为什么密钥生成需要输入$ 1 ^ k $，在实践中我该如何表示呢？

#1 楼

$ 1 ^ k $是一种形式主义，只会使理论家感到高兴。您可以放心地忽略它。在实际实施密码系统时，不要尝试传递字符串$ 1 ^ k $;。相反，您传递了安全参数$ k $（表示密钥生成算法需要多少加密强度）。

我希望可以保留它，因为这没什么大不了的：这只是愚蠢的事情，在任何基本的概念意义上都不重要。但是在这一点上，您可能会说“嗯？”，所以我想我必须解释一下。

为什么会出现？出于完全愚蠢的原因。其唯一目的是帮助提醒理论家，密钥生成应高效：其运行时间应为安全性参数中的多项式。

更详细地说，我们希望密码系统的安全性是可参数化的（完全到目前为止）：例如，如果您想要80位安全性，则应该可以选择参数$ k = 80 $并获得相应的安全性。理论家还希望强加所有加密操作都非常有效（仍然相当合理）的要求：增加安全性参数不会使加密速度减慢太多。一些理论家在以渐进复杂性来衡量绩效的情况下工作（在实践中有些不合理，但我们可以放任不管，因为它仍然有用且可以理解）。因此，他们通过要求所有加密操作（密钥生成，加密，解密）的渐近运行时间在安全性参数中为多项式，从而使加密操作高效的要求正式化。

到目前为止，您关注吗？到目前为止，没有什么是完全不合理的-但要做好准备，这是可笑的部分。对于复杂性理论，我们的标准概念是指算法有效的含义是，算法的运行时间是该算法输入长度的多项式。理论家希望他们的形式化适合这种标准的复杂性理论框架。因此，他们通过将特殊的伪填充字符串作为输入传递给其长度由安全性参数指定的操作，从而使密码运算可以在多项式时间内运行。为什么要传递虚拟字符串？好吧，这些操作将完全忽略虚拟字符串，因此传递这个多余的无用字符串似乎完全没有意义。从实践的角度来看这是没有意义的，但是从理论学家的角度来看，它允许他们要求密码运算的运行时间在其输入长度上是渐近多项式的，并且自动遵循其运行时间是渐近多项式的在安全性参数中输入（因为它们是人为确保输入的长度与安全性参数相同）。就像我说的那样，它愚蠢而毫无意义，并且存在仅仅是为了使理论家感到高兴而已。当需要实施密码系统时，请忽略它。

P.S.也许我应该在这一点上告诉我，我有点理论家，有时这也使我感到高兴-但我仍然意识到，对于那些更关心使用加密而不是证明复杂性定理的人来说，这看起来多么愚蠢理论。

#2 楼

正如密码学基础第2卷第366页的第二个脚注中提到的，为什么以一元形式$ 1 ^ k $给出安全参数$ k的解释是


允许平滑过渡到完全不均匀的公式...特别是$ 1 ^ n $表示将使用$ n ^ {th} $电路
。