随机预言机模型:在安全证明中,随机预言机模型通常是现实中哈希函数的理想化的替身。哈希函数是一个输入为任意长度,输出为固定长度的函数,除此之外还满足一些其它特性,例如单向性,抗碰撞性等。随机预言机的概念起源于Fiat和Shamir的把哈希函数看为随机的函数的思想,然后进一步由研究者Bellare和Rogaway转化为随机预言机模型。在随机预言机模型下,通常设计一个方案并证明是安全的;而在方案的实际执行时,用具体的哈希函数来替换方案中的随机预言机。应该指出,在随机预言机模型下证明安全的方案在实际具体实现中未必是安全的。研究者Canetti,Goldreich和Halevi曾给出这样的例子。
标准模型
不依赖随机预言机的模型,称为标准模型。一般指所设计的方案(如果使用了哈希函数)在证明时,仅使用了现实中哈希函数可以实现的特性,那么可以认为是标准模型。第一个标准模型下可证明安全的高效的公钥加密课题在1998年由Cramer和Shoup[101]提出,随后大部分研究者的兴趣转向了设计标准模型下可证明安全的方案。
·标准模型(Standard Model)
标准模型下,敌手只受时间和计算能力的约束,而没有其他假设,如果在此条件下,可以将密码学方案归约到困难性问题上,则称为该归约是基于标准模型的,也称方案具有在标准模型下的可证明安全性。然而在实际中,很多方案在标准模型下建立安全性归约是比较困难的,也就是难于证明在安全模型下的安全性。因此为了降低证明的难度,往往在安全性归约过程中加入其他的假设条件,就是下面将要讨论的随机预言机模型。
·随机预言机模型(Random Oracle Model)
随机预言机模型在安全模型之上,加入了针对散列函数的随机预言机假设。这种假设下进行安全归约得到的安全性也称为随机预言机模型下的可证明安全性。随机预言机模型,是从散列函数抽象出来的一种模型,是在可证明安全中被广泛使用的证明方法。随机预言机是一种散列函数,我们可以把它理解为完美的散列函数:
1)一致性:对于相同的输入,其输出必然相同;
2)可计算性:输出的计算可以在多项式时间内完成;原像碰撞 pre-image resistant
3)均匀分布性:预言机的输出在取值空间内均匀分布,无碰撞。抗碰撞性 collision resistant
在随机预言机模型中,假定敌手不会利用散列函数的弱点来攻击密码学方案,否则该方案不安全。换句话说,即使将方案中的实际散列函数换成随机预言机,敌手仍然可以成功攻击,该方案不安全。随机预言机虽然广泛应用与密码学方案的证明,为可证明安全提供了很大的方便,但人们对随机预言机模型下的安全性证明的有效性仍存在争议的。随机预言机是一种过于理想的假设,要求敌手不利用散列函数的弱点来对方案进行攻击。而在现实中,并不存在这样一种完美的散列函数,因此在随机预言机模型下安全的一些方案,在使用真实的散列函数之后,就不再安全了。因为这种模型下的证明是一种具有很强假设性的,即敌手不可以利用散列函数的弱点。但是在现实中,散列函数是确定的,其输出并不能保证是完全随机且均匀分布的。所以,随机预言机模型下证明安全的一些方案,在用真实的散列函数代替随机预言机后,就不再安全了。尽管如此,基于随机预言机模型的安全证明除了散列函数外的环节都可以达到安全要求,目前大多数的可证明安全方案也是基于随机预言机模型的。因此,随机预言机模型仍被认为是可证明安全中最成功的应用。
562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
