现代密码学学习笔记(三)

已于 2024-08-25 21:03:07 修改
阅读量916 收藏 7
点赞数 22
分类专栏: 现代密码学 文章标签: 密码学 学习 笔记 网络安全
于 2024-08-11 15:41:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56024138/article/details/141105708
版权

上篇回顾:

  1. 一次一密是完善保密的,但因为有许多缺陷而无法广泛应用;
  2. 香农定理:①Gen产生任何密钥k的概率都是\frac{1}{|K|};②任意选择的明文m和密文c均能从密钥空间K中找到对应的k,满足Enc_{k}(m)=c.
  3. 密码学中计算方法:具体方法(量化(t,\varepsilon )-安全)和渐进方法(引入安全参数n和可忽略函数negl(n)

一、语义安全(不可区分与语义安全等价)

        直白理解:没有关于明文的任何有意义的信息泄露。

        h(m)表示敌手预先了解的关于明文的外部消息,f(m)表示敌手希望获取的关于明文的有意义的信息。

        加密方案是窃听者出现时语义安全的定义:如果对于任意敌手、任意明文分布、任意函数fh,一个敌手根据密文和h(m)获得f(m),,另一个敌手只根据h(m)获得f(m),则两个敌手成功概率之间的差异是可以忽略的。

二、伪随机性

        1.完善保密的局限性要求密钥和密文一样长,不可区分性是对完善保密的放松,那么伪随机是对真正随机性的放松,通过伪随机性的要求产生足够长但不完全随机的密钥。

        一个固定的字符串谈不上是否随机或伪随机,随机或伪随机指的是产生字符串的过程

        无法绝对地证明随机性。

        2.区分器(Distinguisher)[统计测试]

        一类判断是否随机的方法:从一个随机生成器中得到多个随机序列并进行一套统计测试。例如:一组生成好的字符串0和1的数量之差不应该太大且最长连续相同的字符不应该太长等。

        伪随机性意味着下一bit不可预测(next-bit unpredictable)。

三、伪随机生成器(Pseudorandom Generator, PRG

1.定义:令l(.)为多项式,G是一个确定的多项式时间算法,满足对于任意输入s\in \left \{ 0,1 \right \}^{n}G输出一个长度为l(n)的字符串,满足以下两个条件则称G是一个PRG:

延展\forall n,l(n)>n,只有生成更长的字符串才有意义,否则可以直接从种子中复制一段输出;

伪随机:对于任意PPT区分D,\left | Pr[D(r)=1]-Pr[D(G(s))=1] \right |\leq negl(n),其中,r是随机的,种子s随机的,l(.)是延长因子。意思是输出不同结果的概率差可以忽略。

2.充分种子空间(种子必须足够长来抵抗蛮力攻击)

蛮力攻击:如果给定无穷的时间,通过枚举所有的种子来产生所有串,则能以较高的概率区分伪随机串。

四、规约法和规约证明

1.规约法

        规约法是将一个问题A变换为另一个问题B,即A可以通过解决B来解决。A\leq _{m}B表示A可规约为B,如果B的解存在并且给定该解时A可解,其中m表示映射规约。即:解决A不能比解决B更难,因为A可以通过解决B来得到解决。

2.规约证明

        证明一个加密方案\Pi在假设X下是安全的,即破解该方案不可解。可将“解决假设X的算法
A{}'”规约到“破解\Pi的算法A”。

        先令一个PPT算法A能够以概率\varepsilon (n)破解\Pi。假设一个问题X是难以解决的,即不存在PPT算法来解决XA{}'是一个解决X的概率算法。

        规约:解决假设问题X可以通过破解\Pi,将A{}'规约到A,A{}'通过A作为子函数以\frac{1}{p(n)}解决问题X

        矛盾:若加密方案可以被有效破解,即\varepsilon (n)不可忽略,则A{}'可以以不可忽略的概率\frac{\varepsilon (n)}{p(n)}解决问题X,与假设矛盾,因此\varepsilon (n)一定可忽略。

五、构造安全的加密方案

1.一个安全的定长加密方案\Pi(窃听下不可区分)

G是一个带扩展因子l的伪随机发生器,\left | G(k) \right |=l(\left | k \right |),m\in \left \{ 0,1 \right \}^{l(n)},一个PRG以长度为n的密钥作为种子,输出与明文相同长度的pad。

  1. Gen:输入1^{n},均匀随机选择k\leftarrow \left \{ 0,1 \right \}^{n},输出密钥k
  2. Enc:输入一个密钥k\in \left \{ 0,1 \right \}^{n},以及明文m\in \left \{ 0,1 \right \}^{l(n)},加密方式和一次一密一样,输出密文c:=G(k)\bigoplus m
  3. Dec:解密方式也和一次一密一样,输入密钥k\in \left \{ 0,1 \right \}^{n}和密文c\in \left \{ 0,1 \right \}^{l(n)},最终输出解密的明文m:=G(k)\bigoplus c.

对该方案的评价:除了密钥更短并且用伪随机生成器生成比特串与明文异或,其他方面和一次一密相同,对敌手而言,该方案和一次一密完全相同,可以说该方案解决了一次一密密钥过长的问题。

2.对该定长加密方案的证明(类似于第二章的PrivK窃听不可区分实验)

        该方案的特别之处在于不需要生成密钥,而是以长度为n的密钥作为种子输出与明文相同长度的\omegac=\omega \bigoplus m_{b}。根据\omega的两种可能:

        ①当\omega是由G生成的,即伪随机串,敌手A面对的是\Pi

        ②当\omega是真随机串,则敌手A面对的就是一次一密\tilde{\Pi }

证明敌手A在实验中的成功概率可忽略:

①真随机串即一次一密:Pr[D(r)=1]=Pr[Privk_{A,\tilde{\Pi }}^{eav}(n)=1]=\frac{1}{2}

②当\omega为伪随机串G(k)Pr[D(r)=1]=Pr[Privk_{A,\Pi }^{eav}(n)=1]=\frac{1}{2}+\varepsilon (n)

①式-②式可得:Pr[D(r)=1]-Pr[D(G(k))=1]=\varepsilon (n)\leq negl(n)

所以\varepsilon (n)可以忽略。

3.输出长度可变的伪随机发生器

        G接受两个输入:种子s以及输出长度lG应当输出一个长度为l的伪随机字符串。

4.流密码(Stream Cipher)

      受一次一密方案的启发,通过将变长消息与密钥的异或进行加密。

        流密码方案:通过将多个消息“拼成”一个消息,与伪随机的密钥流进行异或加密。用一小段密钥产生加密明文所有密钥。(主要依靠硬件来实现)

        方案优点:逻辑简单,比分组密码(划分明文,每组分别加密)更快;

        方案缺点:难以做到安全。

5.CPAChosen-Plaintext Attacks)选择明文攻击

敌手具有获得其所选择明文对应密文的能力。oracle(预言机)敌手选择明文m传给加密者,加密者使用加密算法Enc_{k}(m)得到c返回给敌手,将这一过程看做一次查询,可进行任意多次且每次使用同样的密钥k

6.CPA不可区分实验Privk_{A,\Pi }^{eav}(n)

①提前生成密钥k\leftarrow Gen(1^{n}),为下一步提供加密预言机;

②敌手A被给予输入1^{n}和对加密函数Enc_{k}(.)的预言机访问(oracle access)A^{Enc_{k}(.)},输出相同长度的明文m_{0},m_{1}

③生成随机比特b\leftarrow \left \{ 0,1 \right \},将密文c\leftarrow Enc_{k}(m_{b})发送给A

A继续对Enc_{k}(.)进行访问,输出b{}',如果b=b{}',则A成功,Privk_{A,\Pi }^{eav}(n),否则输出0.

      其中,预言机是一个黑盒,只接受输入并返回输出。该实验与Privk_{A,\Pi }^{eav}(n)区别在于敌手始终可以访问加密预言机,可以根据明文和密文进行构造性的查询,因此CPA敌手更加强大。

小花小纸和小伞
关注
专栏目录
密码学证明方法-规约法简介
red1y
09-20 1092
背景 记号及含义 X\ChiX:某类很难解决的问题 χ\chiχ:X\ChiX的一个实例 A′\Alpha^{\\'}A′:试图解决χ\chiχ的敌手 Π\PiΠ:基于X\ChiX的(一类)加密方案 π\piπ:Π\PiΠ的一个实例 A\AlphaA:破解Π\PiΠ的敌手 ε(n)\varepsilon(n)ε(n):A\AlphaA的成功概率 安全定义 当假设X\ChiX成立时(即这类问题很难解决),不存在任何敌手能在多项式时间内,以不可忽略的概率破解加密方案 假设说明 假设X\ChiX就现在来
现代密码学复习笔记(一)
KaileLiang的博客
02-10 3802
文章目录课程内容密码学发展史对称密钥加密算法由个算法组成密码系统模型对称密钥加密模型密码学攻击场景从古典密码算法看密码算法设计无条件安全现代密码学基本准则 课程内容 从古典密码学现代密码学 对称密码学 非对称密码学 密钥分配与密码管理 哈希函数、数字签名 密码协议 密码学发展史 古典密码 近代密码 现代密码 凯撒密码 明文 需要采用采用某种方法对其进行变换来隐...
现代密码学复习
m0_61869253的博客
03-16 911
目录密码学总结第一章——只因础模型与概念1.1 密码学五元组(结合🐏皮卷)1.2 Dolev-Yao威胁模型1.3 攻击类型1.4 柯克霍夫原则(Kerckhoffs’s principle)1.5 对称、非对称加密1.6 密码的目标1.7 保密通信模型第二章——古典密码2.1 仿射密码2.2 Hill密码例题0 ——解同余方程组例题1——仿射密码例题2——希尔密码第章——DES算法IP置换E扩展S盒压缩P盒置换秘钥生成分组加密扩散与混淆3DES。
密码学】规约证明
weixin_59176583的博客
11-01 824
密码学,规约证明
现代密码学笔记1.2 -- 对称密钥加密、现代密码学的基本原则《introduction to modern cryphtography》现代密码学原理与协议
定期分享我的发现和想法,感谢你的陪伴和支持
01-07 4070
在对称密钥加密系统中,通信双方共享一段密码信息,称为密钥(key当他们希望安全地通信时,会使用这个共享密钥。发送方使用密钥来加密(或者“混合”)消息。接收方收到消息后,使用相同的密钥来解密(或者“去混合”)以恢复原始消息。这里所说的消息本身称为明文plaintext),而从发送方传输到接收方的经过加密处理的消息称为密文ciphertext),如图 1.1 所示。在这种设置中,共享的密钥用来从所有潜在的窃听者中区分通信双方(这通常假设是通过一个公共信道进行传输的)。描述。
2024年【现代密码学笔记1
2401_84254364的博客
05-01 572
现代密码学原则:定义,假设,证明安全和威胁模型的严格定义的形式化当一个加密方案的安全依赖于无法证明的假设时,这个假设必须被精确地描述并且尽可能地小加密方案应该带有一个基于以上定义和假设对安全性的严格证明原则1,对精确定义的形式化如何形式化私钥加密的安全?已知密文,没有敌手能够找到密钥,EnckmmEnck​(m)=m没有敌手能够找到与密文所对应的明文,Enckmm0∥AESkmEnck​(m)=m0​∥AESk​(m),其中m0。
【总结二】现代密码学
FansMing的博客
05-07 647
此外,E和L的最大公约数(gcd)必须为1.如果用gcd(X,Y)来表示X和Y的最大公约数,则E和L之间存在关系:1 < E < L、gcd(E,L) = 1 (E和L的最大公约数为1,即互质)。由于CTR模式的本质是对递增的计算器值进行加密,因此可通过对若干分组进行并行处理来提高速度,CTR模式加密与MAC值的计算使用的是相同的密钥,因此管理也会更容易。因RSA的加密是求明文的E次方modN,所以只要知道E和N这两个数,任何人都可以完成加密的运算,所以E和N是RSA加密的密钥,组合起来也就是公钥。
现代密码学学习笔记2.4 Hardness Amplification
Kevin_lady的博客
08-26 332
2.4 Hardness Amplification 这章节我们会用一种有效的方式将任意弱单向函数转化为强单向函数。 定理:对于任意的弱单向函数f:{0,1}∗→{0,1}∗f:\left \{0,1 \right \}^*\rightarrow\left \{0,1 \right \}^*f:{0,1}∗→{0,1}∗,存在一个多项式m(⋅\cdot⋅)如: f1(x1,⋯ ,xm(n))=(f(x1),⋯ ,f(xm(n))). f^1(x_1,\cdots,x_{m(n)})=(f(x_1),\cd
北邮-现代密码学
01-24
通过阅读此书,学生可以系统地学习现代密码学的理论框架和实践应用。 现代密码学ppt.rar: 这个压缩文件可能是教师授课时使用的PPT,通常包含课程的重点内容、实例分析和视觉化的演示,有助于学生直观地理解复杂的...
2024年网安最新【现代密码学笔记1
2401_84239830的博客
05-03 900
描述:解决任何密码学问题的第一步是公式化的表述,提供严格且精确的安全定义。应用:安全定义通常采用以下通用形式:如果特定的敌手不能完成特定的攻击,则对给定任务的一个密码学方案是安全的。这种定义不对敌手的策略进行任何假设。假设敌手的能力(例如,能够进行选择明文攻击而不是仅密文攻击),但不对敌手如何使用其能力进行假设。这被称为“任意敌手原则”,即安全必须确保抵御任意拥有特定计算能力的敌手。这一原则是重要的,因为敌手在攻击中将采用的策略是不可能预先知道的。
2024年【现代密码学笔记3
2401_84265909的博客
05-02 720
定义私钥加密方案回顾私钥加密相关定义窃听不可区分实验在窃听不可区分实验中,敌手和挑战者之间进行一个思维实验。敌手根据安全参数产生两个相同长度的不同消息,并发送给挑战者;挑战者根据安全参数生成密钥,并对随机选择的一个消息进行加密,将挑战密文发送给敌手。敌手输出一个比特,来表示对被加密消息的猜测,若猜对,则实验成功。一个敌手AA与一个挑战者CC进行3轮交互:1. AA选择两个长度相同、内容不同明文m0m1m\_0, m\_1。
现代密码学学习笔记第二章2.3-2.4
Kevin_lady的博客
08-23 303
2.3 乘法,素数和因素 考虑第一个单向函数。 fmult:N2→Nf_{mult}:\mathbb{N}^2 \rightarrow \mathbb{N}fmult​:N2→N fmult(x,y)={1,ifx=1∨y=1x⋅yotherwise f_{mult}(x,y)=\begin{cases} 1,\quad if \quad x=1 \vee y=1\\ x \cdot y \quad otherwise \end{cases} fmult​(x,y)={1,ifx=1∨y=1x⋅yother
现代密码学学习笔记(一)
m0_56024138的博客
07-27 767
即:一个加密方案的安全性不应该依赖于加密方案的保密性,而是。现代密码学(1980年至今)于传统密码学的区别:强调定义、精确的假设和严格的安全性证明,其中。”,与之相对应的是公钥加密,使用一组对应的唯一性密钥(公钥+私钥)组成的加密方法,又称“非对称加密”。③ 对于大规模部署而言,不同的人使用不同的密钥比他们各自使用自定义的加密方案更加好管理。任何安全的加密方案都必须具有足够大的密钥空间,以使穷举搜索攻击不可行,是安全性的。③严格的安全证明(若假设X正确,根据给定定义,加密方案Y是安全的)。
现代密码学笔记3.4-3.7--构造安全加密方案、CPA安全、CCA安全 《introduction to modern cryphtography》
Innocence_0的博客
01-29 1188
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。因此,如果 c ′ c’ c′ 的变化发生在 F k ( r ) F_k® Fk​® 部分,则 m ′ m’ m′ 将与 m b m_{b}mb​ 完全相同,因为 F k ( r ) F_k® Fk​® 部分的变化被异或操作取消了。
现代密码学笔记3
2401_84435700的博客
05-01 227
定义私钥加密方案回顾私钥加密相关定义窃听不可区分实验在窃听不可区分实验中,敌手和挑战者之间进行一个思维实验。敌手根据安全参数产生两个相同长度的不同消息,并发送给挑战者;挑战者根据安全参数生成密钥,并对随机选择的一个消息进行加密,将挑战密文发送给敌手。敌手输出一个比特,来表示对被加密消息的猜测,若猜对,则实验成功。一个敌手AA与一个挑战者CC进行3轮交互:1. AA选择两个长度相同、内容不同明文m0m1m\_0, m\_1。
可忽略优势和规约证明的心得与笔记
CSK的博客
11-09 2201
最近在看《现代密码学——原理与协议》这一本,刚好看到计算安全和规约证明这一块,打算简单的做个笔记,以后也方便复习。 在证明一个加密方案是否安全,其必须在“实践上不可破译”。基于计算的方法包含了两种完美安全的概率: (1)在对抗“有效的敌手”时,安全性存在,“有效的”是指在可行的时间内运行。 (2) 敌手潜在攻破方案的概率极小(小到几乎不关心是否会发生)。 为了精确的定义上面所述内容,常常使用以下两种方法: 具体方法:通过明确限定任一敌手在最多某个特定时间内的最大成功概率,对给定的密码学方案的安全性进行量
密码学---常见的其他密码
weixin_47450099的博客
09-05 625
各种密码的介绍,包括一些图形密码
网络安全】古典密码体制概述
最新发布
衍生星球的博客
09-07 1190
古典密码体制是指在计算机科学和信息安全技术出现之前的传统加密方法。这些方法主要包括替换和易位两种基本形式。古典密码体制的特点是简单、易用,但安全性不高,容易被破解。在古代,人们使用纸、笔或简单的器械来实现加密和解密操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值