斯坦福Dan Boneh密码学——04 流密码

斯坦福Dan Boneh密码学——04 流密码

密码学系列第四篇笔记


流密码

简单来说,流密码实现了我们构建使用合理短密钥的安全密码的目的。

伪随机生成器

回想一次性密码本,密钥、消息和密文都是L位字符串。然而我们想使用一个短得多的密钥。我们的想法是使用一个短的“种子”作为加密密钥,它可比L小得多,我们将这个种子“拉伸”成一个更长的L位字符串,用于屏蔽消息(并解开密文)。如下,字符串s使用一些有效的、确定性的算法G进行拉伸,该算法将短的“种子串”映射为L位字符串。因此,这个修改过的一次性密码本的键空间是{0,1}L,而消息和密文空间是{0,1}L。对于s∈ {0,1}L和m,c∈ {0,1}L,加密和解密定义如下:
在这里插入图片描述
这种修改过的一次性密码称为流密码,函数G称为伪随机生成器。根据香农定理,该流密码其实不能达到完美的安全性;然而,如果G满足适当的安全属性,则该密码在语义上是安全的。因为假设s是一个随机短比特串,r是一个L长度的比特串。直觉上,如果对手无法有效区分G(s)和 r 之间的差异,那么他应该无法区分此流密码和一次性密码本之间的差异。

伪随机生成器的定义

pseudo-random generator,伪随机生成器,简称PRG,是一种高效的确定性算法G,它将种子s作为输入,计算输出r。种子s来自有限的种子空间S,输出r属于有限的输出空间R。我们对PRG安全性的定义形式化了这样一个概念,即不应该有有效(且有效可计算)的统计测试。即如果从S中随机选择s,从R中随机选择r,那么没有有效的对手能够有效地区分G(s)和r之间的差异:两者在计算上是不可区分的。这个定义被定义为一个攻击游戏。

流密码:使用PRG加密

这里的希腊字母和 L 较容易混淆,因此直接截图原书的内容:
在这里插入图片描述
请注意,为了分析 ϵ \epsilon ϵ 的语义安全性,与消息m关联的长度是m的自然长度|m|(以位为单位)。此外,请注意,如果 v 远小于 L ,那么对于许多实际的PRG,计算G(s)的第一个 v 位可能比实际计算G的所有位快得多,然后进行截断。

**定理:**如果G是安全的PRG,那么从G构造的流密码E是语义安全密码。

针对PRG加密的攻击游戏

猜比特,对手 A 对 ϵ \epsilon ϵ 的攻击。在这个游戏 0 中,A 向挑战者显示两条长度相同的消息m0,m1;挑战者然后选择一个随机密钥 s 和一个随机比特 b,并在 s 下对 mb 进行加密,将生成的密文 c 交给 A ;最后,A输出位ˆb。如果 ˆb = b,对手 A 获胜。攻击游戏的逻辑如下:

在这里插入图片描述

让 W0 成为游戏 0 中ˆb = b 的事件。根据定义,我们有:

在这里插入图片描述

接下来,我们修改了游戏 0 的挑战者,获得了新的游戏,称为游戏 1,它与游戏 0 完全相同,只是挑战者使用了一个真正的随机字符串来代替伪随机字符串。第一场比赛中挑战者的逻辑如下:

在这里插入图片描述

像往常一样,A在游戏结束时输出一个位ˆb。让 W1 成为游戏1中的ˆb = b事件。我们得出:Pr[W1] = 1/2。这是因为在第1场比赛中,对手正在攻击可变长度的一次性密码本。特别是,很容易看出对手的输出ˆb和挑战者的隐藏位b是独立的。

在这里插入图片描述

我们的新对手B的逻辑如上图所示。这里,我们定义一个δ的定义:

在这里插入图片描述

此外,标有“PRG Challenger”的盒子在攻击游戏中扮演了与G有关的挑战者角色。换句话说,对手 B 是一个旨在攻击 G 的 PRG 对手(如攻击游戏),它接收 r ∈ {0,1}L 从其 PRG 挑战者那里,然后扮演 A 的挑战者角色,如下所示:

在这里插入图片描述

最后,当 A 输出一个位 ˆb 时,B 输出位 δ(ˆb,b)。设 p0 为PRG挑战者运行攻击游戏的实验 0 时 B 输出 1 的概率,p1为PRG挑战者运行攻击比赛的实验 1 时 B 输出 1 的概率。根据定义,PRGadv[B,G]=|p1− p0|。

在上述定理中,我们将 ϵ \epsilon ϵ 的安全性简化为 G 的安全性,方法是:如果A是攻击 ϵ \epsilon ϵ 的有效对手,那么存在攻击 G 的有效PRG对手B,这样:

在这里插入图片描述

事实上,如果我们假设 ϵ \epsilon ϵ 是不安全的,那么一定有一个有效的对手A,这样SSadv[A, ϵ \epsilon ϵ ]是不可忽略的,而上述不等式给了我们一个有效对手B,这样PRGadv[B,G]也是不可忽视的。也就是说,如果我们可以破解 ϵ \epsilon ϵ ,我们也可以破解G。虽然逻辑上是等价的,但这样的证明有不同的“感觉”:一开始是一个破解 ϵ \epsilon ϵ 的对手A,并展示了如何使用 A 构造一个新的破解G的对手B。

流密码限制:对一次性密码本的攻击

尽管流密码在语义上是安全的,但它们非常脆弱,如果使用不当,将变得完全不安全。

二次密码本不安全

流密码可以很好地加密从Alice到Bob的单个消息。然而,Alice可能希望给Bob发几条消息。为了简单起见,假设Alice希望加密两条消息 m1 和 m2 。简单的解决方案是使用相同的流密码密钥加密这两条消息:

在这里插入图片描述

拦截c1和c2的对手可以计算:

在这里插入图片描述

并获得m1和m2的异或。也就是说,只看到两个足够长的密文后就泄漏了明文。因此同一条流密码密钥不应用于加密多条消息!

一次性密码本具有延展性

虽然语义安全可以确保对手无法读取明文,但它不能保证完整性。使用流密码时,对手可以更改密文并且解密程序永远不会检测到修改。更糟糕的是,让我们证明,通过更改密文,攻击者可以控制解密明文的更改方式。假设攻击者截获密文 c := E(s,m)= m⊕G(s)。攻击者将 c 更改为 c* := c ⊕ ∆。因此,解密程序接收修改后的消息:

在这里插入图片描述

因此,在不知道 m 或 s 的情况下,攻击者能够使解密的消息变成m⊕∆。所以我们说流密码是可塑的,因为攻击者可以对明文进行可预测的更改。简单来说,拿到了密文,即使不知道明文,也可以通过更改密文某些位置的字符来达到攻击的效果。

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值