【Joy of Cryptography 读书笔记】Chapter 7 选择明文攻击下的安全性

Chapter 7 选择明文攻击下的安全性

之前介绍的所有密码的安全性定义都没有保证 在多个明文重复使用同一密码下的安全性。比如上一章提到的PRF，由于是一个确定性的函数，如果输入的明文一样，密文就是一样的。这意味着得到两个相同的密文，即使不知道明文是什么，但是可以判断两者的明文相同，这其实也泄露了信息。为此，需要引入一种新的安全性定义，该定义中攻击者可以发动选择明文攻击（chosen-plaintext attack），以模拟重复使用密钥的情况。这样的安全性称为CPA安全性（security against chosen-plaintext attacks）。

在之前介绍过的安全性定义中，一次性密码本、PRG（定义5.1）的密钥在每次使用时会重新选择，因此并不使用同一个密码，故没有考虑选择明文攻击；PRF、PRP（定义6.1、定义6.2）要求不可区分的随机库（定义中的rand）在明文相同时密文也相同，所以并没有要求CPA安全性。

一、CPA安全性

1、CPA安全性的定义

定义7.1 对于一个密码算法$\Sigma$，$\Sigma$具备CPA安全性当且仅当如下图所示的两个库不可区分（即$L_{cpa-L}^{\Sigma }\tilde{\approx }{L}_{cpa-R}^{\Sigma }$）：

从定义中可以看到，CPA安全性定义中的两个库中，密钥$k$都是内置的（可以理解为程序里的静态变量，但是保密），因此能否区分两个库，便是在模拟重复使用同一密钥加密$m_L、m_R$时能否根据密文区分出输入的是哪个明文。

2、确定性函数无法满足CPA安全性

之前介绍的分组密码（也就是PRP）是确定性函数，也就是相同的明文（使用同一密钥）总是得到相同的密文，因此无法满足CPA安全性。也就是说，对于任意PRP都可以构造如下攻击者程序，使得定义7.1中的两个库可区分。因为对于$L_{cpa-L}^{\Sigma }$而言，明文都是$x$，必然有$c_1=c_2$；对于$L_{cpa-R}^{\Sigma }$而言，PRP是一个单射函数，因此不同明文对应的密文不会相同，因此$c_1=c_2$的概率就是所选择的明文相同的概率$\frac{1}{|M|}$。这在$\lambda \to \infty$时是可区分的。

实际上，所有确定性的加密算法都具有“相同明文在同一密钥下得到相同密文”的特点，因此都无法满足CPA安全性（其攻击程序的构造类似上图）。

3、实现CPA安全性的三类方法

那么怎么构造一种非确定性（non-deterministic）的加密算法 来实现CPA安全性？主要有以下三类方法（思路）：

• 加密/解密算法具备状态（stateful）从而可以改变密钥

  这类方法的思路就是在加密/解密的过程中，根据当前状态从而选择不同的密钥，避免重复使用同一密钥。那么这就需要不断产生密钥，之前介绍的symmetric ratchet就能够实现（它在每次加密的过程中就会更新密钥）。

• 采用具有随机性的加密算法（randomized）

  既然确定性的算法无法满足CPA安全性，那么可以在其中增加一些随机性（比如使用一些随机数），使其满足CPA安全性。不过这一做法需要保证在增加随机性后，依然可以正确解密。

• 在加密算法中引入nonce

  所谓的nonce（”number used only once“）是指只用一次的数，它将作为加密/解密算法的一个输入参数。nonce并不要求它是秘密的，也不要求是随机选取的，但是它在输入时是一个确定的数。在引入nonce（记为$v$）的情况下，密码的正确性要求变为$Dec(k,v,Enc(k,v,m))=m$，其中加密和解密需要用同一个nonce。而安全性要求则是如下两个库不可区分，其中允许攻击者选择nonce，但是不允许重复使用同一个nonce加密多个明文（return err）：

  

  个人理解这种做法的思路其实是引入额外的输入参数对加密/解密算法进行一定的控制。比如Alice和Bob共享多个不同的密钥，加密时会告诉对方这次用的是第nonce个，攻击者尽管知道nonce的具体值但是也不知道具体的密钥，而且只要nonce不重复就不存在密钥重复使用的情况。

二、基于”伪随机分布的密文“角度的安全性定义

在第二章 可证明安全基础介绍安全的定义时，提到了”left vs right“（两个不同明文的密文不可区分）和"real vs random"（密文像是均匀/随机采样）两种角度。对于CPA安全性而言，也可以从后者的角度（即密文像是伪随机分布的）进行安全性定义，不过需要允许选择明文攻击（就是可以重复使用密钥，这一点在于下图中密钥是内置）——因此提出如下定义：

定义7.2 对于一个密码算法$\Sigma$，$\Sigma$具备在选择明文攻击下（CPA）的伪随机分布的密文（pseudorandom ciphertext），当且仅当如下图所示的两个库不可区分（即$L_{cpa-real}^{\Sigma }\tilde{\approx }{L}_{cpa-random}^{\Sigma }$）：

之所以提出定义7.2，是因为与定义7.1相比，它的证明往往更短（因为定义7.1在证明中，从初始到可以将$m_L$替换成$m_R$，再到最后的目标，这两段的证明过程往往是类似的，显得冗长）。而且满足定义7.2中的CPA安全性，也必然满足定义7.1中的CPA安全性（下面会给出证明过程）。因此在证明CAP安全性时，往往使用定义7.2。

定理7.1 满足CPA安全性定义7.2的密码算法，也满足CPA安全性定义7.1。

证明：证明过程也是使用Hybrid方法，从定义7.1的L库通过一系列转换，得到R库。其中关键就是如何将$m_L$换成$m_R$。具体过程如下：

可以看到，步骤1是为了利用定义7.2而拆解成调用的形式，步骤2则使用了定义7.2的不可区分。由于rand库中输出结果与输入无关，故步骤3中可以将$m_L$换成$m_R$。后面的步骤则是与前面类似，再次使用定义7.2将其重新转换为需要的形式（从中也看出为什么认为定义7.1的证明比较冗长）。

三、用PRF构造满足CPA安全性的密码

设计具备CPA安全性的密码算法是由一定难度的，既需要通过增加随机性（不重复使用密钥）来满足CPA安全性，又需要设计解密算法以保证正确性。而再次将介绍一种用PRF构造的具备CPA安全性的密码。PRF本身是一种确定性算法，但是如果输入不重复，安全PRF的输出结果就是伪随机数。因此结合一次性密码本，我们可以进入一个参数$r$，加密时通过PRF得到一次性密码本中的密钥$F(k,r)$（伪随机数），然后根据一次性密码本的算法，将明文$m$加密为$F(k,r)\oplus m$。解密时只要使用相同的$r$就可以正确解出明文（PRF结果虽然是伪随机数，但是是确定性函数，其安全性由其密钥$k$保证）。显然，只要每次加密的$r$不重复，那么就具备CPA安全性。而$r$可以根据本章第一节所介绍的三类思路来选取：

• 根据状态改变密钥：可以将$r$作为计数器，即第$i$次加密，就用$r=i$，进而改变密钥$F(k,r)$。
• 增加随机性：$r$可以是均匀采样（随机选取）。
• 引入nonce：$r$本身就可以视为nonce，因为nonce本身的含义就包含不重复。

这里我们将使用增加随机性的方式来选取$r$（书上提到这是比较传统的做法，同时也具备更好的鲁棒性），完整的密码如下（其中F是一个安全的PRF，其$in=\lambda$）：

其实这个方案和一次性密码本十分相似，就是一次性密码本的密钥（指$F(k,r)$，不是本方案的密钥/PRF的密钥$k$）是通过PRF生成 从而实现伪随机的效果。

下面证明该密码方案的CPA安全性。

这里的安全性定义采用定义7.2，整体思路就是通过Hybrid方法，将定义7.2中的real库转化为random库。具体过程如下：

为了后续使用PRF的安全性，第1步是将其等价转换成调用PRF，第2步则是利用了PRF的安全性。但是我们知道，目前这个形式虽然和一次性密码本十分类似，但是（一次性密码本的）密钥$z$并没有不可区分于均匀采样（ z ← { 0 , 1 } o u t z\leftarrow \{0,1\}^{out} z←{0,1}out）——而一次性密码本的安全性要求密钥是均匀采样所得的。这是因为PRF安全性只能保证在输入不重复的情况下，输出的结果是随机数。**因此我们需要使得PRF的输入$r$是不重复的。**为此，第3步中将$r$的选取再次写成调用库的形式。目前$r$的选取是存在重复的均匀采样，但是定理4.4中提到均匀采样和不重复的均匀采样是不可区分的（定理4.4虽然只是给出两库advantage的概率上界，但是此处输入规模为$2^{\lambda }$，因此可以证明上界可忽略）。因此第4步正是使用了定理4.4的这一对不可区分库。有了$r$是不重复这一条件，第5步就可以将$z$的选取视为均匀采样了。第6步则是再次用引理4.4将$r$的选取恢复成均匀采样（与最后的目标rand的形式一致）。第7步是内联，第8步使用一次密码本的安全性得出$x$等价于均匀采样所得，得证。