实用的有限泄漏顺序揭示加密方案
1. 顺序揭示加密方案的分布与空间使用
在混合模型 (H_2) 中,有 (u_{j,s} = f(s, p\parallel0^{n - s}) + b_{j,s})。由于假设 (b_{j,s} \neq b_{t,s}),所以可以写成 (b_{t,s} = b_{j,s} - (1 - 2 \cdot 1(m_j < m_t)))。于是在混合模型 (H_2) 里,(u_{t,s} = f(s, p\parallel0^{n - s + 1}) + b_{t,s} = u_{j,s} - (1 - 2 \cdot 1(m_j < m_t)) \pmod{M})。根据归纳假设,(u_{j,s}) 和 (u_{j,s}) 是同分布的,由此可推出 (u_{t,s}) 和 (u_{t,s}) 也是同分布的。
对于情况 3,当每个 (\ell\in[t - 1]),(\text{inddiff}(m_{\ell}, m_t) < s) 时,设 (p \in {0, 1}^{s - 1}) 是 (m_t) 的前 (s - 1) 位。在混合模型 (H_1) 中,(u_{t,s} = f(s, p\parallel0^{n - s}) + b_{t,s} \pmod{M}),而在模拟中 (u_{t,s}) 是均匀随机字符串。由于假设消息 (m_1, \ldots, m_{t - 1}) 都不以 (p) 为前缀,且 (f) 是真正的随机函数,所以 (f(s, p\parallel0^{n - s})) 的值在 (\mathbb{Z} M) 中是均匀的,并且与所有其他密文独立。因此,(u {t,s}) 和 (u_{t,s}) 是同分布的。
超级会员免费看
订阅专栏 解锁全文
1168

被折叠的 条评论
为什么被折叠?



