《Introduction To Modern Cryptography》读书笔记三

---

《Introduction To Modern Cryptography》读书笔记三

本笔记纯粹个人读书习惯与相应见解，内容归纳完全出于个人需要与个人局限，如有修改意见（比如哪儿应该是值得加粗的重点），欢迎斧正，QQ:2570101165

前排提示：本章笔记预计会非常无聊

三、 Private-Key Encryption

Private-Key是“私有密钥”，属于对称密钥；不是非对称加密里的“私钥”

本章定义没上一章那么强，但足够了，将以一定的安全性为代价换取更高的实用性。

"pseudorandom"这个毕宰执将出现很多很多很多次（p不发音）

3.1 Computational Security

相对于信息论中安全的概念，为了超越完美安全的限制（无敌是多么寂寞），计算安全在两方面进行了松弛（relaxation）：

1. 安全性只有在有效的对手运行一定时间的情况下才能得到保证。

   完美完全对抗神，计算安全对抗人

   我们目的就是让钻石王老五了也没用，毕竟人是有极限的。所以，我不做人啦！JOJO！！

2. 对手可能以很小的概率成功。如果我们能使这个概率足够小，我们就不用担心它。

   欧皇yyds

这儿联系一下完美安全：密文aaaaaaaa，密钥长度为8

则明文可能是iloveyou，也可能是ihateyou，可能是任何结果，自然也就没有几率攻击成功（至少不能make sense）

3.1.1 The Concrete Approach

$$\begin{gathered} Aschemeis(t,\epsilon )-secureifanyadversaryrunningfortimeat \\ mosttsucceedsinbreakingtheschemewithprobabilityatmost\epsilon . \end{gathered}$$

1. 对小概率究竟有多小给几个小概念：

   • 举例：密钥长度为$n$，攻击成功率为$p=ct/2^n$（$c$是常数，此处设为1），运行时间$t$（用计算机周期测量）,攻破所用时间$T$

     $n=60$；$t=4\mathrm{G}\mathrm{H}\mathrm{z}$（每秒运行$4\times 10^9$个周期）；$T=1/p=2^{60}/4\times 10^9\approx 9years$;

     实际$c>1$，则$c\uparrow ,T\downarrow$，说明暴力攻击可能远比你想象的容易

   • 宇宙大爆炸（Big Bang）距离现在也就大概2⁵⁸秒

   • 如果一个攻击者能在一年内以2^-60的几率成功，那这个几率比通信双方同时被闪电劈死还低

     渣男除外

   • 一千年里一个事件在每秒发生的概率大概为2^-30

2. 缺点：实践中很难提供精确的具体保证

   毕竟人为定义真的很有限，比如如果一个系统2年内很难攻破，那10年呢？这还没考虑计算机计算能力的提升

   摩尔定律（Moore’s Law）：计算机计算能力大概18个月翻一番

3.1.2 The Asymptotic Approach

$$\begin{gathered} Aschemeis\mathrm{s}\mathrm{e}\mathrm{c}\mathrm{u}\mathrm{r}\mathrm{e}ifany\mathrm{P}\mathrm{P}\mathrm{T}adversarysucceedsinbreakingthe \\ schemewithatmostnegligibleprobability. \end{gathered}$$

PPT = probabilistic polynomial-time

3.1.2.1 注意要点

1. 该方法和计算复杂度紧紧相连，一定要了解其相关概念
2. 引入一个整型变量——安全参数（$securityparameter$）$n$，一般看成密钥长度就行了
3. efficient adversaries：运行在多项式时间（$p(n)$）中的随机(即概率)算法。当然用户也是这样的（伤敌八百，自损八十）
4. small probabilities of success（negligible）：成功概率比任何$n$的逆多项式小
5. 一切的一切建立在$n$足够大
6. 安全定义由两部分组成：“破坏”方案的定义；对手能力的描述。

3.1.2.2 举例

1. 运行时间$t=n^3(minutes)$，成功概率$p=2^{40}\cdot 2^{-n}$

   • $n=40\to t=40^{3}minutes\approx 6weeks),p=1$
   • $n=50\to t=50^{3}minutes\approx 3mouths),p=1/1000$
   • $n=500\to t=500^{3}minutes\approx 200years),p=2^{-500}$

   说明我们需要对$n$进行一个制衡：太短的话安全性不够，太长的话算起来费劲

2. 还能抵御计算能力的增加带来的威胁

   设通信双方的计算代价为$10^6\cdot n^2$，敌人的计算代价为$10^8\cdot n^4$

   • $2\mathrm{G}\mathrm{H}\mathrm{z},n=80$，通信双方运行时间3.2秒，敌人运行时间大约为3周，几率只有2^-40
   • $8\mathrm{G}\mathrm{H}\mathrm{z},n=1600$，通信双方运行时间仍为3.2秒，但是敌人运行时间大约为13周，几率还只有2^-80

   自损50，伤敌八百；自损51，伤敌八万

3.1.2.3 The Asymptotic Approach in Detail

1. Efficient algorithms

1. 算法$\mathcal{A}$运行在多项式时间意味着存在一个多项式$p$，对于任何输入 x ∈ { 0 , 1 } ∗ x\in\left\{0,1\right\}^* x∈{0,1}∗，$\mathcal{A}(x)$最多运算$p(|x|)$步

2. 安全参数经常写作一元的（即，$1^n$或者$n$个1的字符串），如下图

   

3. 我们默认所有算法都是概率的（随机的）,因为：

   • 随机性对于密码学来说是必不可少的(例如，为了选择随机密钥等等)，因此诚实方必须是概率性
   • 我们允许对手具有概率性。因为随机化是实用的，它给攻击者额外的力量，而我们的目标是模拟现实的攻击，所以我们喜欢更自由的定义

4. 优点：

   • 使我们不必精确地指定我们的计算模型，因为扩展的丘奇-图灵论文指出，所有“合理的”计算模型都是多项式等效的
   • 满足理想的闭包特性，例如：一个对运行多项式时间的子程序进行多次多项式调用的算法(另外只进行多项式计算)本身将以多项式时间运行

2. 定义1（3.4）（Negligible success probability）

1. 正式定义：
   $$\begin{gathered} Afunctionffromthenaturalnumberstothenon-negativerealnumbers \\ is\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}\mathrm{i}\mathrm{g}\mathrm{i}\mathrm{b}\mathrm{l}\mathrm{e}ifforeverypositivepolynomialpthereisanNsuchthatfor \\ allintegersn>Nitholdsthatf(n)<\frac{1}{p(n)} \end{gathered}$$
   等价定义：

   对于所有常量$c$，存在一个$N$，当$n>N$时，$f(n)<n^{-c}$

   多项式永远会被指数函数干碎

   注意在$n\le N$时，啥也不保证

   把微不足道的函数（negligible function）用$\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}$来表示

2. 举例：

   令$p(n)=n^5$，

   • 当$2^{-n}<n^{-5}$时，$n=23$

   • 当$2^{-\sqrt{n}}<n^{-5}$时，$n=3500$

   • 当$n^{-\mathrm{l}\mathrm{o}\mathrm{g}n}<n^{-5}$时，$n=33$

     如下图（哪条线对应哪个函数自己区分哦）

     

     表面上看$n^{-\mathrm{l}\mathrm{o}\mathrm{g}n}$ ”下降“比$2^{-\sqrt{n}}$快，其实当$n>65536$时，$2^{-\sqrt{n}}<n^{-\mathrm{l}\mathrm{o}\mathrm{g}n}$

3. 命题1（3.6）（闭包性质）

令${\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_1$和${\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_2$是可忽略函数，则：

1. 函数${\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_3(n)={\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_1(n)+{\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_2(n)$也是可忽略函数
2. 函数${\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_4=p(n)\cdot {\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}}_1$也是可忽略函数（$p(n)$为正多项式）

​ 解释：如果某一事件在某一实验中以可忽略的概率发生，那么即使实验多项式地多次重复，但事件仍以可忽略的概率发生。（成功次数≠成功概率！！）例如：如果一个算法对某些子程序进行多项式的多次调用，每次调用它的“失败”的概率可以忽略，那么对该子程序的任何调用失败的概率仍然可以忽略（说明该程序稳健）

就像不喜欢你的人再追也没啥用

但是！！！

人生本就是一场不完全的科研，追到一次就可行！！少年冲！

​ 补充：如果函数$g$不是可忽略的，则函数$f(n)\stackrel{\text{def}}{=}g(n)/p(n)$也是不可忽略的

3.1.3 Necessity of the Relaxations

1. 两个Relaxations

   • 只有在对抗==efficient==对手时才能保证安全性
   • 攻击成功的可能性很小

2. 当$|\mathcal{K}|<|\mathcal{M}|$时永远会有两种攻击

   • 穷举密钥攻击，成功概率：1

   • 盲猜密钥攻击，成功概率：$1/|\mathcal{K}|$

     这个故事告诉我们，密钥千万不能太短。要让敌人没时间暴力破解

3.2 Defining Computationally Secure Encryption

3.2.1 定义2（3.7）

1. $k\leftarrow \mathrm{G}\mathrm{e}\mathrm{n}(1^n),|k|\ge n$

2. c ← E n c k ( m ) , m ∈ { 0 , 1 } ∗ c\leftarrow\mathrm{Enc}_k(m),m\in\left\{0,1\right\}^* c←Enck​(m),m∈{0,1}∗

3. $m:={\mathrm{D}\mathrm{e}\mathrm{c}}_k(c),\perp$代表解密出错（一般假设不存在）

4. ${\mathrm{D}\mathrm{e}\mathrm{c}}_k({\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=m$

5. 如果 m ∈ { 0 , 1 } l ( n ) m\in\left\{0,1\right\}^{\mathscr{l}(n)} m∈{0,1}l(n)，我们把$(\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$叫做消息长度为$l(n)$的固定长度私有密钥加密方案（fixed-length private-key encryption scheme for messages of length $l(n)$）

   如果$\mathrm{G}\mathrm{e}\mathrm{n}(1^n)$对于所有常量n比特字符串，那我们把方案简称为$(\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$（即，第一点中取等号）

6. 除非明确说明，否则我们的所有结果都假定是无状态加密/解密

3.2.2 The Basic Definition of Security

indistinguishability已经蠢蠢欲动了，记得回顾一下前面的实验哦~

1. The adversarial indistinguishability experiment ${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)$

注意与前面实验相比多了个安全参数$n$

1. 实验描述：

   • 给攻击者$\mathcal{A}$输入$1^n$，输出一对明文消息$m_0,m_1$，且$|m_0|=|m_1|$

   • $\mathrm{G}\mathrm{e}\mathrm{n}(1^n)$生成一个密钥$k$，选择一个均匀的比特 b ∈ { 0 , 1 } b\in\left\{0,1\right\} b∈{0,1}，计算$c\leftarrow {\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_b)$并发送给$\mathcal{A}$。将$c$称为挑战密文（challenge ciphertext）

   • $\mathcal{A}$输出一个比特$b^{\prime }$

   • $b^{\prime }=b,{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)=1$，实验成功；

     $b^{\prime }\ne b,{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)=0$，实验失败。

2. 要点：

   • 与之前实验相比，增加的两个松弛

     • 攻击者$\mathcal{A}$运行在多项式时间中
     • 实验成功率可以略大于1/2

   • $\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)]$是个关于$n$的函数

   • 我们不管也管不了攻击者使用的策略

   • 初始的两个明文长度是相同的，但多长没限制，设为$l(n)$（即在默认情况下，我们不需要一个安全的加密方案来隐藏明文的长度）

3. 该实验是针对唯密文攻击，在这种攻击中，对手只观察到单个密文，等价于当使用给定密钥时只加密单个消息（允许额外的交互会让对手变得更加强大）

   Indistinguishability in the presence of an eavesdropper

2. 定义3（3.8）

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}$满足下列不等式，则说明加密方案$\Pi =(\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$在存在窃听者的情况下具有不可区分的加密性(indistinguishable encryptions in the presence of an eavesdropper, 即EAV-secure)
$$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)=1]\le \frac{1}{2}+\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$
$theprobabilityistakenover:$$\mathcal{A}$的随机性，实验中所用的随机性（$\mathrm{E}\mathrm{n}\mathrm{c}$）

除非特别规定，否则 “$f(n)\le g(n)$” 对所有$n$都成立

这个定义强度肯定比不上之前完美保密的定义，所以完美保密自然满足EAV-secure

3. 定义4（3.9）

与定义3等价

• ${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n,b)$表示$\mathcal{A}$每次固定选择都是$b$（之前是随机选的）
• $b^{\prime }={\mathrm{o}\mathrm{u}\mathrm{t}}_{\mathcal{A}}({\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n,b))$

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}$满足下列不等式，则说明加密方案$\Pi =(\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$在存在窃听者的情况下具有不可区分的加密性(indistinguishable encryptions in the presence of an eavesdropper, 即EAV-secure)
$$|\mathrm{P}\mathrm{r}[{\mathrm{o}\mathrm{u}\mathrm{t}}_{\mathcal{A}}({\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n,0))=1]-\mathrm{P}\mathrm{r}[{\mathrm{o}\mathrm{u}\mathrm{t}}_{\mathcal{A}}({\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n,1))=1]|\le \mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$

4. Encryption and Plaintext Length

1. 安全加密的默认概念并不要求加密方案隐藏明文长度，主要原因是不可能隐藏所有关于明文长度信息的同时支持任意长度的消息。（而且很多时候明文消息长度并不敏感）

2. 例外：

   • Simple numeric/text data：工资长度；no(2字符)/yes(3字符)等
   • Auto-suggestions：web服务器根据用户已经输入的部分信息生成一个单词或短语列表。这个列表的大小可以显示用户迄今为止输入的字母的信息（e.g.:"th"远多于“zo”）
   • Database searches：查询数据库返回的记录数量可以揭示很多关于用户正在搜索什么的信息
   • Compressed data：例如，压缩后的短明文表明原始明文有很多冗余。如果对手可以控制被加密的部分内容，这个漏洞可以使对手了解关于明文的额外信息

   如果明文长度不想被泄露，可以在加密之前将所有消息填充到某个预先确定的长度来减轻或防止这种泄漏

3.2.3 *Semantic Security

基本逻辑：安全方案定义是敌人无法从密文中得到任何额外信息（第一章内容）

​ $\to$语义安全就是不泄露任何额外信息

​ $\to$“任何”两个字包含的范围太广了，直接证明太难

​ $\to$另辟蹊径，证明定义3（不可区分性）和语义安全是等价的

​ $\to$那我们就从不可区分性入手

​ $\to$从两个较弱的概念（不可区分性中也暗含）中建立语义安全的定义

不可区分$\iff$密文不会泄露关于明文单个比特的信息

即从${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$中盲猜$m^i$，猜中的概率不会比1/2更高（$m^i$为明文$m$的第$i$个比特），下面是证明

1. 定理1（3.10）

1. 阐述：

   令$\Pi =(\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$为一个固定长度的私有密钥加密方案，用于长度为$l$的消息，在窃听者存在时具有不可区分的加密性，则对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}$满足下列不等式（ i ∈ { 1 , . . . , l } i\in\left\{1,...,\mathscr{l}\right\} i∈{1,...,l}）
   $$\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=m^i]\le \frac{1}{2}+\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$
   $theprobabilityistakenover:$均匀分布的 m ∈ { 0 , 1 } l , k ∈ { 0 , 1 } n m\in\left\{0,1\right\}^{\mathscr{l}},k\in\left\{0,1\right\}^n m∈{0,1}l,k∈{0,1}n；$\mathcal{A}$和$\mathrm{E}\mathrm{n}\mathrm{c}$的随机性

   注意$l$和$n$的位置，代表的长度

2. 证明（反证法）：

   基本逻辑：

   大前提：方案是$\Pi$不可区分的

   假设：$\mathcal{A}$能从密文中猜到明文的第$i$个比特

   推论：由$\mathcal{A}$可以构造出一个${\mathcal{A}}^{\prime }$，而${\mathcal{A}}^{\prime }$存在时方案变得可区分

   结果：大前提被打破$\to$假设错误$\to$$\mathcal{A}$不应该存在$\to$不可区分$\Rightarrow$猜不出第$i$个比特

   构造另一个敌人的思想也是规约证明中的思想（后文会具体介绍）

   • 如果一个攻击者可以猜出${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$的第$i$个比特，那么其可以区分出第$i$位不同的信息$m_0,m_1$（构造如下，我们让两条消息之间仅第$i$位不同）

     之前$m_0,m_1$之间是不具体区分的，但现在是具体区分的(只看第$i$比特就能区别它俩)

     I 0 ⊂ { 0 , 1 } l I_0\subset\left\{0,1\right\}^{\mathscr{l}} I0​⊂{0,1}l,且第$i$位为0；

     I 1 ⊂ { 0 , 1 } l I_1\subset\left\{0,1\right\}^{\mathscr{l}} I1​⊂{0,1}l,且第$i$位为1.

   • 通过一个简化（归约）（reduction）证明将其形式化：

     $\mathcal{A}$：假如能违背系统$\Pi$中安全概念的定理（即定理1，即大概率可以猜出明文的第$i$个比特）

     $\mathcal{A}’$：由$\mathcal{A}$​构造出来的，可以违背系统$\Pi$中不可区分性的定义

   • 基于上述两点：易知

     $$\begin{array}{rl}& \mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=m^i]\\ & =\frac{1}{2}\cdot {\mathrm{P}\mathrm{r}}_{m_0\leftarrow I_0}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_0))=0]+\frac{1}{2}\cdot {\mathrm{P}\mathrm{r}}_{m_1\leftarrow I_1}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_1))=1]\end{array}$$

     全概率公式

   • 构造$\mathcal{A}’$：

     • 均匀地选择$m_0\in I_0,m_1\in I_1$，输出$m_0,m_1$

     • 观察密文$c$时，调用$\mathcal{A}(1^n,c)$，$\mathcal{A}$输出0，${\mathcal{A}}^{\prime }$输出$b^{\prime }=0$；$\mathcal{A}$输出1，${\mathcal{A}}^{\prime }$输出$b^{\prime }=1$

       ${\mathcal{A}}^{\prime }$运行多项式时间，因为$\mathcal{A}$如此

       这儿$\mathcal{A}$和${\mathcal{A}}^{\prime }$输出一样只是凑巧罢了，当构造方法变成$m_0\in I_1,m_1\in I_0$时，$\mathcal{A}$和${\mathcal{A}}^{\prime }$输出就不一致了

   • 综上
     $$\begin{array}{rl}& \mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{{\mathcal{A}}^{\prime },\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)=1]\\ & =\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_b))=b]\\ & =\frac{1}{2}\cdot {\mathrm{P}\mathrm{r}}_{m_0\leftarrow I_0}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_0))=0]+\frac{1}{2}\cdot {\mathrm{P}\mathrm{r}}_{m_1\leftarrow I_1}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_1))=1]\\ & =\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=m^i]\end{array}$$

     构造方法变为$m_0\in I_1,m_1\in I_0$时，第二行就变成$\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_b))=\bar{b}]$了

   • 根据不可区分性，我们易知$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{{\mathcal{A}}^{\prime },\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)=1]\le \frac{1}{2}+\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$

     注意这儿是${\mathcal{A}}^{\prime }$

     故最后得到结论
     $$\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=m^i]\le \frac{1}{2}+\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$
     证毕

2. 定理2（3.11）

不可区分性意味着，无论发送的消息的分布如何，没有PPT攻击者可以在给定密文的情况下了解明文的任何函数（function）（可以理解成明文的任何信息）

如果有攻击者可以通过${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$计算$f(m)$，那一定存在攻击者不需要密文也能用相同概率计算出$f(m)$（仅知道$m$的分布）（感觉像一句反讽，没有密文也能算，我听出一丝讽刺）

接下来 m ∈ u n i f o r m S ⊆ { 0 , 1 } l m\in_{uniform} S\subseteq\left\{0,1\right\}^{\mathscr{l}} m∈uniform​S⊆{0,1}l（毕竟可能有些值无法取到，这个式子非常严谨）

本质上其实是定理1的一般版本，定理1中的$f(m)=明文第i个比特$

1. 阐述：

   令$(\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$为一个固定长度的私有密钥加密方案，用于长度为$l$的消息，在窃听者存在时具有不可区分的加密性，则对于任意PPT算法$\mathcal{A}$，任意 S ⊆ { 0 , 1 } l S\subseteq\left\{0,1\right\}^{\mathscr{l}} S⊆{0,1}l和任意函数 f : { 0 , 1 } l → { 0 , 1 } f:\left\{0,1\right\}^{\mathscr{l}}\rightarrow\left\{0,1\right\} f:{0,1}l→{0,1}，存在攻击者${\mathcal{A}}^{\prime }$和可忽略函数$\mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}$满足下列不等式
   $$|\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=f(m)]-\mathrm{P}\mathrm{r}[{\mathcal{A}}^{\prime }(1^n)=f(m)]|\le \mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$

   即，有没有密文一个样

   $theprobabilityistakenover:$

   1. 均匀选择的 k ∈ { 0 , 1 } n , m ∈ S k\in\left\{0,1\right\}^n,m\in S k∈{0,1}n,m∈S，$\mathcal{A}$和$\mathrm{E}\mathrm{n}\mathrm{c}$的随机性
   2. 均匀选择的$m\in S$，${\mathcal{A}}^{\prime }$的随机性

2. 证明：

   • 令$m_0=m,m_1=1^l$，由于系统满足EAV-secure，所以PPT攻击者无法分辨${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$和${\mathrm{E}\mathrm{n}\mathrm{c}}_k(1^l)$

   • 假如$\mathcal{A}$可以利用${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$和${\mathrm{E}\mathrm{n}\mathrm{c}}_k(1^l)$以不同的成功率计算$f(m)$，说明$\mathcal{A}$可以用来区分${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$和${\mathrm{E}\mathrm{n}\mathrm{c}}_k(1^l)$

   • 尝试构造区分器：调用$\mathcal{A}(1^n,c)$（$c$是$m_0,m_1$其中一个加密的结果）

     • 当$\mathcal{A}$输出$f(m)$时，区分器输出0；

     • 当$\mathcal{A}$没有输出$f(m)$时，区分器输出1

       由于两者差距明显，所以不满足定义4，所以假设不成立

       首先利用反证法（定理1中用到的），证明$\mathcal{A}$在知道密文的情况下不能推出额外信息

   • ${\mathcal{A}}^{\prime }$不接受$c={\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$，但仍然可以尝试计算$f(m)$。

     • ${\mathcal{A}}^{\prime }(1^n)$均匀选择一个密钥 k ∈ { 0 , 1 } n k\in\left\{0,1\right\}^n k∈{0,1}n

     • 计算$c\leftarrow {\mathrm{E}\mathrm{n}\mathrm{c}}_k(1^l)$，将得到的参数发送给$\mathcal{A}$

       $\mathcal{A}$可以看做是${\mathcal{A}}^{\prime }$的一个子程序，注意$c$是给$\mathcal{A}$的，没给${\mathcal{A}}^{\prime }$

     • $\mathcal{A}$输出啥，${\mathcal{A}}^{\prime }$跟着输出就行了

       $\mathcal{A}$说实话也是猜的，${\mathcal{A}}^{\prime }$跟着一起猜罢了

     从宏观来看，$\mathcal{A}$知道密文，${\mathcal{A}}^{\prime }$不知道密文

   • $\mathcal{A}$作为${\mathcal{A}}^{\prime }$子程序运行时，输出$f(m)$的概率和接收$c={\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$时输出$f(m)$的概率几乎一样，所以不等式成立

     证毕

3. 定义5（3.12）

真正语义安全的完整定义保证的属性比定理2中考虑得多得多。

比如：

1. 允许明文的长度取决于安全参数；

2. 允许明文上进行任意分布。（实际我们只允许有效的抽样分布，这意味着存在一些PPT算法Samp根据分布输出消息）

3. 考虑到了可能通过其他方式泄露给对手的任意“外部”明文信息$h(m)$(例如，一条消息可能到处乱用)。

1. 阐述：

   一个私有密钥加密方案$(\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$，如果对于每个PPT算法$\mathcal{A}$，存在一个PPT算法${\mathcal{A}}^{\prime }$，且对于任何PPT算法$\mathrm{S}\mathrm{a}\mathrm{m}\mathrm{p}$和多项式时间可计算函数$f,g$，以下式子是可以忽略的。则说明该方案在窃听者存在的情况下语义上是安全的（semantically secure in the presence of an eavesdropper）
   $$|\mathrm{P}\mathrm{r}[\mathcal{A}(1^n,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m),h(m))=f(m)]-\mathrm{P}\mathrm{r}[{\mathcal{A}}^{\prime }(1^n,|m|,h(m))=f(m)]|\le \mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$
   $theprobabilityistakenover:$

   1. 均匀选择的 k ∈ { 0 , 1 } n k\in\left\{0,1\right\}^n k∈{0,1}n，由$\mathrm{S}\mathrm{a}\mathrm{m}\mathrm{p}(1^n)$输出的$m$，$\mathcal{A}$和$\mathrm{E}\mathrm{n}\mathrm{c}$的随机性
   2. 由$\mathrm{S}\mathrm{a}\mathrm{m}\mathrm{p}(1^n)$输出的$m$，${\mathcal{A}}^{\prime }$的随机性

2. 解释：

   • $\mathcal{A}$已知${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$以及额外信息$h(m)$，尝试去猜$f(m)$的值

   • ${\mathcal{A}}^{\prime }$仅知道额外信息$h(m)$和$m$的长度，尝试去猜$f(m)$的值

     简单讲就是都掌握额外信息$h(m)$时，${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$不会透露$f(m)$的更多信息

4. 定理3（3.13）

$$\begin{gathered} Aprivate-keyencryptionschemehasindistinguishableencryptionsinthe \\ presenceofaneavesdropperifandonlyifitissemanticallysecureinthe \\ presenceofaneavesdropper. \end{gathered}$$

即，语义安全性（难点）和不可区分性（简单点）之间存在着等价关系

第11章会继续涉及

3.3 Constructing Secure Encryption Schemes

3.3.1 Pseudorandom Generators and Stream Ciphers

3.3.1.1 Pseudorandom Generators（PRGs）

1. 伪随机生成器$G$使用少量的真实随机性来产生大量的伪随机

   $G$是一种高效的、确定性的算法

2. 建议查看上一章补充的$m$序列的含义

3. 一个好的伪随机生成器（$G$）应该通过所有(有效的)统计检验，即区分器$D$无法区分PRGs的输出与均匀字符串（uniform string ）

   例如：检验是否满足上文提到的**$m$序列**的属性

4. 说任何固定字符串是“伪随机的”，是没有意义的。就像说任何固定字符串是“随机的”一样，是没有意义的。相反，伪随机性是字符串分布的一种属性。

5. 令$\mathrm{D}\mathrm{i}\mathrm{s}\mathrm{t}$表示$l$比特字符串的分布（distribution）

   例如：$p(00)=0.1,p(01)=0.1,p(10)=0.1,p(11)=0.7$

   当从$\mathrm{D}\mathrm{i}\mathrm{s}\mathrm{t}$中取的字符串无法和均匀字符串区分时，我们就说$\mathrm{D}\mathrm{i}\mathrm{s}\mathrm{t}$是伪随机的

   从实际出发，我们只需要考虑多项式时间的观察者，只要过了他们那关，伪随机字符串和真随机字符串一样好（本质上也是对真随机的一种计算松弛）

   第7章将继续提到

6. 令 G : { 0 , 1 } n → { 0 , 1 } l G:\left\{0,1\right\}^n\rightarrow \left\{0,1\right\}^{\mathscr{l}} G:{0,1}n→{0,1}l，均匀选择种子（seed） s ∈ { 0 , 1 } n s\in\left\{0,1\right\}^n s∈{0,1}n，通过选择种子获得$l$比特字符串的分布$\mathrm{D}\mathrm{i}\mathrm{s}\mathrm{t}$，输出$G(s)$

   当且仅当分布$\mathrm{D}\mathrm{i}\mathrm{s}\mathrm{t}$是伪随机时，生成器$G$才是伪随机的

3.3.1.2 定义6（3.14）

1. 阐述

$l$是一个多项式；$G$是一个确定性多项式时间算法；对于任何$n$和任何输入 s ∈ { 0 , 1 } n s\in \left\{0,1\right\}^n s∈{0,1}n，输出结果$G(s)$是长为$l(n)$的字符串；如果$G$满足下面两点，就说它是伪随机生成器：

• （扩展性：）对于任何$n$，$l(n)>n$

  必要条件，不然没有意义

• （伪随机性：）对于任何PPT算法$D$，存在一个$\text{negl}$满足下面的条件
  $$|\mathrm{P}\mathrm{r}[D(G(s))=1]-\mathrm{P}\mathrm{r}[D(r)=1]|\le \mathrm{n}\mathrm{e}\mathrm{g}\mathrm{l}(n)$$
  $theprobabilityistakenover:$

  1. 均匀选择的 s ∈ { 0 , 1 } n s\in\left\{0,1\right\}^n s∈{0,1}n，$D$的随机性
  2. 均匀选择的 r ∈ { 0 , 1 } l ( n ) r\in\left\{0,1\right\}^{\mathscr{l}(n)} r∈{0,1}l(n)，$D$的随机性

  注意$D$只是觉得输入是伪随机就输出1，但实际结果可不一定对

  将$l$称为$G$的扩展因子(expansion factor)

2. 举例

• 设$G(s)$的输出为种子后跟一个比特，该比特为${\oplus }_{i=1}^n{s}_i$，即$l(n)=n+1$

• 区分器$D$的构造为：对于一个输入$w$，当且仅当最后一位等于前面所有比特的异或(XOR)时，输出1

• 故$\mathrm{P}\mathrm{r}[D(G(s))=1]=1$，$\mathrm{P}\mathrm{r}[D(r)=1]=\frac{1}{2}$，$|1-\frac{1}{2}|$不是$\text{negl}$

• 所以$G$不是伪随机生成器

  注意$D$不是永远都是正确的

3. 几个注意要点

• PRG的输出实际上和真随机输出相差很多

  设一个$G$的输出$l(n)=2n\to$

  均匀随机分布的空间是$2^{2n}\to$

  每个可能的字符串被选择的概率正好为$2^{-2n}\to$

  但由于种子的空间是$2^n\to$

  所以$G$的输出空间最多只有$2^n\to$

  一个随机的长度为$2n$的比特串在$G$的范围中的概率最多只有$2^n/2^{2n}=2^{-n}\to$

  大部分长度为$2n$的字符串不会作为$G$的输出。

• 暴力攻击：将所有种子的输出都算出来放在一个集合$S$里，区分器查看输入$w$在不在集合$S$中，如果在，则输出1。该攻击满足：
  $$|\mathrm{P}\mathrm{r}[D(G(s))=1]-\mathrm{P}\mathrm{r}[D(r)=1]|\ge 1-2^{-n}$$

  注意该攻击成功率是非常高的，也变相说明攻击时间无限大时，区分真伪很容易

  本质精神就是：宁错杀，不放过

• 种子及其长度

  • PRG的种子类似于加密方案使用的加密密钥，必须统一选择种子，并对任何对手保密
  • 必须足够长，以致于不可能枚举所有可能的种子
  • 种子长度可由安全参数决定

• 关于PRG的存在性

  • 目前无法证明PRG的存在性，PRG难以构造

  • 可以基于较弱的假设（单向函数存在）进行构造

    第七章将继续讨论

  • PRG候选构造有流密码和分组密码

    接下来会进行讨论，其中流密码在第六章会深入讨论

3.3.1.3 流密码（Stream Ciphers）

1. 注意要点：

• 之前定义的PRG有两个限制：扩展因子$l$是固定的，生成器一次性生成它的全部输出。

• 流密码顾名思义，输出位是根据需要逐比特产生的，因此应用程序可以根据需要请求任意多的伪随机位

• 流密码具有更高的有效性（可以请求足够少的位数）和灵活性（请求位数没有限制）。

• 流密码由一对确定性算法$\text{(Init,GetBits)}$组成

  • $\mathrm{I}\mathrm{n}\mathrm{i}\mathrm{t}$：输入种子$s$和可选择的初始向量(initialization vector)$IV$，并输出一个初始状态${\text{st}}_0$

  • $\mathrm{G}\mathrm{e}\mathrm{t}\mathrm{B}\mathrm{i}\mathrm{t}\mathrm{s}$：输入状态信息${\text{st}}_i$，并输出一个比特$y$和更新后的状态${\text{st}}_{i+1}$

    实际操作中，$y$是一个包含好几个比特的比特分组

2. 算法1（3.16）

给定一个流密码和期望的扩展因子$l$，构造将长度$n$映射到$l(n)$的算法$G_l$

输入：种子$s$，可选择的初始向量$IV$

输出：$y_1,...,y_l$

流程：

st_0:=Init(s,IV)
for i=1 to l:
	(y_i,st_i):=GetBits(st_i-1)
return y_1,...,y_l

运行一次$\text{Init}$，运行$l$次$\text{GetBits}$

3.3.2 规约证明（Proofs by Reduction）

1. 基本思路

为了证明一个方案是计算安全的，我们的首先假设某个数学问题是困难的，或某个低级别的密码学原语是安全的，然后证明基于这个困难问题或密码学原语的构造是安全的。

这里的“困难”指问题X不能通过任何多项式时间算法以不是可忽略的概率被解决。

即，只要构造所依赖的问题是困难的，则给定的构造方案就是安全的。

比如RSA公钥加密算法就是建立在大数分解困难问题上。

逻辑证明的一般思路：敌手$\mathcal{A}$成功攻破构造→算法${\mathcal{A}}^{\prime }$解决困难问题

2. 形式化定义

如图：

下面解释该图

1. 指定一个有效的（概率多项式时间）敌手$\mathcal{A}$攻击$\Pi$，$\mathcal{A}$成功攻破$\Pi$的概率为$\epsilon (n)$；

2. 构造一个“规约”算法${\mathcal{A}}^{\prime }$，这个算法将$\mathcal{A}$作为子程序来解决困难问题$\text{X}$。 $\mathcal{A}’$不知道$\mathcal{A}$如何工作，只知道$\mathcal{A}$试图攻击$\Pi$，${\mathcal{A}}^{\prime }$会根据$\text{X}$的实例$\text{x}$对$\mathcal{A}$模拟出一个实例$\Pi$：

   a. $\mathcal{A}$只与$\Pi$进行交互， $\mathcal{A}$作为${\mathcal{A}}^{\prime }$子程序运行的视图(view)和$\mathcal{A}$与$\Pi$交互的视图在分布上是一样的。

   b. 如果$\mathcal{A}$成功攻破${\mathcal{A}}^{\prime }$模拟的实例$\Pi$，则${\mathcal{A}}^{\prime }$解决$\text{X}$的实例$\text{x}$的概率至少是多项式的倒数$1/p(n)$

   即概率不再negligible

3. 结合2.a和2.b，我们可以知道${\mathcal{A}}^{\prime }$解决$\text{X}$的概率为$\epsilon (n)/p(n)$，如果$\epsilon (n)$是不可忽略的，那$\epsilon (n)/p(n)$同样也是不可忽略的，这与最初的假设矛盾

   $\epsilon (n)/p(n)$怎么得出来的，参考命题1的第二条性质

4. 因此得出结论，给定一个关于$\text{X}$的假设，不存在有效的敌手能够以不可忽略的概率成功攻破$\Pi$，$\Pi$是计算安全的。

3. 强化理解

结合定理1，将角色一一对应

• 定理1的$\mathcal{A}$和${\mathcal{A}}^{\prime }$分别对应规约证明的$\mathcal{A}$和${\mathcal{A}}^{\prime }$

• $\text{X}\to$系统的不可区分性

• $\text{x}\to$猜出系统输出的密文所对应明文的第$i$个比特

• 如果$\mathcal{A}$可以攻破$\Pi$，那${\mathcal{A}}^{\prime }$可以通过调用$\mathcal{A}$来解决$\text{x}$

  $\mathcal{A}$能攻破系统就是因为$\mathcal{A}$本身也能解决$\text{x}$

• 而${\mathcal{A}}^{\prime }$如果能解决$\text{x}$，那自然也能解决$\text{X}$

理解记忆：推翻假设叫反证，构造其他叫规约

3.3.3 A Secure Fixed-Length Encryption Scheme

1. 基本思路

将one-time pad 里的真随机pad，用PRG生成的伪随机pad代替，如下图所示：

所以该方案也可以叫做 “pseudo-”one-time pad

2. 结构1（3.17）

设消息长度为$l$，$G$是一个扩展因子也为$l$的伪随机生成器

即$|G(s)|=l(|s|))$

• $\mathrm{G}\mathrm{e}\mathrm{n}$：输入$1^n$，均匀选择密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，并输出密钥$k$

• $\mathrm{E}\mathrm{n}\mathrm{c}$：输入密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，明文 m ∈ { 0 , 1 } l ( n ) m\in{\left\{0,1\right\}}^{\mathscr{l}(n)} m∈{0,1}l(n)，输出密文

  $l(n)$表示消息长度$l$由安全参数$n$决定

  $$c:=G(k)\oplus m$$

• $\mathrm{D}\mathrm{e}\mathrm{c}$：输入密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，密文 c ∈ { 0 , 1 } l ( n ) c\in{\left\{0,1\right\}}^{\mathscr{l}(n)} c∈{0,1}l(n)，输出明文
  $$m:=G(k)\oplus c$$

A private-key encryption scheme based on any pseudorandom generator.

3. 定理4（3.18）

如果$G$是一个伪随机生成器，那么结构1是一个 在窃听者存在时具有不可区分加密 的 固定长度的私有密钥加密方案（Fixed-Length Encryption Scheme）

4. 定理4的证明

思路：

证明这个定理的最关键的一点就是将窃听实验（定义3）和区分器区分实验（定义6）结合在一起从而构造关系。（虽然这两个看起来很像）

通过敌手$\mathcal{A}$构造一个区分器$D$，将 $D$区分$G$的输出与一个随机字符串的能力 直接与 $\mathcal{A}$分辨$\Pi$加密明文的能力 建立联系。即区分器将敌手$\mathcal{A}$作为自己的一个子程序来完成区分实验。

$G$的安全性隐含着的$\Pi$安全性

1. 构造区分器$D$

   输入字符串 w ∈ { 0 , 1 } l ( n ) w\in{\left\{0,1\right\}}^{\mathscr{l}(n)} w∈{0,1}l(n)

   • 运行$\mathcal{A}(1^n)$获得一对明文消息 m 0 , m 1 ∈ { 0 , 1 } l ( n ) m_0,m_1\in{\left\{0,1\right\}}^{\mathscr{l}(n)} m0​,m1​∈{0,1}l(n)
   • 均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}，令$c:=w\oplus m_b$
   • 把$c$给$\mathcal{A}$，并得到一个输出$b^{\prime }$。如果$b^{\prime }=b$，输出1；如果$b^{\prime }\ne b$，输出0

   $D$是PPT算法，因为$\mathcal{A}$也是

2. 构造真一次一密加密方案$\tilde{\Pi }=(\widetilde{\text{Gen}},\widetilde{\text{Enc}},\widetilde{\text{Dec}})$

   • 均匀选择 m , k ∈ { 0 , 1 } l ( n ) m,k\in{\left\{0,1\right\}}^{\mathscr{l}(n)} m,k∈{0,1}l(n)
   • $c:=k\oplus m$
   • $\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{eav}}(n)=1]=\frac{1}{2}$

3. 区分器就是区分以下两种情况

   • 真随机情况，即$w$从 { 0 , 1 } l ( n ) {\left\{0,1\right\}}^{\mathscr{l}(n)} {0,1}l(n)中均匀选择，则有以下等式

     这时$\mathcal{A}$作为$D$的子程序运行 等价于 $\mathcal{A}$运行在实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{eav}}(n)$中

     Pr w ← { 0 , 1 } l ( n ) [ D ( w ) = 1 ] = Pr [ P r i v K A , Π ~ eav ( n ) = 1 ] = 1 2 (1) \text{Pr}_{w\leftarrow{\left\{0,1\right\}}^{\mathscr{l}(n)}}[D(w)=1]=\text{Pr}\Big[\mathrm{PrivK}^\textsf{eav}_{\mathcal{A},\widetilde{\Pi}}(n)=1\Big]=\frac{1}{2} \tag{1} Prw←{0,1}l(n)​[D(w)=1]=Pr[PrivKA,Π eav​(n)=1]=21​(1)

   • 伪随机情况，即$w$通过均匀选择 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n来生成，即$w:=G(k)$，则有以下等式

     这时$\mathcal{A}$作为$D$的子程序运行 等价于 $\mathcal{A}$运行在实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)$中

     Pr k ← { 0 , 1 } n [ D ( G ( k ) ) = 1 ] = Pr [ P r i v K A , Π eav ( n ) = 1 ] (2) \text{Pr}_{k\leftarrow{\left\{0,1\right\}}^n}[D(G(k))=1]=\text{Pr}\Big[\mathrm{PrivK}^\textsf{eav}_{\mathcal{A},\Pi}(n)=1\Big] \tag{2} Prk←{0,1}n​[D(G(k))=1]=Pr[PrivKA,Πeav​(n)=1](2)

4. 因为$G$是伪随机生成器，所以根据定义6，可得
   ∣ Pr w ← { 0 , 1 } l ( n ) [ D ( w ) = 1 ] − Pr k ← { 0 , 1 } n [ D ( G ( k ) ) = 1 ] ∣ ≤ negl ( n ) \bigg\vert\text{Pr}_{w\leftarrow{\left\{0,1\right\}}^{\mathscr{l}(n)}}[D(w)=1]-\text{Pr}_{k\leftarrow{\left\{0,1\right\}}^n}[D(G(k))=1]\bigg\vert\leq\texttt{negl}(n) ∣∣∣∣​Prw←{0,1}l(n)​[D(w)=1]−Prk←{0,1}n​[D(G(k))=1]∣∣∣∣​≤negl(n)
   结合等式(1)(2)，可得
   $$|\frac{1}{2}-\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{eav}}(n)=1\left]\right|\le \text{negl}(n)$$
   该式等价于：
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{eav}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$
   发现该式就是定义3中的式子，所以$\mathcal{A}$是一个PPT敌手时，方案$\Pi$达到EAV-secure

   证毕

   其实这儿也用到了规约证明的思想：假设$\mathcal{A}$可以区分$G$的输出和随机均匀的字符串，那么就可以构造出一个有效的区分器$D$，这样就打破了$G$是伪随机生成器的大前提

   或者也可以这么理解，大前提不变的情况下，还能构造出这样一个$D$，打破的就是真随机比特的不可预测性了！

5 补充

1. 本章最佳：It is easy to get lost in the details of the proof (P69最后一段开头)
2. 通过计算安全的概念，我们绕过了完美加密中密钥至少和明文等长的限制，使得密码学有了更多的可能性
3. 规约证明使我们可以用较底层的密码学原语去证明较高层的密码学原语，而较底层的原语容易构造，使得其更容易移植于其它方案（模块化）

3.4 Stronger Security Notions

安全定义包含安全目标与攻击模型

接下来两个概念，一个修改现在的安全目标，一个修改现在的攻击模型

3.4.1 Security for Multiple Encryptions

之前窃听者只能得到一条消息（参考3.2.2中${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)$第3点)，现在能得到多条消息（同一密钥加密）

1. The multiple-message eavesdropping experiment${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{m}\mathrm{u}\mathrm{l}\mathrm{t}}(n)$

1. 给敌手$\mathcal{A}$输出$1^n$，其输出一对等长的消息列表($\text{lists}$)$\overrightarrow{M_0}=(m_{0,1},...,m_{0,t}),\overrightarrow{M_1}=(m_{1,1},...,m_{1,t})$，其中$|m_{0,i}|=|m_{1,i}|$
2. 运行$\text{Gen}(1^n)$生成一个密钥$k$，均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}，计算$c_i\leftarrow {\text{Enc}}_k(m_{b,i})$，并将生成的列表$\vec{C}=(c_1,...,c_t)$交给$\mathcal{A}$
3. $\mathcal{A}$输出一个比特$b^{\prime }$
4. 如果$b^{\prime }=b$，输出1；如果$b^{\prime }\ne b$，输出0

注意联系${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)$

2. 定义7（3.19）

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\text{negl}$满足下列不等式，则说明加密方案$\Pi =(\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$在存在窃听者的情况下具有不可区分的多消息加密性(indistinguishable multiple encryptions in the presence of an eavesdropper)
$$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{m}\mathrm{u}\mathrm{l}\mathrm{t}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$
$theprobabilityistakenover:$$\mathcal{A}$的随机性，实验中所用的随机性（$\mathrm{E}\mathrm{n}\mathrm{c}$）

注意联系定义3理解

定义7的强度明显比定义3要强，因为${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}(n)$更像是${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{m}\mathrm{u}\mathrm{l}\mathrm{t}}(n)$的一种特殊情况

3. 命题2（3.20）

1. 阐述：

   存在一种私有密钥加密方案，它在窃听者存在时具有不可区分的加密，但在窃听者存在时不具有不可区分的多消息加密。

2. 证明：

   一次一密(满足EAV-secure)就是个很好的例子。

   例如：令${\vec{M}}_0=(0^l,0^l),{\vec{M}}_1=(0^l,1^l)$，$\mathcal{A}$收到$\vec{C}=(c_1,c_2)$；

   ​ 当$c_1=c_2$时，$\mathcal{A}$输出0；当$c_1\ne c_2$时，$\mathcal{A}$输出1

3. 概率加密的必要性

   当加密方案是确定性的情况下，对同一消息进行多次加密(使用相同的密钥)总是会产生相同的结果，这样永远也不可能达到多加密的安全目标。所以我们必须用到概率加密。如下面定理5所述

4. 定理5（3.21）

如果$\Pi$是一个(无状态)加密方案，其中$\text{Enc}$是以密钥和消息为输入的确定性函数，那$\Pi$在窃听者存在时不具有不可区分的多消息加密。

如果方案是有状态的（stateful），那加密是确定性的倒是也可以

定义7看起来强，但是其实比定义3更贴近实际情况

3.4.2 Chosen-Plaintext Attacks and CPA-Security

1. Chosen-Plaintext Attacks

1. 攻击者让诚实的双方用密钥$k$加密$m_1,m_2,..$然后截获到加密后的密文

   可以理解为攻击者获得通信双方的一部分控制权

   这儿的$m_1,m_2,..$只是说明这是若干条消息

2. 我们希望就算敌人有上面的信息，也没办法判断新截获的未知密文（仍然是用$k$加密的）是$m_0,m_1$中哪个加密的结果

   1. 该密文解密后甚至可能会得到之前加密过的明文

   2. 这儿的$m_0和m_1$只是为了说明密文解密结果是两条消息中的一条，所以这步的$m_1$和第一步的$m_1$不一定一样

3. 选择明文攻击包括了已知明文攻击（known-plaintext attack）

4. CPA（Chosen-Plaintext Attacks）在中途岛战役中立大功

2. The CPA indistinguishability experiment ${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)$

1. 运行$\text{Gen}(1^n)$生成一个密钥$k$

2. 给敌手$\mathcal{A}$输出$1^n$和${\text{Enc}}_k(\cdot )$的预言机访问权限（oracle access），其输出一对等长的消息$m_0,m_1$

   预言机就是一个"黑盒"(black box)，你输进去一个东西，它返回给你一个东西，但你并不知道它的内部构造；就像你在和一个人交流，但你其实并不知道他的真实想法。

3. 均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}，计算$c\leftarrow {\text{Enc}}_k(m_b)$，并将计算结果交给$\mathcal{A}$

4. 敌手$\mathcal{A}$继续拥有${\text{Enc}}_k(\cdot )$的预言机访问权限，并输出比特$b^{\prime }$

   这块就是敌手获得额外信息的方式，敌手可以知道该步骤中加密过程涉及到的明密文对，但这些加密过程无法透露出上面第二步加密过程的任何信息，即使你用的密钥和明文都一样。

   这个可以帮助理解定理6（3.24）

5. 如果$b^{\prime }=b$，输出1，即$\mathcal{A}$攻击成功；如果$b^{\prime }\ne b$，输出0

本次实验使用的是加密预言机（encryption oracle），意思是它会把你输进去的东西加密并返回给你

3. 定义8（3.22）

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\text{negl}$满足下列不等式，则说明加密方案$\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},\mathsf{E}\mathsf{n}\mathsf{c},\mathsf{D}\mathsf{e}\mathsf{c})$在选择明文攻击下具有不可区分的加密性（indistinguishable encryptions under a chosen-plaintext attack，即$\text{CPA-secure}$）
$$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$
$theprobabilityistakenover:$$\mathcal{A}$的随机性，实验中所用的随机性（$\mathrm{E}\mathrm{n}\mathrm{c}$）

4. The LR-oracle experiment${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)$

这个实验是为了把CPA扩展到multiple而服务的

1. 运行$\text{Gen}(1^n)$生成一个密钥$k$

2. 均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}

3. 给敌手$\mathcal{A}$输出$1^n$和${\text{LR}}_{k,b}(\cdot ,\cdot )$的预言机权限

   ${\text{LR}}_{k,b}$叫做"left-or-right" oracle：对于$m_0,m_1$（长度相等），计算$c\leftarrow {\text{Enc}}_k(m_b)$，当$b=0$时，敌手获得“左(left)”密文的加密结果；当$b=1$时，敌手获得”右(right)“密文的加密结果。（目前为止还只是一个普通的加密预言机）

   攻击者可以连续发送请求${\text{LR}}_{k,b}(m_{0,1},m_{1,1}),...,{\text{LR}}_{k,b}(m_{0,t},m_{1,t})$（这儿的意思就是可以进行多次查询，成功将multiple encryptions引入）
   这种设计：

   进可攻：1. 结构简单（不用费劲创造俩列表了）；2. 可以将敌手（在已经获得之前查询的密文之后还能）自适应(adaptively)选择明文加密的能力建模处理

   退可守：$\mathcal{A}$想要知道${\text{Enc}}_k(m)$只需要查询${\text{LR}}_{k,b}(m,m)$（即敌手拥有加密预言机的访问权限）

   堪称完美

4. 敌手$\mathcal{A}$输出比特$b^{\prime }$

5. 如果$b^{\prime }=b$，输出1，即$\mathcal{A}$攻击成功；如果$b^{\prime }\ne b$，输出0

5. 定义9（3.23）

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\text{negl}$满足下列不等式，则说明加密方案$\Pi$在选择明文攻击下具有不可区分的多消息加密性（indistinguishable multiple encryptions under a chosen-plaintext attack，即$\text{CPA-secure for multiple encryptions}$）
$$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$

$theprobabilityistakenover:$$\mathcal{A}$的随机性，实验中所用的随机性（$\mathrm{E}\mathrm{n}\mathrm{c}$）

6. 定理6（3.24）

任何$\text{CPA-secure}$的私有密钥加密方案也是$\text{CPA-secure for multiple encryptions}$。

与命题2中窃听攻击者的情况不太一样。因此，目前针对选择明文攻击的安全性是加密方案应满足的最小安全性概念

这个看起来有点荒谬，因为弱概念和强概念等价了。

我的理解：CPA-secure本质上是隐藏某次加密的过程，就算两次加密过程用到的明文密钥都一样，但结果却可能不一样，既然每次加密的过程都能被隐藏，那么隐藏多条和隐藏一条也就没区别了。放到${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)$中理解，单个${\text{LR}}_{k,b}(m_{0,i},m_{1,i}),i\in [0,t]$啥也泄露不了，那所有加起来自然也就啥都泄露不了（0+0+…+0=0）

公钥设置的类似结果在11.2.2中得到了证明。

7. 固定（fixed）vs. 任意（arbitrary）

CPA安全的另一个优势是使得满足CPA安全的定长加密方案不失一般性（可处理任意长消息）。通过对消息进行分割（应该还有填充）后分别加密，根据定理6，可实现满足CPA安全的任意长加密方案，如下：
$${\mathrm{E}\mathrm{n}\mathrm{c}}_k^{\prime }(m)={\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_1),...,{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_l)$$

后文还有详述

3.5 Constructing CPA-Secure Encryption Schemes

逻辑和3.3有点像哦（光看标题）

3.5.1 Pseudorandom Functions and Block Ciphers

3.5.1.1 Pseudorandom Functions（PRFs）

很多情况下与哈希函数概念混用

1. 基本信息

1. 不再像PRG一样考虑一个“看起来随机（random-looking）”的字符串（string），而是开始考虑一个“random-looking”的函数（function）

   function：一种映射关系，如图：

   

   string是单个$m_i$到$c_j$的“桥”，可以理解成一个箭头

   function是所有$m_i$到$c_j$的“桥”，可以理解成所有箭头组成的集合

2. 说任何固定函数是“伪随机的”，是没有意义的。就像说任何固定函数是“随机的”一样，是没有意义的。因此，我们必须转而提及函数分布的伪随机性。这种分布是通过考虑keyed function(见下)自然产生的。

   和PRG定义类似（详见3.3.1.1第4点）

2. keyed function $F$（密钥函数）

我个人也倾向于叫键控函数

书上叫做带密钥的函数

1. F : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ F:\left\{0,1\right\}^*\times\left\{0,1\right\}^*\rightarrow\left\{0,1\right\}^* F:{0,1}∗×{0,1}∗→{0,1}∗（二输出），即$F(k,x)$

   $F$是个PPT算法（efficient），$k$和$x$是给定的两个输入

2. 密钥$k$通常是固定的，故通常使用 F k : { 0 , 1 } ∗ → { 0 , 1 } ∗ F_k:\left\{0,1\right\}^*\rightarrow\left\{0,1\right\}^* Fk​:{0,1}∗→{0,1}∗（单输入），即$F_k(x)=F(k,x)$

3. k ∈ { 0 , 1 } l k e y ( n ) , x ∈ { 0 , 1 } l i n ( n ) , F k ∈ { 0 , 1 } l o u t ( n ) k\in\left\{0,1\right\}^{\mathscr{l}_{key}(n)},x\in\left\{0,1\right\}^{\mathscr{l}_{in}(n)},F_k\in\left\{0,1\right\}^{\mathscr{l}_{out}(n)} k∈{0,1}lkey​(n),x∈{0,1}lin​(n),Fk​∈{0,1}lout​(n)

   除非特殊规定，我们假设$F$是保长的(length-preserving)

   即，$l_{key}(n)=l_{in}(n)=l_{out}(n)=n$

   $n$为安全参数，$l_{xxx}(n)$表示该长度由$n$确定

4. 当 k ∈ { 0 , 1 } n k\in\left\{0,1\right\}^n k∈{0,1}n时，我们得到的函数$F_k$就是一个 从$n$比特字符串到$n$比特字符串 的映射关系

5. 当PPT攻击者$\mathcal{A}$无法区分函数$F_k$（$k$均匀选择）和真随机函数$f$（$f$ is chosen uniformly from the set of all functions mapping $n$-bit inputs to $n$-bit outputs）的话，就说$F$是伪随机的

   和PRG定义类似（详见3.3.1.1第5点）

   接下来说的就是取$f$的那个集合(set)

3. ${\text{Func}}_n$

1. 每个$f$可以看做是一个关于$x$的查找表（look-up table），每个$f(x)$都有$2^n$行（row），因为它的定义域和值域都是 { 0 , 1 } n \left\{0,1\right\}^n {0,1}n

   如下表，以$n=3,f(x)=x+1mod8$为例：

   $f(x)$共有$2^3=8$项

   $x$	$f(x)$
   000	001
   001	010
   010	011
   011	100
   100	101
   101	110
   110	111
   111	000

2. 把$f(x)$的所有项写成一行，由于每项长度为$n$，所以一共长为$n\cdot 2^n$。这么一行代表的就是一个映射关系$f$

   注意由于暗示$x$是从小到大排列的，所以仅有$f(x)$的值也可以表示映射关系

3. 由于每个代表$f$的字符串长度为$n\cdot 2^n$，所以$|{\text{Func}}_n|=2^{n\cdot 2^n}$

   以$n=2$为例，$|{\text{Func}}_2|=2^{2\cdot 2^2}=2^8=256$，枚举如下：

   

   随便拿一个举例，例如10100010,它表达的映射关系为：

   $00\to 10,01\to 10,10\to 00,11\to 10$，如下图

   

3.5.1.2 定义10（3.25）

令 F : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ F:\left\{0,1\right\}^*\times\left\{0,1\right\}^*\rightarrow\left\{0,1\right\}^* F:{0,1}∗×{0,1}∗→{0,1}∗为一个有效的(efficient)，保长的(length-preserving)带密钥函数(keyed function)。如果对于所有的PPT区分器$D$都有一个可忽略函数$\text{negl}$满足下列不等式，则称$F$为伪随机函数($\text{pseudorandom function}$)：
$$|\mathrm{P}\mathrm{r}[D^{F_k(\cdot )}(1^n)=1]-\mathrm{P}\mathrm{r}[D^{f(\cdot )}(1^n)=1]|\le \text{negl}(n)$$
$theprobabilityistakenover:$

1. 均匀选择的 k ∈ { 0 , 1 } n k\in\left\{0,1\right\}^n k∈{0,1}n，$D$的随机性
2. 均匀选择的$f\in {\text{Func}}_n$，$D$的随机性

注意和定义6联系并区别不同

1. 每个$f$（即查找表）已经是指数长度(exponential length)$n\cdot 2^n$了，而区分器$D$只是PPT算法。如果想用定义6的方式的话，得先把$f$输进去，但是现在连输入都输入不完了（因为是指数长度），更别提输出（或者判断）了。

   也就是按照定义6这个区分器根本就建立不起来，所以被迫采用定义10预言机的形式

2. 该定义给了$D$预言机$\mathcal{O}$（等于$F_k$和$f$中的一个）的访问权限，类似于实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)$中的预言机，但不同的是这里的预言机执行的是确定性函数（输入一旦固定，输出也固定）

3. 攻击者依然可以根据所有以前的输出自适应地在多项式时间内选择查询

3.5.1.3 Pseudorandom Permutations/Block Ciphers

1. 令${\text{Perm}}_n$为 { 0 , 1 } n \left\{0,1\right\}^n {0,1}n上所有排列(Permutation)（即双射(bijection)；其实就是加了一个限制：不同的输入必须对应不同的输出）的集合。所以${\text{Perm}}_n$的大小为$(2^n)!$

   $\left|{\text{Perm}}_n\right|=(2^n)!\cdot n$

   ${\text{Perm}}_n\subseteq {\text{Func}}_n$

2. 如果$l_{in}=l_{out}$，且对于所有 k ∈ { 0 , 1 } l k e y ( n ) k\in\left\{0,1\right\}^{\mathscr{l}_{key}(n)} k∈{0,1}lkey​(n)，函数 F k : { 0 , 1 } l i n ( n ) → { 0 , 1 } l o u t ( n ) F_k:\left\{0,1\right\}^{\mathscr{l}_{in}(n)}\rightarrow\left\{0,1\right\}^{\mathscr{l}_{out}(n)} Fk​:{0,1}lin​(n)→{0,1}lout​(n)是一个排列，那我们将$F$叫做带密钥的排列(keyed permutation)，$l_{in}$叫做$F$的分组长度(block length)；如果$l_{in}(n)=l_{out}(n)=n$（即默认情况），那我们就称$F$是保长的(length-preserving)

   把block length叫做块长度当然也可以

3. $F$有效(efficient)条件：在给定$k$的条件下，$F_K$是有效可计算（即$F_k(x)$）且有效可逆（即$F_k^{-1}(y)$）的。

4. 当区分器无法区分$F_k$与均匀排列时，我们就将$F$称为伪随机排列(pseudorandom permutation)，详见定义11

3.5.1.4 命题3（3.27）

如果$F$是一个伪随机排列，且$l_{in}(n)\ge n$，则$F$也是一个伪随机函数

现实应用中除了$F_k$我们也会经常用到$F_k^{-1}$，所以伪随机排列更贴近于实际应用

3.5.1.5 定义11（3.28）

类似于定义10，只是将均匀函数变为了均匀排列，并额外考虑了逆排列

令 F : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ F:\left\{0,1\right\}^*\times\left\{0,1\right\}^*\rightarrow\left\{0,1\right\}^* F:{0,1}∗×{0,1}∗→{0,1}∗为一个有效的(efficient)，保长的(length-preserving)带密钥排列(keyed permutation)。如果对于所有的PPT区分器$D$都有一个可忽略函数$\text{negl}$满足下列不等式，则称$F$为强伪随机排列($\text{strong pseudorandom permutation}$)
$$|\mathrm{P}\mathrm{r}[D^{F_k(\cdot ),F_k^{-1}(\cdot )}(1^n)=1]-\mathrm{P}\mathrm{r}[D^{f(\cdot ),f^{-1}(\cdot )}(1^n)=1]|\le \text{negl}(n)$$
$theprobabilityistakenover:$

1. 均匀选择的 k ∈ { 0 , 1 } n k\in\left\{0,1\right\}^n k∈{0,1}n，$D$的随机性
2. 均匀选择的$f\in {\text{Perm}}_n$，$D$的随机性

因为额外给了逆排列的预言机访问权限，所以才strong

事实上，当分组长度足够长时，随机排列本身与随机函数是无法区分的，除非函数发生碰撞（即$f(x)=f(y)$），但几率很低，详见3.5.1.8第三点

3.5.1.6 PRFs and PRGs

1. $F\to G:$如下例

   $G(s)\stackrel{\text{def}}{=}{F}_s(1)||F_s(2)||\cdot \cdot \cdot ||F_s(l)$

   $F$是伪随机，则$G$也是伪随机；$F$是真随机，则$G$也是真随机；

   现在PRG更多基于某些被推测为困难的数学问题来构建

2. $G\to F:$

   伪随机生成器$G$可视为有着很小分组长度的伪随机函数$F$

   • 设$G$的扩展因子为$n\cdot 2^{t(n)}$

   • 根据$G$定义 F : { 0 , 1 } n × { 0 , 1 } t ( n ) → { 0 , 1 } n F:\left\{0,1\right\}^n\times\left\{0,1\right\}^{t(n)}\rightarrow\left\{0,1\right\}^n F:{0,1}n×{0,1}t(n)→{0,1}n

     即，该查找表有$2^{t(n)}$行，每行包含$n$比特

   • $F_k(i)$即为第$i$行对应的值

   • 仅当$t(n)=\mathcal{O}(\text{log}n)$时，上面的方案才有实现可能

   生成长分组长度的方案见本书7.5节

   $\mathcal{O}(\cdot )$的含义见下文3.5.1.8补充第二点

3.5.1.7 结构2（3.29）

该结构构造了从任意一个伪随机函数/分组密码得到流密码的方式

借鉴了上面$F\to G$的方法

令$F$为一个伪随机函数，流密码$\text{(Init,GetBits)}$定义如下：

$\text{GetBits}$每次输出$n$比特

• $\text{Init}$：输入 s ∈ { 0 , 1 } n s\in\left\{0,1\right\}^n s∈{0,1}n和 I V ∈ { 0 , 1 } n IV\in\left\{0,1\right\}^n IV∈{0,1}n，令${\text{st}}_0:=(s,IV)$
• $\text{GetBits}$：输入${\text{st}}_i:=(s,IV)$，计算$I{V}^{\prime }:=IV+1$，令$y:=F_s(I{V}^{\prime }),{\text{st}}_{i+1}:=(s,I{V}^{\prime })$。输出$(y,{\text{st}}_{i+1})$

尽管可以从分组密码构造流密码，但考虑到开销等问题，实际操作中最好使用专用的流密码。

出于理解性和安全性，能使用分组密码就不要用流密码

3.5.1.8 补充

1. 在实践中，分组密码(block ciphers)被设计为具有固定密钥长度和分组长度的(强)伪随机排列的安全实例

   第6章将继续提到

2. 计算复杂度常用的符号

   

3. “生日”问题（The “Birthday” Problem）

   证明过程省略

   • 固定一个正整数$N$，设$q$个元素$y_1,...,y_q$是从大小为$N$的集合中均匀独立随机选择出来的，则发生碰撞（即当$i\ne j$时，$y_i=y_j$）的概率最大为$\frac{q^2}{2N}$，即
     $$\text{coll}(q,N)\le \frac{q^2}{2N}$$

   • 固定一个正整数$N$，设$q(q\le \sqrt{2N})$个元素$y_1,...,y_q$是从大小为$N$的集合中均匀独立随机选择出来的，则发生碰撞（即当$i\ne j$时，$y_i=y_j$）的概率至少为$\frac{q(q-1)}{4N}$，即
     $$\text{coll}(q,N)\ge 1-e^{-q(q-1)/2N}\ge \frac{q(q-1)}{4N}$$

     当$0\le x\le 1$，时，该不等式成立：

     $e-x\le 1-(1-\frac{1}{e})\cdot x\le 1-\frac{x}{2}$

3.5.2 CPA-Secure Encryption from Pseudorandom Functions

和3.3.3非常非常像哦

1. 基本思路

将伪随机函数应用于随机字符串，故该结构是随机化的(randomized)

不引入随机字符串$r$无法达到CPA-secure

与之前不同的地方在于，该结构每次加密都是用新鲜的(fresh)伪随机pad

2. 结构3（3.30）

我们首先考虑定长的方案，毕竟从定长到任意长的扩展很简单，3.4.2的第7点和3.6都有涉及

令$F$为伪随机函数，消息长度为$n$的私有密钥加密方案定义如下：

• $\text{Gen}$：输入$1^n$，均匀选择密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，并输出密钥$k$

• $\text{Enc}$：输入密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，明文 m ∈ { 0 , 1 } n m\in{\left\{0,1\right\}^n} m∈{0,1}n，均匀选择 r ∈ { 0 , 1 } n r\in{\left\{0,1\right\}}^n r∈{0,1}n，输出密文：

  $$c:=⟨r,F_k(r)\oplus m⟩$$

• $\text{Dec}$：输入密钥 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，密文$c=⟨r,s⟩$，输出明文
  $$m:=F_k(r)\oplus c$$

A CPA-secure encryption scheme from any pseudorandom function.

3. Proofs of security based on pseudorandom functions通用模板

这个证明模板下章也会用到好几次

1. 首先考虑构造一个假设版本：用真随机函数代替伪随机函数产生一个新方案。

2. 然后利用规约证明说明这种修改不影响攻击者的成功概率。

3. 最后分析这个更新过的方案的安全性，其余的证明通常依赖于概率分析，而不依赖于任何计算假设。

上述是英文版教材给出的方法，这里也给出第一版教材说法

1. 考虑假设这样的方案：用随机函数代替原来方案中伪随机函数的位置，同时从概率学的角度分析它的安全性

2. 证明上述方案安全后，假设当使用伪随机函数时，该方案不安全（即反证法）。该方法一旦成立，说明随机函数和伪随机函数可以被区分，即困难问题被解决，这不可能。因此，假设错误，即使用伪随机函数的方案是安全的

4. 定理7（3.31）

$$\begin{gathered} IfFisapseudorandomfunction,thenConstruction3(3.30)isaCPA-secure \\ private-keyencryptionschemeformessagesoflengthn. \end{gathered}$$

5. 定理7的证明

1. 将结构3中的伪随机函数$F_k$换为真随机函数$f$，构造出真随机加密方案$\tilde{\Pi }=(\widetilde{\text{Gen}},\widetilde{\text{Enc}},\widetilde{\text{Dec}})$

   • $\widetilde{\text{Gen}}:$均匀选择$f\in {\text{Func}}_n$
   • $\widetilde{\text{Enc}},\widetilde{\text{Dec}}:$仅将$\text{Enc},\text{Dec}$中的$F_k$换为$f$

   该方案并不是一个有效方案，因为${\text{Func}}_n$和$f$都是指数长度，但并不妨碍我们用它来辅助证明

2. 固定一个PPT敌手$\mathcal{A}$，$q(n)$为$\mathcal{A}(1^n)$向加密预言机请求查询数量的上界(upper bound)，存在$\text{negl}(n)$满足下列不等式是我们的证明目标

   注意$q$肯定是某个多项式的上界

   $$\left|\text{Pr}\right[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]-\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\left]\right|\le \text{negl}(n)\text{\hspace{1em}(1)}$$

3. 构造区分器$D$

   用$\mathcal{A}$构造$D$，$D$可以访问预言机$\mathcal{O}$来判断函数是真随机函数还是伪随机函数。 $D$为$\mathcal{A}$模拟实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}^{\text{cpa}}$，若$\mathcal{A}$成功则$D$判断预言机是伪随机函数；若$\mathcal{A}$失败则判断预言机是随机函数。

   给$D$的输入为$1^n$，以及预言机 O : { 0 , 1 } n → { 0 , 1 } n \mathcal{O}:{\left\{0,1\right\}}^n\rightarrow{\left\{0,1\right\}}^n O:{0,1}n→{0,1}n的访问权限

   • 运行$\mathcal{A}(1^n)$，当$\mathcal{A}$用信息 m ∈ { 0 , 1 } n m\in{\left\{0,1\right\}}^n m∈{0,1}n查询加密预言机时，预言机用以下方式答复
     • 均匀选择 r ∈ { 0 , 1 } n r\in{\left\{0,1\right\}}^n r∈{0,1}n
     • 查询$\mathcal{O}(r)$得到回复$y$
     • 给$\mathcal{A}$返回密文$⟨r,y\oplus m⟩$
   • 当$\mathcal{A}$输出信息 m 0 , m 1 ∈ { 0 , 1 } n m_0,m_1\in{\left\{0,1\right\}}^n m0​,m1​∈{0,1}n时，均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}
     • 均匀选择 r ∈ { 0 , 1 } n r\in{\left\{0,1\right\}}^n r∈{0,1}n
     • 查询$\mathcal{O}(r)$得到回复$y$
     • 给$\mathcal{A}$返回挑战密文$⟨r,y\oplus m_b⟩$
   • 继续回复$\mathcal{A}$的加密预言机查询直到$\mathcal{A}$输出比特$b^{\prime }$。$b=b^{\prime }$时，输出1；$b\ne b^{\prime }$时，输出0

   相当于描述了一下：在归约证明中 敌手A’如何模拟输入环境给A

   困难问题：伪随机函数和真随机函数的不可区分性

4. 区分器就是区分以下两种情况

   • 伪随机情况，即均匀选择 k ∈ { 0 , 1 } n k\in{\left\{0,1\right\}}^n k∈{0,1}n，则有以下等式：

     这时$\mathcal{A}$作为$D$的子程序运行 等价于 $\mathcal{A}$运行在实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)$中

     Pr k ← { 0 , 1 } n [ D F k ( ⋅ ) ( 1 n ) = 1 ] = Pr [ P r i v K A , Π cpa ( n ) = 1 ] (2) \text{Pr}_{k\leftarrow{\left\{0,1\right\}}^n}\Big[D^{F_k(\cdot)}(1^n)=1\Big]=\text{Pr}\Big[\mathrm{PrivK}^\textsf{cpa}_{\mathcal{A},\Pi}(n)=1\Big] \tag{2} Prk←{0,1}n​[DFk​(⋅)(1n)=1]=Pr[PrivKA,Πcpa​(n)=1](2)

   • 真随机情况，即$f$从${\text{Func}}_n$中均匀选择，则有以下等式：

     这时$\mathcal{A}$作为$D$的子程序运行 等价于 $\mathcal{A}$运行在实验${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)$中

     $${\text{Pr}}_{f\leftarrow {\text{Func}}_n}[D^{f(\cdot )}(1^n)=1]=\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1]\text{\hspace{1em}(3)}$$

5. 如果$F$是伪随机函数，则存在$\text{negl}$满足以下等式
   $$\left|\text{Pr}\right[D^{F_k(\cdot )}(1^n)=1]-\text{Pr}[D^{f(\cdot )}(1^n)=1\left]\right|\le \text{negl}(n)\text{\hspace{1em}(4)}$$
   结合式子(2)(3)(4)，可以得到等式(1)

   到目前为止，将上面通用模板的第一部分（1,2点）证明完毕，接下来证明第二部分（第3点）

6. 接下来我们要证明的是该不等式
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1]\le \frac{1}{2}+\frac{q(n)}{2^n}\text{\hspace{1em}(5)}$$

   $q(n)$是$\mathcal{A}$向加密预言机查询次数的上界

   因为$\tilde{\Pi }$是真随机系统，所以这个不等式对于没有计算限制的$\mathcal{A}$来说也是成立的

7. 设$r^{\ast }$为生成挑战密文时用到的随机数，即，挑战密文为$⟨r^{\ast },f(r^{\ast })\oplus m_b⟩$，故有以下两种可能：

   • $r^{\ast }$在之前的查询中从未被使用

     即$\mathcal{A}$无法从$f(r^{\ast })$中得到任何信息（毕竟是真随机），因此$\mathcal{A}$输出$b^{\prime }=b$的概率恰好是$\frac{1}{2}$

     本质上就是一次一密

   • $r^{\ast }$在之前的查询中至少被使用过一次

     这种情况$\mathcal{A}$很容易就可以区别出$m_0,m_1$，但是由于计算能力有限，最多查询$q(n)$次，所以这种情况出现的概率最多为$\frac{q(n)}{2^n}$

8. 设$\text{Repeat}$为事件：$r^{\ast }$在$\mathcal{A}$的查询中出现过至少一次。即，$\text{Pr}[\text{Repeat}]$最大为$\frac{q(n)}{2^n}$，故有：
   $$\begin{array}{rl}\text{Pr}[\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}& {}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1]\\ & =\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\wedge \text{Repeat}]+\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\wedge \overline{\text{Repeat}}]\\ & \le \text{Pr}[\text{Repeat}]+\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1|\overline{\text{Repeat}}]\le \frac{q(n)}{2^n}+\frac{1}{2}\end{array}$$

   “$=$”：全概率公式

   “$\le$”：条件概率

   $\mathrm{P}\mathrm{r}[E_1|E_2]\stackrel{\text{def}}{=}\frac{\mathrm{P}\mathrm{r}[\mathrm{E}1\wedge {\mathrm{E}}_2]}{\mathrm{P}\mathrm{r}[{\mathrm{E}}_2]}(0<\mathrm{P}\mathrm{r}[{\mathrm{E}}_2]\le 1)$

   等式(5)得证

9. 结合等式(1)(5)，可得：
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]\le \frac{q(n)}{2^n}+\frac{1}{2}+\text{negl}(n)$$
   且$\frac{q(n)}{2^n}$是可忽略函数，所以结合命题1的闭包特性，可得
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]\le \frac{1}{2}+{\text{negl}}^{\prime }(n)$$

证毕（好长！！！）

3.6 Modes of Operation

操作模式提供了一种使用流密码或分组密码安全有效地加密长消息的方法

3.6.1 Stream-Cipher Modes of Operation

流密码可看作更加灵活的伪随机生成器，相比于结构1，其输出长度不再固定（所以不要事先确定），而且满足CPA-secure

1. Synchronized mode

1. 同步模式通常用于双方之间的单个通信会话(session)。

   详见4.5.3

2. 在这种模式下，有状态性(statefulness)是可以接受的，消息按顺序接收而不会丢失。直观做法是生成一个长的伪随机流，并使用其中的不同部分对每个消息进行加密。需要同步来确保正确的解密，并确保流的任何部分都没有被重复使用。

3. 构造：

   算法1+构造1+一点点修改

   • 将**算法1(3.16)**修改为$G_{\infty }(s,1^l)$：

     即先运行$\text{Init}(s)$，然后重复运行$\text{GetBits}$ $l$次产生一个长度为$l$的输出

     注意没有使用初始向量$IV$

   • 将$G_{\infty }$应用于结构1(3.17)：

     • $c:=G_{\infty }(k,1^{|m|})$
     • $m:=G_{\infty }(k,1^{|c|})$

     目前已经达到了处理任意长度明文和EAV-secure的要求了

   • 如上图，通信双方保持状态，维持会话，则可用相同密钥加密多条消息

     说是多条消息，其实就是把多条消息$m_1,m_2,...$（长度依次是$l_1,l_2,...$）看做一条很长的消息

     • ${\text{st}}_0:=\text{Init}(k)$
     • 从${\text{st}}_0$开始，重复运行$\text{GetBits}$ $l_1$次产生${\text{pad}}_1\stackrel{\text{def}}{=}{y}_1,...y_{l_1}$，并更新状态${\text{st}}_{l_1}$；$c_1:={\text{pad}}_1\oplus m_1$
     • 从${\text{st}}_{l_1}$开始，重复运行$\text{GetBits}$ $l_2$次产生${\text{pad}}_2\stackrel{\text{def}}{=}{y}_1,...y_{l_2}$，并更新状态${\text{st}}_{l_2}$；$c_2:={\text{pad}}_2\oplus m_2$
     • 重复以上步骤

4. 同步模式需要通信双方保持同步状态，否则会导致解密错误，不适用于零散的通信和使用不同的设备进行通信。重新同步会增加额外开销

2. Unsynchronized mode

注意和同步模式联系与区别

1. 异步模式的$\text{Init}$将$IV$作为输入，可实现**无状态的(stateless)**任意长消息加密方案

2. 构造：

   算法1+构造3+一点点修改

   • 将**算法1(3.16)**修改为$G_{\infty }(s,IV,1^l)$：

     即先运行${\text{st}}_0:=\text{Init}(s,IV)$，然后重复运行$\text{GetBits}$ $l$次产生一个长度为$l$的输出

     注意使用了初始向量(initialization vector)$IV$

   • 如上图，将$G_{\infty }$应用于结构3(3.30)：

     • 均匀选择 I V i ∈ { 0 , 1 } n IV_i\in\left\{0,1\right\}^n IVi​∈{0,1}n
     • $c_i:=⟨I{V}_i,G_{\infty }(k,I{V}_i,1^{|m_i|})\oplus m_i⟩$
     • $m_i:=G_{\infty }(k,I{V}_i,1^{|c_i|})\oplus c_i$

3. 如果对于任意多项式$l$，满足$F_k(IV)\stackrel{\text{def}}{=}{G}_{\infty }(s,IV,1^l)$是伪随机函数时，该方案是CPA-secure的

   事实上，$F$只需要在随机输入条件下满足伪随机就行。满足这个更弱性质的带密钥函数称为**弱(weak)**伪随机函数。

4. 致命缺点：结构3和上述修改结构3后生成方案，其密文长度是明文长度的二倍，极大影响了效率

3.6.2 Block-Cipher Modes of Operation

令$F$为分组长度为$n$的分组密码，假设所有的消息$m$都是$n$的倍数，即：

m = m 1 , m 2 , . . . m l ,     m i ∈ { 0 , 1 } n m=m_1,m_2,...m_{\mathscr{l}},\ \ \ m_i\in\left\{0,1\right\}^n m=m1​,m2​,...ml​,   mi​∈{0,1}n

不够可以填充嘛

1. Electronic Code Book (ECB) mode

1. 图示：

   

2. $c:=⟨F_k(m_1),F_k(m_2),...,F_k(m_l)$

   故该模式要求$F_k^{-1}$是有效可计算的

3. 分析与扩展

   • 不安全，不满足CPA-secure，甚至不满足EAV-secure

     相当于一次一密

   • 示例：

     图1：原图；图2：ECB加密后的图；图3：安全模式加密后的图

     

   • 现在已经不再使用

     课本上说可以加密短数据（e.g.:一个密钥），emmmm，多少有点道理

2. Cipher Block Chaining (CBC) mode

1. 图示：

2. • 首先均匀选择初始向量 I V ∈ { 0 , 1 } n IV\in\left\{0,1\right\}^n IV∈{0,1}n，$c_0:=IV$
   • $c=⟨c_0,c_1,...m{c}_l⟩,c_i:=F_k(c_{i-1}\oplus m_i)i\in [1,l]$
   • $m_i:=F_k^{-1}(c_i)\oplus c_{i-1}i\in [1,l]$

   注意初始向量$IV$也是密文的一部分

   该模式也要求$F_k^{-1}$是有效可计算的

3. 分析与扩展

   • 优：CBC模式是CPA-secure（前提是$F$为伪随机排列）

     缺：加密必须按顺序进行，并不适合并行操作

   • $IV$每次选择必须是随机的，而不仅仅是不同的。例如每次加密$IV$都加一，这样构造出的方案是不安全的

   • Chained CBC mode

     

     $m_1,m_2,m_3$是第一条消息，$m_4,m_5$是第二条消息

     这个是有状态的CBC模式变体，看起来也是CPA-secure的，其！实！不！是！

   • 针对Chained CBC mode的攻击

     • $m_1\in \left\{m_0^1,m_1^1\right\}$，收到密文$IV,c_1,c_2,c_3$
     • 构造明文$m_4=IV\oplus m_1^0\oplus c_3$，收到密文$c_4,c_5$
     • 当且仅当$c_4=c_1$时，$m_1=m_1^0$

     这个故事告诉我们，戏说不是胡说，改编不是乱编

3. Output Feedback (OFB) mode

1. 图示：

   

2. • 首先均匀选择初始向量 I V ∈ { 0 , 1 } n IV\in\left\{0,1\right\}^n IV∈{0,1}n，$y_0:=IV$

   • $y_i:=F_k(y_{i-1})$

   • $c_i:=y_i\oplus m_i$

   注意和CBC一样，初始向量$IV$也是密文的一部分

   因为$m$不经过$F_k$，所以不需要$F_k$一定可逆（即$F_k$甚至不需要是一个排列）

3. 分析与扩展

   • 该模式是CPA-secure（前提是$F$为伪随机函数）

   • 虽然加解密仍然需要按顺序进行，但是由于大量的计算(即伪随机流的生成)可以独立于要加密的实际消息进行。因此，可以使用预处理提前生成伪随机流

     以上两点注意和CBC联系

   • 该模式更像一个异步流密码模式

   • 该模式明文可以不必是分组长度的倍数，因为生成的流可以截断

   • 该模式的有状态变体（即，最后生成的$y_l$当做下一条消息加密用到的$IV$）也是安全的

     和CBC不一样

     这个变体等价于同步流密码模式

   • 课本上的另外一个变体，我觉得也很有意思（课本将$F_k$直接用DES代替了）

     

4. Counter (CTR) mode

1. 图示：

   

2. • 首先均匀选择 ctr ∈ { 0 , 1 } n \textsf{ctr}\in\left\{0,1\right\}^n ctr∈{0,1}n

   • 生成伪随机流$y_i:=F_k(\text{ctr+i})$

     此处加法是模运算

   • $c_i:=y_i\oplus m_i$

     初始值$\text{ctr}$也是密文的一部分

     不需要$F_k$一定可逆（即$F_k$甚至不需要是一个排列）

3. 分析与扩展

   注意和OFB模式联系

   • 该模式也像一个异步流密码模式

     与结构2类似，流密码由分组密码构造而来

   • 该模式明文可以不必是分组长度的倍数，因为生成的流可以截断

   • 该模式的有状态变体也是安全的

   • 与前面讨论的所有安全模式相比，CTR模式的优点是加密和解密可以完全并行(parallelize)，因为所有的伪随机流块都可以彼此独立地计算。而且，可以只单独计算其中一个分组的加解密！！

     斗宗强者，恐怖如斯

5. Cipher FeedBack (CFB) mode

上课教材的东西，仅拿来补充

3.6.3 定理8（3.32）

和定理7非常类似

1. 阐述

如果$F$伪随机函数，CTR模式是CPA-secure

2. 证明

沿用定理7的证明模板

​ 证明模板第一部分：

1. 将CTR模式中的伪随机函数$F_k$换为真随机函数$f$，构造出真随机加密方案$\tilde{\Pi }=(\widetilde{\text{Gen}},\widetilde{\text{Enc}},\widetilde{\text{Dec}})$

   • $\widetilde{\text{Gen}}:$均匀选择$f\in {\text{Func}}_n$
   • $\widetilde{\text{Enc}},\widetilde{\text{Dec}}:$仅将$\text{Enc},\text{Dec}$中的$F_k$换为$f$

   $\widetilde{\text{Enc}},\widetilde{\text{Dec}}$都不是有效算法，但并不影响我们的证明目的

2. 固定一个PPT敌手$\mathcal{A}$，$q(n)$为$\mathcal{A}(1^n)$向加密预言机请求查询数量的上界(upper bound)，存在$\text{negl}(n)$满足下列不等式是我们的证明目标
   $$\left|\text{Pr}\right[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]-\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\left]\right|\le \text{negl}(n)\text{\hspace{1em}(1)}$$
   结合定理7非常非常容易证明

   证明模板第二部分：

3. 接下来我们要证明的是该不等式
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1]<\frac{1}{2}+\frac{2q(n{)}^2}{2^n}\text{\hspace{1em}(2)}$$
   结合式子(1)(2)，可得：
   $$\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi (n)}^{\text{cpa}}=1]<\frac{1}{2}+\frac{2q(n{)}^2}{2^n}+\text{negl}(n)$$
   因为$q$是多项式，所以$\frac{2q(n{)}^2}{2^n}$是可忽略函数，即上式是我们终极证明目标

4. $l^{\ast }(\le q(n))$表示$\mathcal{A}$在${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)$中输出明文消息$m_0$和$m_1$的长度（按分组算，即有几组）。${\text{ctr}}^{\ast }$表示生成挑战密文时所用的初始值，即$f$被应用在${\text{ctr}}^{\ast }+1,...,{\text{ctr}}^{\ast }+l^{\ast }$，

   第$j$个分组加密方法：$m_j\oplus f({\text{ctr}}^{\ast }+j)$

   注意这儿的$m_j$是明文的第$j$个分组！！不是第$j$个明文！！

   $l_i(\le q(n))$表示$\mathcal{A}$的第$i$次查询中明文消息$m$的长度（按分组算，即有几组）;${\text{ctr}}_i$表示该次查询所用的初始值，即$f$被应用在${\text{ctr}}_i+1,...,{\text{ctr}}_i+l_i$

5. 故有以下两种可能：

   • 不存在任何$i,j,j^{\ast }\ge 1(j\le l_i,j^{\ast }\le l^{\ast })$，可以令${\text{ctr}}_i+j={\text{ctr}}^{\ast }+j^{\ast }$

     即，${\text{ctr}}^{\ast }+1,...,{\text{ctr}}^{\ast }+l^{\ast }$在之前的查询中从未被使用

     $\mathcal{A}$无法从$f({\text{ctr}}^{\ast }+1),...,f({\text{ctr}}^{\ast }+l^{\ast })$中得到任何信息（毕竟是真随机），因此$\mathcal{A}$输出$b^{\prime }=b$的概率恰好是$\frac{1}{2}$

     本质上就是一次一密

   • 存在$i,j,j^{\ast }\ge 1(j\le l_i,j^{\ast }\le l^{\ast })$，可以令${\text{ctr}}_i+j={\text{ctr}}^{\ast }+j^{\ast }$

     因为$f({\text{ctr}}_i+j)=f({\text{ctr}}^{\ast }+j^{\ast })$，敌手很轻易就能推断出计算挑战密文时用到的$\text{ctr}$，即方案被攻破

6. 设上述第二种情况为事件$\text{Overlap}$

   我们假设$l^{\ast }=l_i=q(n)$来让该事件发生概率最大化

   说白了就是序列${\text{ctr}}^{\ast }+1,...,{\text{ctr}}^{\ast }+q(n)$与序列${\text{ctr}}_i+1,...,{\text{ctr}}_i+q(n)$发生重叠，这种情况我们称为${\text{Overlap}}_i$

   故我们计算其概率：
   $$\text{Pr}[\text{Overlap}]\le \sum _{i=1}^{q(n)}\text{Pr}[{\text{Overlap}}_i]\text{\hspace{1em}(3)}$$

   利用联合边界(Union Bound)公式：
   $$\text{Pr}\left[{\vee }_{i=1}^k{E}_i\right]\le \sum _{i=1}^k\text{Pr}[E_i]$$

7. 固定${\text{ctr}}^{\ast }$，我们可计算出只要令${\text{ctr}}_i$满足以下不等式即可：
   $${\text{ctr}}^{\ast }-q(n)+1\le {\text{ctr}}_i\le {\text{ctr}}^{\ast }+q(n)-1$$
   共$2q(n)-1$项，如下图所示：

   

8. 易得：
   $$\text{Pr}[{\text{Overlap}}_i]=\frac{2q(n)-1}{2^n}<\frac{2q(n)}{2^n}$$
   结合式子(3)，可得：
   $$\text{Pr}[\text{Overlap}<\frac{2q(n{)}^2}{2^n}$$

9. 综上，我们可求出敌手$\mathcal{A}$成功的概率：
   $$\begin{array}{rl}\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1]=& \text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\wedge \text{Overlap}]\\ & +\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1\wedge \overline{\text{Overlap}}]\\ & \le \text{Pr}[\text{Overlap}]+\text{Pr}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\tilde{\Pi }}^{\text{cpa}}(n)=1|\overline{\text{Overlap}}]\\ & <\frac{2q(n{)}^2}{2^n}+\frac{1}{2}\end{array}$$
   证毕！！

3.6.4 思考与补充

1. Modes of operation and message tampering

操作模式和消息篡改

1. “良性”（即非对抗性）传输错误：可以使用标准技术(例如，错误纠正或重新传输)来解决

2. “恶性”（即对抗性）篡改：消息完整性或消息身份验证的问题应该与加密分开处理

   下一章中要做的

2. Block length and concrete security

分组长度不易太短，着重提到一点：

根据“生日”问题的分析，当$IV$的长度为$l$时，我们认为在传输$2^{l/2}$个明文后，向量$IV$会发生重复

例如：当$l=64$时，在大约$2^{32}\approx 4,300,000,000$次加密（大约34GB明文）后，$IV$会发生重复。看着挺大，但其实风险不小的。

3. IV misuse

一旦$IV$发生滥用，OFB和CTR马上就变得不再安全，就像一次一密一样，两次加密密文一异或，会泄露很多消息。

因为它们本身更像是流密码，一步失步步失

而CBC就显得相对安全，因为在CBC模式下，很可能只经过几个分组后，分组密码的输入就会“发散”，攻击者将无法学到前几个消息块以外的任何信息。

解决办法倒是有，将OFB和CTR改造为有状态加密（

这儿意思应该是，有状态加密可以减少每次选择$IV$时造成的泄露，毕竟每次加密用的初始向量都是上次生成的最后结果。

在敌人眼中，无状态的话每次加密都能截获一个$IV$，而有状态的话只能截获最初加密使用的那个$IV$

3.7 Chosen-Ciphertext Attacks

3.7.1 Defining CCA-Security

注意和3.4.2联系

1. The CCA indistinguishability experiment${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cca}}(n)$

1. 运行$\text{Gen}(1^n)$生成一个密钥$k$

2. 给敌手$\mathcal{A}$输出$1^n$、${\text{Enc}}_k(\cdot )$和${\text{Dec}}_k(\cdot )$的预言机访问权限（oracle access），其输出一对等长的消息$m_0,m_1$

   即$\mathcal{A}$同时拥有加密预言机和解密语言机的访问权限

   重点提醒：选择密文攻击包含着选择明文攻击！！

3. 均匀选择一个比特 b ∈ { 0 , 1 } b\in{\left\{0,1\right\}} b∈{0,1}，计算挑战密文$c\leftarrow {\text{Enc}}_k(m_b)$，并将计算结果交给$\mathcal{A}$

4. 敌手$\mathcal{A}$继续拥有${\text{Enc}}_k(\cdot )$和${\text{Dec}}_k(\cdot )$的预言机访问权限，注意不能解密挑战密文本身，随后输出比特$b^{\prime }$

   可以理解为可以解密脱离保密期的文件，但是无法解密还在保密期中的文件

5. 如果$b^{\prime }=b$，输出1，即$\mathcal{A}$攻击成功；如果$b^{\prime }\ne b$，输出0

解密预言机(decryption oracle)，顾名思义，就是把你输进去的东西解密并返回给你

2. 定义12（3.33）

如果对于所有PPT攻击者$\mathcal{A}$都有一个可忽略函数$\text{negl}$满足下列不等式，则说明加密方案$\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},\mathsf{E}\mathsf{n}\mathsf{c},\mathsf{D}\mathsf{e}\mathsf{c})$在选择密文攻击下具有不可区分的加密性（indistinguishable encryptions under a chosen-ciphertext attack，即$\text{CCA-secure}$）
$$\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\text{cca}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$
$theprobabilityistakenover:$$\mathcal{A}$的随机性，实验中所用的随机性（$\text{Enc}$）

3. 要点

1. 与定理6类似，任何$\text{CCA-secure}$的私有密钥加密方案也是$\text{CCA-secure for multiple encryptions}$。

2. 再次强调对手不能请求解密挑战密文本身

3. 就算随便瞎编一个密文请求解密也能达到意想不到的结果，比如银行处理非正常请求时的操作也会泄露一部分信息

4. 加密通常用于高级协议；例如，一个加密方案可能被用作身份验证协议的一部分，其中一方将密文发送给另一方，后者将密文解密并返回结果。在这种情况下，诚实的一方的行为就像解密预言机一样。

5. 目前为止，我们看到的所有加密方案都不是CCA-secure的，拿攻击结构3来举例：

   • ${\text{Enc}}_k(m)=⟨r,F_k(r)\oplus m⟩$

   • 构造明文$m_0=0^n,m_1=1^n$，收到密文$c=⟨r,s⟩$

   • 翻转$s$的第一个比特得到$c^{\prime }$，然后要求预言机解密$c^{\prime }$

     由于$c\ne c^{\prime }$，所以可以解密

   • 返回$10^{n-1}$，则$b=0$；返回$01^{n-1}$，则$b=1$

6. CCA-secure包含了一个非常重要的属性，称为非延展性(non-malleability)。粗略地说，非延展性加密方案具有这样的属性：如果对手试图修改给定的密文，结果要么是无效的密文，要么是密文被解密为与原始文本无关的明文

4.5.4将会继续涉及

3.7.2 Padding-Oracle Attacks

1. 敌手能力：敌手仅需拥有确认修改后的密文是否能正确解密的能力

   对定义12的敌手能力的要求进行一定松弛

2. 适用场景：例如，如果服务器接收到没有正确解密的密文，它可能请求重传或终止会话，而这些事件中的任何一个都会在观察到的流量中产生明显的变化，并被敌手捕捉到

3. 具体实例：

   (i)方案描述：

   • 基本参数：

     • $L$：分组长度
     • $b$：需要填充的字节数
     • $message$：原明文
     • $encodeddata$：传输明文，即填充后的明文

   • 填充规则：PKCS #5

     一个字节我们用两个十六进制位去表示，当有$b$个字节需要补充时，每个填充字节表现形式(数值大小）为0xb.（比如$b=1$，则在message后填充0x01；$b=4$，则在message后填充0x04040404)

     $b\in [1,L]$，即无论如何都要填东西进去，即使原明文恰恰好是分组长度的整数倍

   • 验证方式：直接读取最后一个字节的值$b$，然后验证解密结果的最后$b$个字节的值是否都是$b$

   • 加密模式：CBC模式

   • 正常情况：接收者接收到密文后解密检查消息是否有进行正确的填充，然后去掉填充获得$message$。如果没有进行正确填充则返回**“填充错误”(“bad padding” )。我们可以认为这个“填充错误”相当于提供了一部分的解密预言机**。

   (ii)构建场景：

   • 一个三分组的CBC模式，$⟨IV,c_1,c_2⟩$表示为攻击者所知道的密文分组

   • $m_1,m_2$表示传输明文（敌手未知）,且
     $$m_2=F_k^{-1}(c_2)\oplus c_1$$

   即$m_2$以$\underset{btimes}{\underbrace{0\text{x}b...0\text{x}b}}$结尾

   (iii)攻击方法：

   1. 确定$b$：

      • 随意构造$c_1^{\prime }$，并$⟨IV,c_1^{\prime },c_2⟩$返回给预言机，这样就可以随意影响$m_2$，即：
        $$m_2^{\prime }=F_k^{-1}(c_2)\oplus c_1^{\prime }$$

      • 而系统就是通过检测$m_2$（最后一个分组），来确定是否填充错误

      • 修改$c_1$的左起第一个比特，如果报错，说明发生下图的情况

        

        即因为检测到第一个比特的值不是$0\text{x}b$而报错，故$b=L$

      • 如果没报错，依次类推，将修改逐渐左移，哪儿开始报错说明哪儿从开始填充的

   2. 确定$m_2$

      • 已知填充长度为$b$，设倒数$b+1$位的字节为$0\text{x}B$，即$m_2$以$0\text{x}B\underset{btimes}{\underbrace{0\text{x}b...0\text{x}b}}$结尾

      • 按如下方式构造${\Delta }_i$：
        $$\begin{gathered} {\Delta }_i\stackrel{\text{def}}{=}0\text{x}00\cdot \cdot \cdot 0\text{x}000\text{x}i\stackrel{btimes}{\overbrace{0\text{x}(b+1)\cdot \cdot \cdot 0\text{x}(b+1)}} \\ \oplus 0\text{x}00\cdot \cdot \cdot 0\text{x}000\text{x}00\stackrel{btimes}{\overbrace{0\text{x}b\cdot \cdot \cdot 0\text{x}b}} \end{gathered}$$

   • 向预言机查询$⟨IV,c_1\oplus {\Delta }_i,c_2⟩$，${\Delta }_i$后半部分和$m_2$的后$b$个字节抵消了，相当于硬生生填充长度$b$将变成了$b+1$

   • 现在只有$0\text{x}(B\oplus i)=0\text{x}(b+1)$时系统才不会报错，即最多查询$2^8$个值${\Delta }_1,...,{\Delta }_{2^8-1}$就能推出$0\text{x}B$的值

     因为一个字节（两个十六进制数）为8位

   • 依次类推$L-b$次，就能得出$m_2$（最后一个分组）的值

4. 确定整个明文

   作者说可以，但抱歉我真没时间细想这个问题了

3.7.2 A padding-oracle attack on CAPTCHAs

CAPTCHA（验证码）是一个扭曲的图像，比如一个英语单词，人类容易阅读，但计算机很难处理。验证码的使用是为了确保人类用户(而不是某些自动化软件)与网页进行交互

1. 系统配置：

   • $\mathcal{U}$：用户
   • ${\mathcal{S}}_W$：网页服务器
   • ${\mathcal{S}}_C$：验证码服务器
   • $w$：英文单词，扭曲图片上的文字
   • $k$：${\mathcal{S}}_W$和${\mathcal{S}}_C$之间共享的密钥

   

   在${\mathcal{S}}_W$视角里，用户没有密钥还能知道$w$的值，说明该用户肯定是个真人

2. 攻击：第三步可以应用上述padding-oracle attack从而得到$w$的值，这个过程是全自动的，因此自动软件可以成功攻击

3. 防御：当验证出错时，不返回警告而是随机图片等方法，根本上还是要尽量实现CCA-secure