):=G_{x_n}(\cdots (G_{x_2}(G_{x_1}(k))))$$
其实，上述过程就是在以$k$为根、以$G_0,G_1$为左右子树的二叉树上，用$x=x_1\cdots x_n$作为路径检索叶子。

另外，反过来从PRF构建PRG也是容易的，如$G(s):=F_s(1)||\cdots ||F_s(l)$

OWF的输出均匀，但是输出均匀的函数不一定是OWF。例如，$F_k(x)=k\oplus x$，对于均匀随机的$k$，它的输出是均匀的，但可以被差分分析。

PRP

令$F:\{0,1{\}}^{\ast }\times \{0,1{\}}^{\ast }\to \{0,1{\}}^{\ast }$是可以有效计算的带密钥置换（Efficient Keyed Permutation），它是强伪随机置换（Strong Pseudorandom Permutation），如果任意的PPT区分器$D$，满足如下条件
$$|Pr[D^{F_k,F_k^{-1}}(1^n)=1]-Pr[D^{f,f^{-1}}(1^n)=1]|\le negl(n)$$
其中$k\in \{0,1{\}}^n$是均匀随机的，均匀选取$f\in Per{m}_n$，这里$Per{m}_n$是所有$n$比特置换的集合，大小为$(2^n)!$

注意，Strong说的是，即使额外给定求逆预言机，依然难以区分。

构造PRP：如果存在伪随机函数$f$，那么就存在强伪随机置换$F_k^{(4)}(x)$，其中$k=\{k_1,k_2,k_3,k_4\}$，$|k_i|=n$，$x=(L_0,R_0)\in \{0,1{\}}^{2n}$，构造如下
$$\begin{gathered} L_i:=R_{i-1} \\ {R}_i:=L_{i-1}\oplus F_{k_i}(R_{i-1}) \end{gathered}$$
最后将$(L_4,R_4)$作为输出。这其实就是$4$轮的Feistel network；如果是$3$轮的，那么只是PRP，并不Strong

转换

1. 可以从PRG构造OWF，事实上$l(n)=2n$的$G(\cdot )$它本身就是单向的，值域比定义域大$2^n$倍。

2. 使用线性反馈移位寄存器（Linear-Feedback Shift Registers，LFSRs）构造的流密码，它是PRG的候选。

3. 使用PRG可以构造窃听安全（Eavesdropper）的对称加密，

   • $Gen$：令$G$是扩展因子为$l(n)$的PRG，输入$1^n$，输出$k\in \{0,1{\}}^n$作为密钥
   • $Enc$：输入消息$m\in \{0,1{\}}^{l(n)}$，输出密文$c:=G(k)\oplus m$
   • $Dec$：输入密文$c\in \{0,1{\}}^{l(n)}$，输出明文$m:=G(k)\oplus c$

4. 可以从$EAV$安全的对称加密构造OWF，构造为$f(k,m,r):=En{c}_k(m;r)||m$，其中$|k|=n,|m|=2n,|r|=l(n)$

5. 如果PRP存在，那么就存在$CCA$安全的对称密码。

6. 利用PRF，可以构造固定长度（fixed-length）的MAC，$\Pi =(Gen,Mac,Vrfy)$

   • $Mac$：令$F$是PRF，输入密钥$k\in \{0,1{\}}^n$和消息$m\in \{0,1{\}}^n$，输出$t:=F_k(m)$

   • $Vrfy$：输入$k,m,t\in \{0,1{\}}^n$，判断$t=F_k(m)$是否满足

   • 它是在自适应选择消息攻击（Adaptive Chosen-message Attack）下的存在性不可伪造（Existentially Unforgeable）的，
     $$Pr[Mac-forg{e}_{A,\Pi }(n)=1]\le negl(n)$$

7. 从固定长度的MAC，可以构造任意长度（variable-length）的MAC

   • $Mac$：令${\Pi }^{\prime }=(Ma{c}^{\prime },Vrf{y}^{\prime })$是固定长度的MAC，输入密钥$k\in \{0,1{\}}^n$和长度为$l<2^{n/4}$的消息$m\in \{0,1{\}}^{\ast }$，将$m$做padding并分成若干块$m_1,\cdots ,m_d\in \{0,1{\}}^{n/4}$，选择随机数$r\in \{0,1{\}}^{n/4}$，计算$t_i=Ma{c}_k^{\prime }(r||l||i||m_i)$，输出$t:=(r,t_1,\cdots ,t_d)$（这里$|t|\propto |m|$）
   • $Vrfy$：输入$k,m,t$，将$m$分成$d^{\prime }$块，判断$d=d^{\prime }$和$\forall 1\le i\le d,Vrf{y}_k^{\prime }(r||l||i||m_i,t_i)=1$是否都满足
   • 它也是$EUF-CMA$的MAC

8. 利用PRF，可以构造任意长度的CBC-MAC

   • $Mac$其一：令$F$是PRF，输入密钥$k\in \{0,1{\}}^n$和长度为$l<2^n$的消息$m\in \{0,1{\}}^{\ast }$，将$m$做padding并分成若干块$m_1,\cdots ,m_d\in \{0,1{\}}^n$，先计算$t_0=F_k(l)$（长度必须前置），再迭代计算$t_i=F_k(t_{i-1}\oplus m_i)$，输出$t:=t_d$
   • $Mac$其二：令$F$是PRF，输入密钥$k_1,k_2\in \{0,1{\}}^n$和长度为$l<2^n$的消息$m\in \{0,1{\}}^{\ast }$，将$m$做padding并分成若干块$m_1,\cdots ,m_d\in \{0,1{\}}^n$，先设置$t_0=IV$（必须是固定值），再迭代计算$t_i=F_{k_1}(t_{i-1}\oplus m_i)$，输出$t:=F_{k_2}(t_d)$

9. 一个$EUF-CMA$的MAC，根据安全性定义，它就是OWF

10. 抗碰撞Hash函数$H:\{0,1{\}}^{2n}\to \{0,1{\}}^n$可以作为OWF，因为$Pr[Inver{t}_{A,f}(n)]=Pr[Hash-col{l}_{A,\Pi }(n))=1]$

11. 使用Merkle-Damgard Transform，可以将固定长度Hash函数$h^s$转化为任意长度Hash函数$H$，
    $$\begin{gathered} Z_1:=h^s(IV||m_1) \\ {Z}_i:=h^s(Z_{i-1}||m_i) \\ H(m):=h^s(Z_B||L) \end{gathered}$$
    注意，这里的长度$L$是后置的，$IV$是任意常数。

12. 使用抗碰撞Hash函数$h$构造HMAC，
    $$\begin{gathered} k_{in}:=h^s(IV||k\oplus ipad) \\ {k}_{out}:=h^s(IV||k\oplus opad) \\ {Z}_1:=h^s(k_{in}||m_1) \\ {Z}_i:=h^s(Z_{i-1}||m_i) \\ {Z}_{B+1}:=h^s(Z_B||L) \\ t:=h^s(k_{out}||Z_{B+1}) \end{gathered}$$

13. 可以从因子分解、RSA、DLP等问题，构造出OWF、OWP、Hash等部件。

文献

[1] J. Katz and Y. Lindell. Introduction to modern cryptography. CRC press, 2020.