PRG的並行擴展

PRG可以通過一個較短的輸入得到一個較長的輸出，但是如果這個輸出的長度仍然達不到我們的要求怎麼辦呢？一個很自然的想法是將多個PRG拼起來，假設有個PRG拼到了一起，那麼我們便可以得到長的輸出。那麼這個新的 $\mathcal{G}^\prime$ 的安全性怎麼樣呢？直觀來看，似乎只要不是很大， $\mathcal{G}$ 是安全的就可以保證 $\mathcal{G}^\prime$ 安全的。事實上，我們有如下定理：

定理1：如果存在一個安全的PRG $\mathcal{G}$ ，那麼個 $\mathcal{G}$ 拼起來得到的新的PRG $\mathcal{G}^\prime$ 就是安全的，即 $\mathcal{G}^\prime(s_1,\cdots,s_n):=(\mathcal{G}(s_1),\cdots,\mathcal{G}(s_n))$ 是安全的。其中 $s_1,\cdots,s_n$ 從輸入空間中獨立隨機選取，是一個不超過關於安全參數的多項式界的一個參數。

證明：這個定理的證明用到了密碼學中一個非常重要的證明方法就是混合論證（hybrid argument）。爲了證明這個定理，我們可以先考察時的情況。當時，類似於前面定義PRG的安全性（https://blog.csdn.net/pllt1991/article/details/103915625），我們定義下面兩個experiment：

$PPrgExp_0^{\mathcal{G}^\prime,\mathcal{A}}$ ：

$\mathcal{C}$ 以作爲 $\mathcal{G}^\prime$ 的輸入得到一個比特長的輸出併發送給 $\mathcal{A}$ ;

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

輸出 $b^\prime$

$PPrgExp_1^{\mathcal{G}^\prime,\mathcal{A}}$ ：

$\mathcal{C}$ 隨機選取 $(r_1,r_2)\in\{0,1\}^L\times\{0,1\}^L$ 併發送給 $\mathcal{A}$ ;

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

輸出 $b^\prime$

那麼我們的目標就是證明敵手 $\mathcal{A}$ 在這兩個experiment上的優勢是可忽略的。現在我們定義3個attack game如下：

Game 0：

$\mathcal{C}$ 以作爲 $\mathcal{G}^\prime$ 的輸入得到一個比特長的輸出併發送給 $\mathcal{A}$ ;

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

Game 1：

$\mathcal{C}$ 選取 $r_1\xleftarrow{R}\{0,1\}^L$ 以及 $r_2=\mathcal{G}(s_2)$ 組成併發送給 $\mathcal{A}$ ;

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

Game 2：

$\mathcal{C}$ 隨機選取 $(r_1,r_2)\in\{0,1\}^L\times\{0,1\}^L$ 併發送給 $\mathcal{A}$ ;

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

可以看出，Game 0實際上就是 $PPrgExp_0^{\mathcal{G}^\prime,\mathcal{A}}$ ，Game 2實際上就是 $PPrgExp_1^{\mathcal{G}^\prime,\mathcal{A}}$ ，而Game 1則混合了Game 0和Game 2中的挑戰串來源，這也是這種證明方法被稱爲混合論證的原因。現在，令分別代表 $\mathcal{A}$ 返回1（即敵手認爲它收到的挑戰是隨機串）的概率，然後我們還是按照通過PRG的安全性來論證流密碼語義安全性的思路將對於 $\mathcal{G}^\prime$ 的敵手 $\mathcal{A}$ 作爲子程序來調用對於 $\mathcal{G}$ 的敵手 $\mathcal{B}$ 。需要注意的是，由於 $\mathcal{A}$ 接受的挑戰是兩個串，而 $\mathcal{B}$ 接受的挑戰是一個串，因此 $\mathcal{B}$ 需要“分裂成”兩個 $\mathcal{B}_1$ 和 $\mathcal{B}_2$ 才能完成對 $\mathcal{A}$ 。對 $\mathcal{B}_1$ 來說，它首先接受它自己的挑戰，然後通過 $\mathcal{G}$ 自己生成另一個比特串，組合成以後作爲 $\mathcal{A}$ 挑戰發送，然後 $\mathcal{B}_1$ 返回 $\mathcal{A}$ 返回的比特。顯然，當 $\mathcal{B}_1$ 處於 $PrgExp_0^{\mathcal{G},\mathcal{B}}$ 的時候，就相當於在執行Game 0；當 $\mathcal{B}_1$ 處於 $PrgExp_1^{\mathcal{G},\mathcal{B}}$ 的時候，就相當於在執行Game 1，而因爲 $\mathcal{G}$ 是安全的，即敵手優勢是可忽略的，因此是可忽略的。同樣的，可以證明是可忽略的，而 $\mathcal{G}^\prime$ 的敵手優勢其實就是 $|p_0-p_2|(=|p_0-p_1+p_1-p_2|\le|p_0-p_1|+|p_1-p_2|)$ 也是可忽略的，從而證明了 $\mathcal{G}^\prime$ 是安全的。這種方法雖然可以證明時的情況，但對於一般的證明起來比較麻煩，因此還有另外一種證明方法。

我們在 $\mathcal{B}_1$ 和 $\mathcal{B}_2$ 的基礎上再包上一層，即現在再構造一個 $\mathcal{G}$ 的新的敵手 $\mathcal{B}$ 來調用 $\mathcal{B}_1$ 和 $\mathcal{B}_2$ 。具體來說， $\mathcal{B}$ 接受到挑戰以後隨機選取 $\omega\in\{1,2\}$ 並將發送給 $\mathcal{B}_{\omega}$ 來調用，那麼可以看出對於 $\mathcal{B}$ 來說有 $\begin{align*}P(W_0)=P(\omega=1)P(W_0|\omega=1)+P(\omega=2)P(W_0|\omega=2)=\frac{1}{2}(P(W_0|\omega=1)+P(W_0|\omega=2))=\frac{1}{2}(p_0+p_1) \end{align*}$

$\begin{align*}P(W_1)=P(\omega=1)P(W_1|\omega=1)+P(\omega=2)P(W_1|\omega=2)=\frac{1}{2}(P(W_1|\omega=1)+P(W_1|\omega=2))=\frac{1}{2}(p_1+p_2) \end{align*}$

因此 $\mathcal{B}$ 的優勢爲 $PrgAdv[\mathcal{B},\mathcal{G}]=\frac{1}{2}|p_0-p_2|$ ，從而同樣有 $\mathcal{G}^\prime$ 的敵手優勢是可忽略的。現在將情況擴展到一般的上，我們定義個attack game，Game i( $0\le\up{i}\le n$ )如下定義：

Game i：

$\mathcal{C}$ 分別選取 $r_1\xleftarrow{R}\{0,1\}^L,\cdots,r_i\xleftarrow{R}\{0,1\}^L$ 以及 $r_{i+1}=\mathcal{G}(s_{i+1}),\cdots,r_n=\mathcal{G}(s_n)$ 組成 $(r_1,\cdots,r_n)$ 發送給敵手 $\mathcal{A}$ ；

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；

有了attack game的定義以後，令 $p_0,\cdots,p_n$ 分別代表個game中敵手返回1的概率，那麼顯然 $\mathcal{G}^\prime$ 的敵手優勢爲。還是通過上面的論證思路，在 $\mathcal{B}_1,\cdots,\mathcal{B}_n$ 再包上一層 $\mathcal{B}$ ，通過隨機選取 $\omega\in\{1,\cdots,n\}$ 來決定使用哪個真正的敵手，那麼我們就有

$\begin{align*} P(W_0)=\sum\limits_{i=1}^n P(W_0|\omega=i)P(\omega=i)=\frac{1}{n}\sum\limits_{i=1}^n P(W_0|\omega=i)=\frac{1}{n}\sum\limits_{i=1}^np_{i-1} \end{align*}$

$\begin{align*} P(W_1)=\sum\limits_{i=1}^n P(W_1|\omega=i)P(\omega=i)=\frac{1}{n}\sum\limits_{i=1}^n P(W_1|\omega=i)=\frac{1}{n}\sum\limits_{i=1}^np_{i} \end{align*}$

從而我們有 $\mathcal{G}$ 的敵手優勢爲 $PrgAdv[\mathcal{B},\mathcal{G}]=\frac{1}{n}|p_0-p_n|$ 。而因爲有一個關於安全參數的多項式上界，因此 $\mathcal{G}^\prime$ 的敵手優勢爲 $n\cdot PrgAdv[\mathcal{B},\mathcal{G}]$ 依然是可忽略的，從而得到 $\mathcal{G}^\prime$ 還是安全的。 $\blacksquare$

PRG的串行擴展

上面展示的是PRG的一種並行擴展方式，不過這種方式需要個輸入種子，因此其擴展率（輸出比特長度與輸入比特長度之比）與原始的PRG是一樣的，並未得到提高。Blum和Micali提出了一種PRG的串行擴展方式，它把 $\mathcal{G}$ 擴展爲一個如下工作的 $\mathcal{G}^\prime$ ：從最初輸入開始，得到 $\mathcal{G}$ 的輸出，然後用作爲 $\mathcal{G}$ 新的輸入，得到新的輸出後和上一個輸出拼到一起得到，以此類推，步之後得到最終的輸出 $(r_1,\cdots,r_n,s_n)$ ，那麼 $(r_1,\cdots,r_n)$ 就是最終生成的僞隨機串。注意這裏的 $\mathcal{G}$ 和原始的PRG有所不同，原來的PRG輸入空間爲 $\mathcal{S}$ 輸出空間爲 $\mathcal{R}$ ，而這裏的 $\mathcal{G}$ 輸出空間爲 $\mathcal{R}\times\mathcal{S}$ 。有了這種串行構造方式以後， $\mathcal{G}^\prime$ 的安全性是怎樣的呢？我們可以看出，並行和串行最主要的區別實際上就是每一輪的輸入產生方式不同，但是如果假設 $\mathcal{G}$ 安全的話，這個區別是可忽略的，因此從直觀上來看，串行構造的 $\mathcal{G}^\prime$ 的安全性應該和並行構造差不多。事實上，我們有如下定理：

定理2：如果存在一個安全的PRG $\mathcal{G}$ ，那麼由此串行構造的 $\mathcal{G}^\prime$ 也是安全的。

證明：這個定理的證明和定理1的證明是很類似的，都是通過在一系列attack game中不斷將一個輸出替換爲真正的隨機串，從而得到最終結果。具體來說，第i個game如下定義：

Game i：

$\mathcal{C}$ 分別選取 $r_1\xleftarrow{R}\{0,1\}^L,\cdots,r_i\xleftarrow{R}\{0,1\}^L,s_i\xleftarrow{R}\{0,1\}^l$ 以及 $(r_{i+1},s_{i+1})=\mathcal{G}(s_i),\cdots,(r_{i+1},\cdots,r_n,s_n)=\mathcal{G}(s_{n-1})$ 組成 $(r_1,\cdots,r_n)$ 發送給敵手 $\mathcal{A}$ ；

$\mathcal{A}$ 向 $\mathcal{C}$ 返回一個比特 $b^\prime$ $\in\{0,1\}$ ；