安全性归约（构造 1）

OWF

1. 设 $I$ 是多项式可列举的指标集，若 $f$ 是 $I$ 上的非全域（弱）单向函数，令
   $$g(x):=f(x^{\prime }),g^{\prime }(x):=f(x^{\prime })\Vert x^{\prime \prime }$$

   其中 $x=x^{\prime }\Vert x^{\prime \prime }\in \{0,1{\}}^{\ast }$，且 $|x^{\prime }|=\max \{n\in I:n\le |x|\}$

   那么 $g,g^{\prime }$ 都是全域（弱）单向函数。默认（弱）单向函数是全域的。

2. 设 $f$ 是（弱）单向函数，某多项式 $p(\cdot )$ 满足 $|f(x)|\le p(|x|)$，令
   $$\begin{array}{rl}{f}^{\prime }(x)& :=f(x)\Vert 1\Vert 0^{p(|x|)-|f(x)|}\in \{0,1{\}}^{p(|x|)+1}\\ f^{\prime \prime }(x)& :=f^{\prime }(x^{\prime }),x=x^{\prime }\Vert x^{\prime \prime },|x|=p(|x^{\prime }|)+1\end{array}$$

   那么 $f^{\prime }$ 是长度正则的（弱）单向函数，$f^{\prime \prime }$ 是保长的（弱）单向函数。默认（弱）单向函数是保长的。

3. 存在不是单向函数的弱单向函数。设 $f$ 是单向函数，令
   $$g(x)=\{\begin{array}{rlrl}{x}^{\prime }& \Vert f(x^{\prime \prime }),& & x^{\prime }=0^{{\log }_{2}n}\\ x^{\prime }& \Vert x^{\prime \prime },& & x^{\prime }\ne 0^{{\log }_{2}n}\end{array}$$

   其中 $x=x^{\prime }\Vert x^{\prime \prime }$，$x\in \{0,1{\}}^n$，$x^{\prime }\in \{0,1{\}}^{{\log }_{2}n}$，那么最多只有占比 $1/n$ 的实例是难以求逆的。

   那么 $g$ 不是单向函数，可以证明它是弱单向函数。

4. 单向函数存在 $⟺$ 弱单向函数存在。设 $f:\{0,1{\}}^n\to \{0,1{\}}^n$ 是弱单向函数，存在多项式 $t(\cdot )$，使得
   $$g(x_1,\cdots ,x_{t(n)})=(f(x_1),\cdots ,f(x_{t(n)}))$$

   是单向函数。基本思路就是 $\underset{n\to \infty }{\lim }(1-1/p(n){)}^{t(n)}\to negl(n)$，但归约时更复杂些；因为敌手的策略不一定会对各分量独立选取的输入的像做回应。

5. 单向函数存在，那么存在 $O(n^2)$ 时间内可计算的单向函数。任意常数 $c>2$，设 $g$ 是可在 $O(n^c)$ 时间内求解的 OWF，令
   $$f(x^{\prime }\Vert x^{\prime \prime })=x^{\prime }\Vert g(x^{\prime \prime })$$

   其中 $|x^{\prime }|=n^c-n$，$|x^{\prime \prime }|=n$，那么 $|x|=n^c$，$g(x)$ 可在 $O(|x^{\prime \prime }{|}^c)=O(|x{|}^2)$ 内求解。

6. 如果单向函数存在，那么 $NP\ne P$。令 $f$ 是单向函数，且 $|x|\le p(|f(x)|)$，定义语言
   $$L_f:=\{(y,x^{\prime }):\exists x^{\prime \prime },|x^{\prime }\Vert x^{\prime \prime }|\le p(y),f(x^{\prime }\Vert x^{\prime \prime })=y\}$$

   那么 $L_f\in NP$，可以证明 $L_f\notin P$。

7. 如果 $NP\ne P$，那么存在在某些实例上难以求逆的函数。存在 $L\in NP-P$，令
   $$f(x,w):=\{\begin{array}{rlrl}1& \Vert x,& & (x,w)\in R(L)\\ 0& \Vert x,& & (x,w)\notin R(L)\end{array}$$

   那么 $f$ 是可有效计算的函数，且存在至少一点 $(x,w)$ 难以求逆（最坏意义下的困难性，不一定是 OWF）。

   单向函数需要平均意义下的困难性，此时 $f(x,w)$ 就是弱单向函数了。

8. 存在原像的任意一比特都不是硬核谓词的单向函数。设 $f:\{0,1{\}}^n\to \{0,1{\}}^n$ 是单向函数，令
   $$g(x)=f(x_{-j}^{\prime })\Vert x_j^{\prime }\Vert x^{\prime \prime }$$

   其中 $|x^{\prime }|=n+1$，$|x^{\prime \prime }|={\log }_2(n+1)$，而 $x_j^{\prime }$ 表示第 $j$ 比特，$x_{-j}^{\prime }$ 表示去掉第 $j$ 比特，这里 $j=int(x^{\prime \prime })$

   那么，$g$ 的定义域被划分为 $n+1$ 块，第 $j$ 块的函数值泄露 $x^{\prime }$ 的第 $j$ 比特。任意确定性函数 $b(x)$ 都不可能成为通用硬核谓词，但给定的一个单向函数可以有确定性硬核。

9. Goldreich-Levin 定理：存在有硬核的单向函数。设 $f$ 是单向函数，构造另一个单向函数
   $$g(x,r)=f(x)\Vert r$$

   其中 $|x|=|r|$，那么 $b(x,r)=<x,r>(\mathrm{m}\mathrm{o}\mathrm{d}2)$ 是 $g$ 的硬核谓词。这里的 $b(x,r)$ 是通用硬核。

   归约证明时，将求逆 $f(x)$ 的算法 $B$ 归约到求解 $b(x,r)$ 的算法 $A$ 上，

   • 当 $Pr[A=1]=1$ 时，$B$ 可直接调用用 $n$ 次 $A$ 计算 $b(x,e_i)$，从而恢复出各个分量 $x_i$
   • 当 $Pr[A=1]\ge 1-negl(n)$ 时，$B$ 可直接用 $n$ 次随机化的 $b(x,r)\oplus b(x,e_i\oplus r)$ 恢复出各个分量 $x_i$
   • 当 $Pr[A=1]\ge 3/4+1/p(n)$ 时，$B$ 可统计 $t$ 次随机化的 $b(x,r)\oplus b(x,e_i\oplus r)$，用 major 恢复出各个分量 $x_i$
   • 当 $Pr[A=1]\ge 1/2+c,c<1/4$ 时，$B$ 可先猜测 $t$ 个 $\sigma =b(x,r)$，统计 $t$ 次随机化的 $\sigma \oplus b(x,e_i\oplus r)$，用 major 恢复出各个分量 $x_i$
   • 当 $Pr[A=1]\ge 1/2+1/p(n)$ 时，$B$ 可先随机选取 $l$ 个 $s$，猜测它们的 $\sigma =b(x,s)$，然后构造出两两独立的 $t$ 个 $(r,\tau =b(x,r))$，统计 $t$ 次随机化的 $\tau \oplus b(x,e_i\oplus r)$，用 major 恢复出各个分量 $x_i$

10. 素因子分解假设下，$\{f_{mult}(x,y)=xy\}$ 是弱单向函数簇，其中难以求逆的实例占比至少为 $1/4n^2$

11. 离散对数假设下，$\{f_i(x)=g^x\}$ 是单向函数簇。

12. RSA 假设下，$\{f_{N,e}(x)=x^e(\mathrm{m}\mathrm{o}\mathrm{d}N)\}$ 是单向函数簇。

PRG

1. 如果 $l(n)=n+1$ 的 PRG 存在，那么任意多项式 $l(n)=p(n)$ 的 PRG 也存在。设 $G_0$ 是 $l(n)=n+1$ 的 PRG，构造
   $${\sigma }_i\Vert s_i=G_0(s_{i-1}),|s_i|=|s_{i-1}|=n$$

   那么 $G_p(s_0)={\sigma }_1\cdots {\sigma }_{p(n)}$ 也是 PRG。归约过程中使用混合技术。

2. 如果 OWP 存在，那么 PRG 存在。令 $f$ 是 OWP，$b$ 是硬核，那么
   $$G_1(s)=b(s)\Vert f(s)$$

   是扩张因子 $l(n)=n+1$ 的 PRG。归约过程很简单。

   然后构造
   $${\sigma }_i=b(s_{i-1}),s_i=f(s_{i-1})$$

   那么 $G_p(s_0)={\sigma }_1\cdots {\sigma }_{p(n)}$ 就是 $l(n)=p(n)$ 的 PRG。归约过程中采用逆序，$D^{\prime }$ 为了计算 $y=f(x)$ 的原像的硬核 $b(x)$，猜测 $D$ 的预测位置 $i$，设置 $s_{i-1}=y$，然后 $s_{i-j}=f(s_{i-j+1})=f^{j-1}(y)=f^j(x)$，直到 $s_0=f^i(x)$；设置 $s_i,s_{i+1},\cdots \leftarrow U_n$，以为 $D$ 提供相同分布。

3. PRG 存在 $⟺$ OWF 存在。设 $G:\{0,1{\}}^n\to \{0,1{\}}^{2n}$ 是伪随机生成器，令
   $$f(x_0,x_1)=G(x_0)$$

   那么 $f$ 是单向函数。而从 OWF 构造出 PRG 很困难，需要先构造出 false-entropy-generator，然后构造出 pseudoentropy-generator，最后才构造出 PRG。

4. Rabin 函数：二次剩余假设下，$\{f_N(x)=x^2\mathrm{m}\mathrm{o}\mathrm{d}p,x\in {\mathbb{Z}}_N^{\ast }\}$ 是 $Q{R}_N$ 上单向置换，且 $lsb(x)$ 是硬核。

PRF

1. PRG 存在，那么 PRF 存在。设 $G:\{0,1{\}}^d\to \{0,1{\}}^{2d}$ 是 PRG，记做 $G(s)=G_0(s)\Vert G_1(s)$，那么由 $s$ 指定的函数 $f_s:\{0,1\}\to \{0,1{\}}^d$
   $$f_s(x)=G_x(s)$$

   是最简单的 PRF，可编码为长度为 $2d$ 的序列。

2. GGM 方法：设 $G:\{0,1{\}}^d\to \{0,1{\}}^{2d}$ 是 PRG，记做 $G(s)=G_0(s)\Vert G_1(s)$，那么由 $s$ 指定的函数 $f_s:\{0,1{\}}^l\to \{0,1{\}}^d$ 构造如下
   $$s_{x_1}=G_{x_1}(s),s_{x_1\cdots x_i}=G_{x_i}(s_{x_1\cdots x_{i-1}})$$

   那么 $f_s(x)=s_{x_1\cdots x_l}=s_x$ 是 PRF，可编码为长度为 $d\cdot 2^l$ 的序列。归约过程使用混合技术。

3. 复合定理：如果 $G^{\prime }$ 是 PRG，$F_n$ 是 GGM 构造的 PRF，那么 $G^{\prime }(F_n(\cdot ))$ 是 PRF。归约时，先后证明 $G^{\prime }\circ F_n\stackrel{c}{\equiv }{G}^{\prime }\circ R{F}_n$ 和 $R{F}_n\stackrel{c}{\equiv }{G}^{\prime }\circ R{F}_n$，采用通用编码，使用混合技术。

4. PRF 存在，那么 OWF 存在。设 $f_k$ 是 PRF，那么 $f(k,x)=x\Vert f_k(x)$ 就是 OWF。

   因此，PRF 存在 $⟺$ OWF 存在 $⟺$ PRG 存在。

5. Naor-Reingold 的 PRF 构造：DDH 假设下，$\{G_a(b)=(g^b,g^{ab})\}$ 具有 PRG 的性质（但 $a$ 是保密的）。设置私钥 $a=(a_0,a_1,\cdots ,a_l)$，基于 GGM 方法和 $\{G_a\}$，得到
   $$F_a(x)=g^{a_0{\prod }_{i=1}^l{a}_i^{x_i}}$$

   那么 $\{F_a\}$ 是 PRF。

6. NR 方法：设 $S:\{0,1{\}}^{2n}\to \{0,1{\}}^n$ 是伪随机合成器，$f_s^1:\{0,1\}\to \{0,1{\}}^n⟺s_0\Vert s_1{\leftarrow }_R{U}_{2n}$ 是最简单的随机函数。令 $k=2^l$，那么由 $s=s_0\Vert s_1\leftarrow U_{n\cdot 2^l}$ 指定的函数 $f_s^k:\{0,1{\}}^k\to \{0,1{\}}^n$ 构造如下
   $$f_s^k(x)=\{\begin{array}{rlr}S(f_{s_0}^{k/2}(x_0),f_{s_1}^{k/2}(x_1)),& & k>1\\ s_x,& & k=1\end{array}$$

   那么 $f_s^k(x)$ 是 PRF，可编码为长度为 $n\cdot 2^k$ 的序列。归约过程使用混合技术。

7. 若 trapdoor OWP 存在，那么 weak PRF 存在。设 $\{g_t{\}}_{t\in I}$ 是单向陷门置换，$D_n$ 是值域上的抽样算法，$b(\cdot )$ 是其硬核，令
   $$f_t(x)=b(g_t^{-1}(D_n(x)))$$

   其中 $D_n(x)$ 意为使用 $x$ 作为输入随机带，那么 $f_t\{0,1{\}}^n\to \{0,1\}$ 是弱 PRF。

8. 若 weak PRF 存在，那么伪随机合成器存在。设 $\{f_n{\}}_{n\in \mathbb{N}}$ 是弱 PRF，$I$ 是抽样算法，令 $S_n:\{0,1{\}}^{\ast }\times \{0,1{\}}^{\ast }\to \{0,1{\}}^{\ast }$ 为
   $$S_n(x,y)=f_{I(y)}(x)$$

   其中 $I(y)$ 意为使用 $y$ 作为输入随机带，那么 $S_n$ 是伪随机合成器。归约过程中采取混合技术，将方阵 $\{S_n(x_i,y_j){\}}_{i,j=1}^k$ 和 $U_{n{k}^2}$ 按列混合，前 $i$ 列取自前者，后 $k-i$ 列取自后者。

9. CDH 假设下，函数簇 $\{S_{p,g,r}(x,y)=<g^{xy},r>\}$ 上的均匀分布 $S_{DH}=\{S_n\}$，是伪随机合成器。

10. 令 $f$ 是 PRF，Feistel 置换定义为
    $$D_f(L,R)=(R,L\oplus f(R))$$

    那么两轮 Feistel $F_n=D_{f_{s_2}}\circ D_{f_{s_1}}$ 是 weak PRP

11. Luby-Rackoff 的 PRP 构造：

    • 设 $f_{s_1},f_{s_2},f_{s_3}$ 是 PRF，三轮 Feistel $F_n=D_{f_{s_3}}\circ D_{f_{s_2}}\circ D_{f_{s_1}}$ 是 PRP
    • 设 $f_{s_1},f_{s_2},f_{s_3},f_{s_4}$ 是 PRF，四轮 Feistel $F_n=D_{f_{s_4}}\circ D_{f_{s_3}}\circ D_{f_{s_2}}\circ D_{f_{s_1}}$ 是 strong PRP

12. Naor-Reingold 的 PRP 构造：

    • pairwise independent 置换簇：置换簇 $\{H_k:D_k\to D_k{\}}_k$，对于任意 $x\ne y,z\in D$，都有
      $$\underset{k{\leftarrow }_{R}K}{\mathrm{Pr}}[H_k(x)\oplus H_k(y)=z]\le negl(n)$$

    • 令 $\{H_t\}$ 是两两独立置换簇，设 $f,g$ 是 PRF，那么 $F_n=D_g\circ D_f\circ H_t$ 是 PRP

    • 令 $\{H_t\}$ 是两两独立置换簇，设 $f,g$ 是 PRF，那么 $F_n=H_{t_2}\circ D_g\circ D_f\circ H_{t_1}$ 是 strong PRP

13. Puncturable PRF（可穿孔伪随机函数）：函数簇 $\{f_k\}$，随机密钥 $k$，给定穿孔密钥 $k_{x^{\ast }}$，在某点 $x^{\ast }$ 上的函数值不可计算（与均匀分布计算不可区分），其他点 $x\ne x^{\ast }$ 的函数值可有效计算。使用 GGM 可以构造 Puncturable PRF。

14. Constrained PRF（受限的伪随机函数）：函数簇 $\{f_k\}$，随机密钥 $k$，给定电路 $C$ 的相关密钥 $k_C$，在满足 $C(x)=1$ 的点上的函数值可有效计算，其他点不可计算（与均匀分布计算不可区分）。使用 GGM 和 NR 可以构造某些简单电路的 Constrained PRF。

Hash

1. Damgard 迭代结构：设 $F=\{f_s:\{0,1{\}}^t\to \{0,1{\}}^l{\}}_s$ 是固定长度的 CRHF，构造任意长度的 CRHF $h_s:\{0,1{\}}^{\ast }\to \{0,1{\}}^{l(|s|)}$，

   • 将 $m$ 划分为长度为 $t-l-1$ 的若干块 $m_1\Vert \cdots \Vert m_k$，最后一块 padding $0$
   • 设置 $d=|m|(\mathrm{m}\mathrm{o}\mathrm{d}t-l-1)$（就是 padding 之前的 $|m_k|$），编码为二进制写入 $m_{k+1}$
   • 计算 $h_1=f_s(0^l\Vert 0\Vert m_1)$，然后迭代计算 $h_j=f_s(h_{j-1}\Vert 1\Vert m_j)$，输出 $h_s(m)=h_{k+1}$

2. Merkle-Damgard 迭代结构：设 $f:\{0,1{\}}^{c+b}\to \{0,1{\}}^c$，$g:\{0,1{\}}^c\to \{0,1{\}}^n$，构造 $h:\{0,1{\}}^{\ast }\to \{0,1{\}}^n$，

   • 将 $m$ 划分为长度为 $b$ 的若干块 $m_1\Vert \cdots \Vert m_t$，最后一块 padding $0$
   • 设置 $h_0=IV\in \{0,1{\}}^c$，迭代计算 $h_i=f(h_{i-1},m_i)$，输出 $h(m)=g(h_t)$

   若 $f$ 是 CRHF，那么 $h$ 也是 CRHF。归约时，依次比较两个链条的中间状态，直到找到第一个相同的位置，从而给出 $f$ 的碰撞。

3. 基于 Claw-free 置换的 CRHF：设 $\{f_i^0,f_i^1{\}}_{i\in I}$ 是 $\{0,1{\}}^{l(|i|)}$ 上的 Claw-free 的置换对，任意的 $s\in I$ 和 $u\in \{0,1{\}}^l$，构造 $h_{s,u}(m)$ 如下，
   $$h_{s,u}(m)=f_s^{m_1}\circ \cdots \circ f_s^{m_k}(u),|m|=k$$

   归约证明时，注意设置 $u=f_s^b(u^{\prime })$，其中 $b\leftarrow U_1$，$u^{\prime }\leftarrow U_l$，为了抓住在一对碰撞 $m_0,m_1$ 中 $m_0$ 是 $m_1$ 前缀的情况。

4. Merkle Tree：设 $h:\{0,1{\}}^{2l}\to \{0,1{\}}^l$ 是 CRHF，定义 CRHF $H:\{0,1{\}}^{\ast }\to \{0,1{\}}^l$ 为一颗二叉树，叶子是 $m$ 的各个分块的摘要 $h(m_i)$，中间节点是两个孩子的摘要 $h(h_L,h_R)$，迭代到根节点 $H(m)$。归约证明时，两棵不同的树 $H(m_0)=H(m_1)$，深度优先搜索一个两棵树的摘要不同的节点，那么其父节点上就出现 $h$ 的碰撞。

5. 若 OWF 存在，那么 UOWHF 存在。从 OWF 到 Regular OWF 到 OWP 到 UOWHF 到 Claw-free Trapdoor Permutation 到 Signature，构造方案很麻烦。

6. Composition lemma：设 $H_1,\cdots ,H_l$ 是 UOWHF，那么它们的复合 $H=H_1\circ \cdots \circ H_l$ 也是 UOWHF。

7. 若抗第二原像的 Hash 函数存在，那么 UOWHF 存在。设 $F$ 是抗第二原像的，那么 $\{H_k(x)=F(k\oplus x){\}}_k$ 是 UOWHF。

8. UOWHF($r$) 经过 $r+1$ 轮 MD 迭代后是 UOWHF。设 $\{H_s\}$ 是 UOWHF($r$)，得到 $M{D}_{r+1}(H_s)(\cdot )$ 是 UOWHF。归约时，对于一对碰撞 $m\ne m^{\prime }$，依次比较两者 MD 的链接变量，找到第一个相同的位置，便得到了 $H_s$ 的一对碰撞 $H_s(h_{j-1}\Vert m_j)=H_s(h_{j-1}^{\prime }\Vert m_j^{\prime })$。接着，为了将 $H_s$ 的 UOW($r$) 归约到 $M{D}_{r+1}(H_s)$ 的 UOW，需要 $A^{\prime }$ 先从 $A$ 那里获得 $m$，再与 $Ch$ 交互 $r$ 次计算出 $x_i=h_{i-1}\Vert m_i$，然后猜测一个碰撞位置 $j^{\ast }$。获得 $s$ 后 $A$ 自己就可以任意计算 $H_s$ 了，为 $A$ 模拟 UOWHF 的挑战游戏，得到 $A$ 的回应 $m^{\prime }$，若恰好 $j^{\ast }=j$，那么就攻击成功。概率损失 $1/r$ 是多项式级别。

9. 对于任意的 $r$，CRHF 是 UOWHF($r$)；对于任意的 $r_1>r_2$，UOWHF($r_1$) 是 UOWHF($r_2$)；UOWHF($0$) 就是 UOWHF。

10. 两两独立 Hash 函数存在：令 $\{h_{a,b}:\mathbb{F}\to \mathbb{F}\}$ 是有限域上的函数，其中 $h_{a,b}(x)=ax+b$（信息论安全的 one-time MAC），那么 $\{h_{a,b}\}$ 就是两两独立的。