密码学 | Random Oracle 随机预言机

🥑原文: 究竟什么才是随机预言机呢? - 玄星的回答

🥑答主指出: 英文维基明明对 随机预言机 给出了两个完全不同的理解,但这两个理解之间的连接词却是 "Stated differently",即 "换句话说"。此外,中文维基的翻译还有问题。

当然,两个理解都是正确的,答主接下来将对比着中文版和英文版进行解释。

1 理解一

中文版: 在密码学中,随机预言是一个预言(简单说像是理论的黑箱),对任何输入都返回一个真正均匀随机的输出(请参考离散型均匀分布)。不过对相同的输入,该预言每次都会返回一模一样的输出。

英文版: In cryptography, a random oracle is an oracle (a theoretical black box) that responds to every unique query with a (truly) random response chosen uniformly from its output domain. If a query is repeated it responds the same way every time that query is submitted.

相比之下,我觉得英文版说得好清楚啊😇

令 O ( x ) O(x) O(x) 表示 RO 对于输入 x x x 的输出, L L L 代表 O ( x ) O(x) O(x) 的长度。

我根据下述流程画的图,不知道对不对😇

后文的 { 0 , 1 } L \{0,1\}^L {0,1}L 应该就是指长度为 L L L 的 01 字符串,即仅由 0 和 1 组成的字符串。

访问者与 RO 的互动如下:

  1. 初始时 RO 维护一张空表,该表共有两列:一列存放输入,一列存放输出;
  2. 如果访问者进行第一次输入 x x x,那么 RO 均匀随机地从 { 0 , 1 } L \{0,1\}^L {0,1}L 中选择一个值 O ( x ) O(x) O(x),并分别把输入 x x x 和输出 O ( x ) O(x) O(x) 记录到表的两列中;
  3. 针对访问者进行第二次及以后的输入 y y y:
  4. 如果 y y y 没有出现在表中的输入这一列,那么 RO 均匀随机地从 { 0 , 1 } L \{0,1\}^L {0,1}L 中选择一个值 O ( y ) O(y) O(y),并分别把输入 y y y 和输出 O ( y ) O(y) O(y) 记录到表的两列中;
  5. 反之,如果 y y y 出现过,那么 RO 直接把 y y y 对应的 O ( y ) O(y) O(y) 再次输出。

以上就是中文版中 真正均匀随机对重复值输出相同 的意思。

简而言之,答主认为英文版中的 repeated 是指 "重复出现的",而不是中文版中翻译的 "相同的"。随后,答主通过对 "与访问者互动来确定 RO 状态" 这一过程的介绍来完成了解释。

2 理解二

中文版: 换句话说,随机预言是一个将所有可能输入与输出作随机映射的函数。

英文版: Stated differently, a random oracle is a random mathematical function, that is, a function mapping each possible query to a (fixed) random response from its output domain.

答主指出:中文版翻译又把 (fixed) 这个词给扔了,而这个词至关重要。

上述理解是指: 在访问者进行第一个输出之前,RO 的状态就以 某种方式 确定了。某种方式 是指,从所有 ------ 输入可以是任意的 01 字符串,输出是长度为 L L L 的 01 字符串 ------ 的函数集合中,均匀随机地选择一个函数 O O O,作为此次 RO 的状态 。随后,以 O O O 的方式来回应访问者。其中, L L L 是安全参数 n n n 的函数。

不太懂什么安全参数?应该就是说 L L L 不是随便定的,而是 n n n 的函数吧?而且这个 n n n 还是系统的安全参数?

看看 Ran Canetti, Oded Goldreich, Shai Halevi 三位大家在 The Random Oracle Methodology, Revisited 这篇论文里对 RO 的描述吧,就是上述的理解:

It is postulated that all oracle queries, regardless of the identity of the party making them, are answered by a single function, denoted O O O, that is uniformly selected among all possible functions. The set of possible functions is determined by a length function L o u t ( ⋅ ) L_{out}(\cdot) Lout(⋅), and by the security parameter of the system.

原论文地址:The Random Oracle Methodology, Revisited

3 题外话

一个 RO 通常被当作安全的 Hash 函数,但通常只能在一次证明中使用。也就是说,你不能把一个已经确定了状态并且已知部分输入输出关系的 RO 用到另一个证明中,即新证明最好使用空白的 RO 。

这就是为什么论文里总是针对不同环节单独设置 Hash 函数,而不是所有环节都使用同一个 Hash 函数?

举个论文的例子:

  • H c o m H_{com} Hcom: hash function { 0 , 1 } ∗ → { 0 , 1 } l \{0, 1\}^∗ → \{0, 1\}^l {0,1}∗→{0,1}l, is used in the commitment phase.
  • H a g g H_{agg} Hagg: hash function { 0 , 1 } ∗ → { 0 , 1 } l \{0, 1\}^∗ → \{0, 1\}^l {0,1}∗→{0,1}l, is used to compute the aggregated key.
  • H s i g H_{sig} Hsig: hash function { 0 , 1 } ∗ → { 0 , 1 } l \{0, 1\}^∗ → \{0, 1\}^l {0,1}∗→{0,1}l, is used to compute the signature.

上面三个哈希函数的功能其实都一样,即将一个任意长度的 01 字符串映射为一个长度为 l l l 的 01 字符串,但要求在不同环节使用不同的哈希函数。

相关推荐
TazmiDev3 天前
[极客大挑战 2019]BabySQL 1
服务器·数据库·安全·web安全·网络安全·密码学·安全威胁分析
看星猩的柴狗5 天前
密码学原理技术-第九章-椭圆曲线加密算法
密码学
TazmiDev5 天前
【长城杯】Web题 hello_web 解题思路
安全·web安全·网络安全·密码学·php
白帽黑客26596 天前
入门网络安全工程师要学习哪些内容【2025年寒假最新学习计划】
linux·python·web安全·网络安全·系统安全·密码学·ddos
sinat_307021538 天前
密码学——PKI概述、数字证书、国密算法、商密算法(山东省大数据职称考试)
大数据·安全·密码学
PandaCave8 天前
了解https原理,对称加密/非对称加密原理,浏览器与服务器加密的进化过程,https做了些什么
服务器·网络·https·密码学