【扯蛋证明】FE和HE不满足语义安全
1、PKE语义安全性证明
A — — m 0 , m 1 ⟶ C ⟵ c b , b = 0 / 1 — — — — g u e s s b = 0 / 1 → A \ —— \ m_0,m_1\longrightarrow C \\ \longleftarrow c_b ,b=0/1—— \\ ——\ guess \ b=0/1 \rightarrow A —— m0,m1⟶C⟵cb,b=0/1———— guess b=0/1→
首先强调公钥加密的两个特点:正确性、语义安全性
1)正确性。公钥和私钥相对应,明文在经过加解密之后恢复正确。
2)语义安全性。相同的明文经过相同的公钥加密之后,会得到不同的密文,同时也可以使用相同的私钥进行解密。根据密文,攻击者无法判断明文任意比特的信息。
2、用PKE语义安全性证明思路不能证明FE的语义安全性
A — — m 0 , m 1 ⟶ C ← c b , b = 0 , 1 — — A k n o w n d f k 1 、 d f k ϵ 、 f k 1 A——m_0,m_1\longrightarrow C\\ \leftarrow c_b,b=0,1—— \\ A \ known \ df_{k_1}、df_{k_\epsilon}、f_{k_1} A——m0,m1⟶C←cb,b=0,1——A known dfk1、dfkϵ、fk1
**定义攻击者的已知能力:**此时根据FE函数加密的特性,用户已知至少两个私钥 d f k 1 和 d f k ϵ \large df_{k_1} 和df_{k_\epsilon} dfk1和dfkϵ,当让用户也知道 f k 1 \large f_{k_{1}} fk1。此处定义攻击者的能力具备一般用户的能力。
破解b的方法:使用 d f k ϵ \large df_{k_\epsilon} dfkϵ可以得到密文的长度,使用 d f k 1 \large df_{k_1} dfk1进行解密能够得到 f 1 ( m b ) f_{1}(m_b) f1(mb),与 f 1 ( m 0 ) , f 1 ( m 1 ) f_1(m_0),f_1(m_1) f1(m0),f1(m1)进行比较,即可推出b。
FE的语义安全性有属于他自己的证明方式,不能用PKE语义安全性思路简单证明。
3、用PKE语义安全性证明思路,证明HE不满足语义安全性的错误思路
A — — m 0 , m 1 ⟶ C ← c b , b = 0 , 1 — — A k n o w n p k , m 1 = f ( m 0 ) , t h e h o m o m o r p h i s m o f t h e E n c A——m_0,m_1\longrightarrow C\\ \leftarrow c_b,b=0,1—— \\ A \ known \ pk,m_1=f(m_0), the \ homomorphism \ of \ the \ Enc A——m0,m1⟶C←cb,b=0,1——A known pk,m1=f(m0),the homomorphism of the Enc
**定义攻击者的已知能力:**此时根据HE函数加密的特性,用户已知Enc加密函数具有的同态特征,攻击者具备一般用户的的能力之外,由于公钥加密中C使用的公钥和加密算法也是公开的,所以这些也可以被攻击者所知。
破解b的方法: A可以计算出 c 0 和 c 1 c_0和c_1 c0和c1,由PKE的语义安全性可以知道, c 0 和 c 1 c_0和c_1 c0和c1对安全性并不造成威胁,因为加密中使用了随机数,使得每次加密的密文都不同;但在同态加密的环境下,情况就会发生改变。
假设Enc加密方法使用paillier Encryption,支持的同态性:
E
n
c
(
m
1
)
m
2
=
E
n
c
(
m
1
⋅
m
2
)
、
E
n
c
(
m
1
)
k
=
E
n
c
(
m
1
⋅
k
)
Enc(m_1)^{m_2}=Enc(m_1·m_2)、Enc(m_1)^k=Enc(m_1·k)
Enc(m1)m2=Enc(m1⋅m2)、Enc(m1)k=Enc(m1⋅k)
攻击者可以构造
m
1
=
4
m
0
m_1=4m_0
m1=4m0,根据同态性,可以知道
E
n
c
(
m
0
)
4
=
E
n
c
(
m
1
)
Enc(m_0)^4=Enc(m_1)
Enc(m0)4=Enc(m1),那么如果
b
=
0
b=0
b=0时,我们可以利用
c
b
4
是
否
等
于
c
1
{c_b}^{4}是否等于c_1
cb4是否等于c1来判断
b
=
0
b=0
b=0;反之,则可以推断出
b
=
1
b=1
b=1。
**错误的原因:**上述证明, 是存在一个问题的。上述描述的加密支持的同态性在密文形态下是不满足的,只有在解密、消除随机数之后才能成立,比如说 E n c ( m 0 ) 4 = E n c ( m 1 ) Enc(m_0)^4=Enc(m_1) Enc(m0)4=Enc(m1),应该写成 D e c ( E n c ( m 0 ) 4 ) = = D e c ( E n c ( m 1 ) ) = m 1 Dec(Enc(m_0)^4)==Dec(Enc(m_1))=m_1 Dec(Enc(m0)4)==Dec(Enc(m1))=m1我们应该是并不能比较 c b 4 是 否 等 于 c 1 {c_b}^4是否等于c_1 cb4是否等于c1来判断b的取值的。
HE的语义安全性有属于他自己的证明方式,不能用PKE语义安全性思路简单证明。