“IND-”安全概念的简单解释(IND-CPA,IND-CCA等)

已于 2022-08-03 15:37:42 修改
阅读量8.8k 收藏 44
点赞数 10
分类专栏: 密码学 文章标签: 密码学
于 2021-04-05 12:32:24 首次发布
原文链接:https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions](https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions
版权

IND-CPA,IND-CCA

翻译自:
https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions

理想的加密方案 E E E 是这样的,对每一个密文 C = E ( K , M ) C=E(K,M) C=E(K,M).如果对于对手来说,密钥是不可见的,那么区分 M M M 的概率是可忽略不计的。由于这在实践中是不可能的,第二个最合理的方式是定义足够强的限制来满足一些安全的定义。IND-notation 根据一些攻击游戏提供了这样的定义,在游戏中,挑战者保持它的密钥,对手有一定的能力并且对手的目标是破坏整个加密系统。

通常来说,一个加密系统将会有密钥生成算法 K G KG KG,这将会生成一个密钥对 K E , K D K_E,K_D KE,KD,(用来加密的密钥和用来解密的密钥),还有一个加密算法和一个解密算法。

  • IND-CPA INDistinguishability under Chosen Plaintext Attack 选择明文攻击下的不可区分性。

    总的来说:对手生成两个相同长度的明文信息,挑战者随机地决定加密其中一个,对手尝试去猜测哪个信息被加密了。

    算法:

    1. 挑战者: K E , K D = K G K_E,K_D=KG KE,KD=KG(安全参数)
    2. 对手: m 0 , m 1 m_0,m_1 m0,m1= 选择两个相同长度的明文。发送 m 0 , m 1 m_0,m_1 m0,m1给挑战者。在多项式时间内执行 额外的操作包括调用加密oracle
    3. 挑战者: b b b=随机选择0或者1
    4. 挑战者: C : = E ( K E , m b ) C:=E(K_E,m_b) C:=E(KE,mb) 发送C给对手
    5. 对手:在多项式时间内执行额外的操作,包括对加密oracle的调用。输出猜测 g u e s s guess guess
    6. 如果 g u e s s = b guess=b guess=b 对手赢

    在这个场景中,主要引入的概念是多项式界。现在,我们对密码的期望被减弱:从“赢得概率是可忽略不计的”,到“在一个合理的时间片中赢得概率是可忽略不计的”。对相同长度明文的限制是为了防止对手只是对比密文长度就能赢。然而,这种要求太弱,特别是因为它假设在对手和挑战者之间只有单一的交互。

  • IND-CCA1: INDistinguishability under Chosen Ciphertext Attack

    总的来说:游戏的目标和IND-CPA是一样的。对手有额外的能力:调用一个加密或者解密oracle。这意味着,对手可以在得到挑战密文之前加密或者解密任意信息。

    算法:

    1. 挑战者: K E , K D = K G K_E,K_D=KG KE,KD=KG(安全参数)
    2. 对手(多项式有界的次数):对任意明文或者密文分别调用加密或者解密oracle
    3. 对手: m 0 , m 1 m_0,m_1 m0,m1= 选择两个相同长度的明文。发送 m 0 , m 1 m_0,m_1 m0,m1给挑战者。在多项式时间内执行 额外的操作包括调用加密oracle
    4. 挑战者: b b b=随机选择0或者1
    5. 挑战者: C : = E ( K E , m b ) C:=E(K_E,m_b) C:=E(KE,mb) 发送C给对手
    6. 对手:在多项式时间内执行额外的操作。输出猜测 g u e s s guess guess
    7. 如果 g u e s s = b guess=b guess=b 对手赢

    IND-CCA1考虑了重复交互的可能性,这意味着安全不会随着时间的推移而减弱。

  • IND-CCA2: INDistinguishability under adaptive Chosen Ciphertext Attack

    总的来说:除了IND-CCA1的能力以外,对手在收到 C C C后可以访问oracle,但是不可以发送 C C C给解密oracle。

    算法:

    1. 挑战者: K E , K D = K G K_E,K_D=KG KE,KD=KG(安全参数)
    2. 对手(多项式有界的次数):对任意明文或者密文分别调用加密或者解密oracle
    3. 对手: m 0 , m 1 m_0,m_1 m0,m1= 选择两个相同长度的明文。发送 m 0 , m 1 m_0,m_1 m0,m1给挑战者。在多项式时间内执行 额外的操作包括调用加密oracle
    4. 挑战者: b b b=随机选择0或者1
    5. 挑战者: C : = E ( K E , m b ) C:=E(K_E,m_b) C:=E(KE,mb) 发送C给对手
    6. 对手:在多项式时间内执行额外的操作,包括对不同于 C C C的密文的oracle的调用。输出猜测 g u e s s guess guess
    7. 如果 g u e s s = b guess=b guess=b 对手赢

    IND-CCA2建议,在了解密文之后使用解密oracle在某些方案中具有合理的优势,因为可以根据特定的密文定制对oracle的请求。

木木木木子子子
关注
  • 10
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
密码学系列3-Elgamal加密及其IND-CPA安全性证明
qq_41359358的博客
04-22 296
但这没有任何影响,敌手本身就只能知道公钥,他并没有能力知道挑战者是否知道对应的私钥。所以上述整个游戏就是一个模拟实验,敌手无法区分挑战者运行的是这个模拟实验,还是真正的按照第一节的算法构造的实验(挑战者知道私钥…为什么合起来的时候有1/2:因为T既可能是随机的也可能是g^{ab},这两种情况概率为1/2。能够攻破Elgamal加密方案,那么挑战者利用敌手的能力构建下面游戏,来求解困难性问题DDH。就是挑战者选的随机数,虽然挑战者自己也不知道。),否则挑战者输出0,作为DDH的回答。
IND-CPAIND-CCA1和IND-CCA2详解
m0_47659650的博客
06-12 3733
为了保证更强的安全性,GoldWasser和Micali在1984年提出了概率加密,引入更强的安全目标:语义安全。理论上已证明,语义安全(Semantic Security,SS)等价于密文不可区分性。密文不可区分性敌手和挑战者商定目标密码体制,选定加密密钥pk,然后进行以下各阶段: 寻找阶段: 敌手选择两个等长的明文m0m_0m0​,m1m_1m1​ 猜测阶段: 敌手被挑战者告知其中一个明文mbm_bmb​和随机数r的加密结果CbC_bCb​,判断CbC_bCb​是C0C_0C0​还是C1C_1C1​,其
IND-CPA(选择明文攻击下的不可区分性)
热门推荐
哎一入江湖岁月催的专栏
11-05 1万+
IND-CPA(选择明文攻击下的不可区分性)Indistinguishability under chosen-plaintext attack 该性质是通过一个仿真游戏验证的,游戏过程如下 具体过程: 算法拥有者称之为挑战者,算法攻击者称之为攻击者 挑战者拥有公钥PK,私钥SK,将PK发给攻击者。 攻击者选取长度相等的两个明文,M1,M2,发给挑战者 挑战者获得明文后,然后随机决定...
密码学理论11:公钥加密
weixin_51271794的博客
04-29 2150
一方(接收方)生成一对密钥(pk,sk),分别称为公钥和私钥。发件人使用公钥加密消息;接收方使用私钥解密生成的密文。当 Alice 得知 Bob 想与她通信时,她可以生成 (pk, sk)(假设她还没有这样做),然后将 pk明文发送给 Bob。Alice 独立于任何特定的发送者预先生成 (pk, sk)。然后她公开发布pk。1. 公钥加密(在某种程度上)解决了密钥分发问题,因为通信双方不需要在通信之前秘密共享密钥。即使他们之间的所有通信都被监视,两方也可以秘密通信。
密码学学习笔记(二):对称加密(二) IND-CPAIND-CCA安全以及分组密码操作模式
weixin_54634208的博客
06-28 2023
书接上篇笔记,假设声称对手可以在给定我们方案的密文的情况下找出明文的第一位。我们如何检验这一说法?不可区分性:如果我们想模拟任何泄漏怎么办?为了模拟任何泄漏,我们可以让对手选择消息。
The Concept of Indistinguishability under Chosen Plaintext Attack (IND-CPA)
vernice的专栏
07-06 1473
First, the concept of the Semantic Security means the knowledge of the ciphertext of unknown message does not reveal any additional information on the message. The indistinguishablility under chosen p
“完全或无”、IND-CPAIND-CCA1、IND-CCA2的详细说明
qq_39743001的博客
05-15 7136
一、在”安全或无“意义下的安全性: ​ 已知加密算法和输出的一条密文,攻击者的目标是恢复出整条明文;或者说在加密算法的基础上,给定一组明-密文对,攻击者的任务是恢复出整个密钥。攻击者或者成功地完全得到想要的秘密,或者什么都没有得到。”无“,无论在攻击之前还是攻击之后,攻击者没有得到关于秘密的任何信息。 ​ 综上,这是一种非常弱的公钥密码体制的安全性的概念,只考虑了被动攻击(攻击者不能操纵或修改密文),也可以说是不安全性的定义。因为明文数据很可能含有一些”先验消息“,攻击者可以知道这些消息。知道这些”部分
信息安全密码学博士:应该掌握的52个知识--(6)T28-- 非对称加密算法的IND-CCA性质?
u010665790的博客
03-01 6214
目录 1. IND-CCA是什么? 2. 如何通俗理解CPA和CCA? 3. 对称加密算法的IND-CCA的含义? 1. IND-CCA是什么? IND-CCAIndistinguishability under chosen-ciphertext attack (IND-CCA)的缩写,直译为 选择密文攻击下的不可区分性。 2. 如何通俗理解CPA和CCACPA含义是ch...
加密算法中常见的IND安全模型
weixin_44170239的博客
09-21 649
11
AN-IND-1-002_Testing_with_CANoe.pdf
02-26
AN-IND-1-002_Testing_with_CANoe
Nouveau Archive WinRAR.rar_co-vec-ind
09-20
vector control of a dual powered asynchronous machine (matlab)
论文研究-IND-CCA2完全匿名的高效短群签名方案.pdf
07-22
基于DDH、TCRv、KEA3假设下的改进Cramer-Shoup加密方案和SDH假设,提出一种新的SDH问题的零知识证明协议,并基于此协议构造了一种在BMW模型下可证明安全的短群签名方案,该方案具有IND-CCA2完全匿名性,签名长度仅为1...
kyber-k2so:实施Kyber(版本2)后量子IND-CCA2 KEM
04-06
Kyber-K2SO是 IND-CCA2安全密钥封装机制(KEM)的干净实现,其安全性基于解决模块格上的“错误学习”(LWE)问题的难度。 Kyber是提交给的候选算法之一。 安全免责声明 :police_car_light: 为了确保此库的正确性,...
论文研究-标准模型下具有IND-CCA2安全的混合加密方案.pdf
07-23
利用改进的陷门生成算法对Stehle的选择明文攻击(CPA安全方案进行了改进,然后结合SWIFFT压缩函数,提出了一种在标准模型下达到适应性选择密文攻击下的不可区分性(IND-CCA2)安全的混合加密方案。在该陷门产生...
密码学安全模型总结
weixin_39529207的博客
05-30 3056
本文将系统性地总结密码学中常见的安全模型定义。在阅读本文前,可以了解如下预备知识: 现代密码学是一门怎样的学科? 数据的机密性、完整性与实体的抗否性是什么意思? 完美安全和语义安全的含义是什么? 数据的机密性、完整性和实体的抗否性是一个信息安全系统所要保障的主要目标,也是一个密码算法所应满足的基本指标。而在现代密码学与可证明安全的语义下,机密性等含义有着更加严格和完善的定义。
密码学:可证明安全
qq_45764888的博客
07-06 1460
可证明安全主要分为三个步骤:确定威胁模型;其次构造方案;给出一个正式的安全性证明。可证明安全如果证出来安全,实际不一定安全。因为:①assumption很可能被攻破;②threat model可能和实际情况不一样;③proof的过程可能有问题。
伪随机函数及基于伪随机函数的CPA不可区分私钥加密方案
red1y
09-21 548
CPA不可区分实验PrivKA,Πcpa(n)PrivK_{\Alpha, \Pi}^{cpa}(n)PrivKA,Πcpa​(n) 定义 生成密钥k←Gen(1n)k \leftarrow Gen(1^n)k←Gen(1n) 输入1n1^n1n给A\AlphaA,A\AlphaA可以访问Enck(⋅)Enc_k(\cdot)Enck​(⋅)预言机(即它可以加密任何它选择的消息),输出一对等长的消息m0,m1m_0, m_1m0​,m1​ 选择一个随机比特b←{0,1}b \leftarrow \{0
密码学系列2-安全模型(CPA,CCA,selective,adaptive)
最新发布
qq_41359358的博客
04-22 510
本章介绍了安全模型中的CPA,selective/adaptive CCA, EUF-CMA。
an-ind-1-011_using_canoe_net_api.pdf
10-01
"an-ind-1-011_using_canoe_net_api.pdf" 是一个关于使用 Canoe Net API 的文档。Canoe 是一种网络分析工具,Canoe Net API 是 Canoe 提供的用于与其它系统进行集成和交互的应用程序接口。 这个文档主要介绍了如何使用 Canoe Net API 进行网络分析和数据处理。它包含了使用 Canoe Net API 的基本概念和操作步骤,以及示例代码和实际应用场景。通过阅读这个文档,开发人员可以了解如何使用 Canoe Net API 对网络数据进行收集、分析、过滤和可视化,并可以根据自己的需求进行定制和扩展。 使用 Canoe Net API,开发人员可以实现以下功能: 1. 收集网络数据:通过 Canoe Net API,可以获取网络传输层(如 TCP、UDP)上的数据包,包括源地址、目标地址、数据负载等信息。 2. 网络分析:可以利用 Canoe Net API 提供的功能,对网络数据进行分析和统计,例如计算网络流量、检测网络异常等。 3. 数据过滤:通过 Canoe Net API 可以对网络数据进行过滤,只保留感兴趣的数据包,以便后续处理和分析。 4. 可视化展示:Canoe Net API 还提供了可视化工具,可以将网络数据以图表、图形等形式展示,便于用户直观地了解网络情况。 总之,"an-ind-1-011_using_canoe_net_api.pdf" 是一份介绍 Canoe Net API 的文档,通过学习和应用其中的内容,开发人员可以使用 Canoe Net API 进行网络数据处理和分析,提升网络管理和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值