高级密码学复习2-HUST版

可搜索对称加密

前沿：杨师傅在大学毕业之后，将大学期间的所有学习资料都上传到云服务器存储，减少本地的空间占有。但某一天杨师傅想翻出自己在大学期间的学习微积分的相关资料的时候，他面对大量的密文信息，他不知所措。难道他要将所有的密文都下载下来，依次解密再查看吗？

1. 可搜索加密是什么？

   能不能像平时使用word（内容搜索方式）或者是使用浏览器（关键字搜索）一样，对想要查看的关键字信息进行检索呢？可搜索加密就是在密文世界中实现搜索的技术。

2. 可搜索对称加密的实现方法?

   **直接（非常不安全)**的想法是：使用无随机数参与的加密方式，搜索直接对密文进行密文片段的搜索。

   SSE应用模型

   

   关键字用$w_i$表示，文件标识符用$id$表示，检索陷门用$T_{w_i}$表示。
   从 文 件 中 提 取 关 键 字 集 合 ： F → { w i } 关 键 字 和 文 件 标 识 符 生 成 可 搜 索 密 文 : S E ( w i ) , i d 服 务 器 生 成 t a b l e ： S E ( w 1 ) : i d 1 、 S E ( w j ) : i d i . . . . 用 户 在 搜 索 时 生 成 关 键 字 w i 的 检 索 陷 门 ： T w i 服 务 器 根 据 检 索 陷 门 计 算 匹 配 的 文 档 ， 并 返 回 文 件 标 识 符 集 合 或 加 密 的 文 件 标 识 符 集 合 { i d } 从文件中提取关键字集合：F\rightarrow{\{w_i\}} \\ 关键字和文件标识符生成可搜索密文: SE(w_i),id \\ 服务器生成table： SE(w_1):id_1、SE(w_j):id_i....\\ 用户在搜索时生成关键字w_i的检索陷门：T_{w_i}\\ 服务器根据检索陷门计算匹配的文档，并返回文件标识符集合或加密的文件标识符集合\{id\} 从文件中提取关键字集合：F→{wi​}关键字和文件标识符生成可搜索密文:SE(wi​),id服务器生成table：SE(w1​):id1​、SE(wj​):idi​....用户在搜索时生成关键字wi​的检索陷门：Twi​​服务器根据检索陷门计算匹配的文档，并返回文件标识符集合或加密的文件标识符集合{id}
   **注意：**加密的密文主体是关键字而不是文件本身。

3. 最初的SSE方案

   具体算法不需要了解，需要掌握song方案的不足之处和为什么不足？

   1）不足之处？

   第一点：
   
   ​ 第二点：
   ​ song方案的安全性是不能保证的，可以通过简单的频率攻击，对关键字进行猜测。在song的方案中，每一个关键字所对应的搜索陷门是固定的（即关键字和搜索陷门之间存在简单的一一映射关系）

​ 2）为什么不足？（思考为什么song会犯低级的错误）
​ 针对搜索效率：
​ 密文之间没有任何关联，为了提高检索效率，应该让密文间有关系，但这种关系需要隐藏。

​ 针对安全性：
​ song只是简单的认为，将随机数引入到可搜索加密的算法之后就能够保证安全性。其实不然，可搜索加密的安全性和常规的加密的安全性定义是不一样的。在攻击者眼中，可搜索加密比常规的加密多一个检索陷门（信息更多），仅仅保证密文的不可区分性，对于可搜索加密的安全性定义来说是远远不够的。（产生问题的本质：忽略了检索陷门对安全性的影响）

可搜索公钥加密

前言：PEKS和SSE的关系，和传统公钥密码与对称密码的关系相近。PEKS具有公钥密码体制的特性，能够实现多用户之间的密文搜索。

1. 可搜索加密的应用模式
   

2. 公钥可搜索加密算法
   
   注意：和IBE十分相似，将关键字w作为IBE中的身份id，此处不需要异或明文的。因为可搜索加密是加密一个语义。

3. 最初的可搜索公钥加密同样存在着效率和安全性的两个问题
   引出公钥可搜索加密普遍存在的安全漏洞：
   

在公钥可搜索加密体系之中，接收方的公钥是公开的，攻击者可以生成所有关键字对应的索引密文，所以在监听到关键字陷门之后，攻击者可以使用Test算法，对每一个关键字对应的索引密文和关键字陷门进行运算。进而暴力破解出陷门背后的关键字信息。

​

4. 谈谈可搜索加密的安全性

   1)如何理解可搜索加密至少泄露了1bit的信息？

   在第一章的语义安全性的定义中，攻击者无法区分被加密的是$m_0$还是$m_1$，即要求加密算法不泄露任何一比特的信息。对于可搜索加密来说，服务器需要根据检索陷门来判断哪个文件是用户所找的文件，服务器可以知道搜索陷门与对应文件标识符之间的关联关系。即：服务器在获取到关键字检索陷门之后， 可搜索密文可以被服务器区分

   泄露的1bit信息是搜索陷门与对应文件标识符之间的关联关系

   2)可搜索加密攻击的其他方式？

   对于对称可搜索加密来说，攻击者往往定义为带有恶意的服务器。
   已知信息：泄露的部分已知文件，关键字提取算法，搜索陷门，每次的查询和查询结果。
   攻击目标：搜索陷门所包含的关键字信息。
   攻击思路：根据可搜索加密泄露的搜索陷门与对应文件标识符之间的关系以及关键字与对应文件标识符之间的关系推出搜索陷门与关键字之间的对应关系，

   对于可搜索公钥加密来说，攻击者可以是服务器、发送方。
   攻击者是服务器或窃听者的话，存在暴力攻击方式，见本节第三点。
   攻击者是恶意发送方的话，可以通过构造可搜索密文进行攻击，假设$T_w$对应的关键字集合$W$中的一个关键字对应的陷门，攻击者通过构造可搜索密文$C_{w_i},i=1,2,3,..n$。当接收方进行搜索的时候，攻击者通过监听返回数据，判断是否有攻击者构造的恶意可搜索密文被返回，如果有的话，那么返回的那个可搜索密文对应的关键字就是搜索陷门对应的关键字。

   

   3）可搜索加密必然会泄露信息，那么它还是安全的吗？
   可搜索加密的安全性需要控制在一个合理的范围内，它有自己的安全性定义方式。我们只需要理解，好的可搜索加密在泄露信息之后，仍然可以证明其安全性。