B站粉丝的安全归约学习感悟

作为一个半路出家的密码小白，未接触郭老师的课程的时候，对安全归约的理解仅仅停留在反证法和逆否命题的关系上。当开始阅读论文的时候，发现一些奇怪的设置（实际上有些设置是安全证明的需要）。船到桥头没有安全归约自然直不起来(doge)，然后便开始学习郭老师的课程了。简单谈一谈这段时间学习安全归约的一些感悟。

在安全模型定义完成的情况下，安全归约形象一点，彷佛我自己在玩超级马里奥闯关，面前来的蘑菇头是什么？这一关我怎么才能过去？不幸的是，我会死个无数次还是没有通关。在闯关的过程中也有一些“爆金币”的地方，也就是自己能够针对某个点进行思考收获到对之后安全归约有用的一些知识。好不容易通关，才发现这只是第一关，后面还有2、3、4、…、n关。更惨的是，你死亡次数多了你会回归到第一关，重新开始哈哈哈哈哈，指你构造的方案根本是行不通的有安全问题的，或者中间为了安全证明需要改动一些参数。 （Fuchun: 我猜想说明后面有一个错，在修改后，必须从头开始）

可以预见的是最后你好不容易全部通关了，你会发现这仅仅只是一个游戏版本，还有其他的版本（没有random oracle怎么办？能不能做到tight的安全归约？…），或者这个版本中的一些游戏暗线你并没有体验到，不同的构造方案也对应不同的游戏线路不同的通关技巧，相同的是你需要跳跳跳通关，能发现游戏的bug创造一条新路线也不错。 （Fuchun:  还得通关高级版本才能发出paper。上辈子杀人放火才轮到这辈子学密码学^(oo)^  ）

那么，到底怎么样才能做才能越过这个障碍物呢，有时候不是能够直接跳过去，需要绕行或者发现一些特殊的路线。( Fuchun： 没有经历的人，体会不到这句话的辛酸)

总结一下我自己感觉是关键的问题（对于game方式安全归约）：

（1） 怎么样才能fool这个**敌手呢？

（2） 敌手都无穷计算能力了怎么就发现不了real scheme和simulate scheme呢？

（3） 怎么没有私钥也能进行simulate？

（4） 敌手成功输出伪造签名，但是我tm归约不到困难问题啊！怎么办呢？

（5） 放大到恶意无限计算能力敌手好分析在哪里？

（6） 怎么去分析归约成功的概率