斯坦福Dan Boneh密码学——04 流密码

斯坦福Dan Boneh密码学——04 流密码

密码学系列第四篇笔记

---

流密码

简单来说，流密码实现了我们构建使用合理短密钥的安全密码的目的。

伪随机生成器

回想一次性密码本，密钥、消息和密文都是L位字符串。然而我们想使用一个短得多的密钥。我们的想法是使用一个短的“种子”作为加密密钥，它可比L小得多，我们将这个种子“拉伸”成一个更长的L位字符串，用于屏蔽消息（并解开密文）。如下，字符串s使用一些有效的、确定性的算法G进行拉伸，该算法将短的“种子串”映射为L位字符串。因此，这个修改过的一次性密码本的键空间是{0,1}^L，而消息和密文空间是{0，1}^L。对于s∈ {0，1}^L和m，c∈ {0，1}^L，加密和解密定义如下：

这种修改过的一次性密码称为流密码，函数G称为伪随机生成器。根据香农定理，该流密码其实不能达到完美的安全性；然而，如果G满足适当的安全属性，则该密码在语义上是安全的。因为假设s是一个随机短比特串，r是一个L长度的比特串。直觉上，如果对手无法有效区分G（s）和 r 之间的差异，那么他应该无法区分此流密码和一次性密码本之间的差异。

伪随机生成器的定义

pseudo-random generator，伪随机生成器，简称PRG，是一种高效的确定性算法G，它将种子s作为输入，计算输出r。种子s来自有限的种子空间S，输出r属于有限的输出空间R。我们对PRG安全性的定义形式化了这样一个概念，即不应该有有效（且有效可计算）的统计测试。即如果从S中随机选择s，从R中随机选择r，那么没有有效的对手能够有效地区分G（s）和r之间的差异：两者在计算上是不可区分的。这个定义被定义为一个攻击游戏。

流密码：使用PRG加密

这里的希腊字母和 L 较容易混淆，因此直接截图原书的内容：

请注意，为了分析 $$ϵ$$ 的语义安全性，与消息m关联的长度是m的自然长度|m|（以位为单位）。此外，请注意，如果 v 远小于 L ，那么对于许多实际的PRG，计算G（s）的第一个 v 位可能比实际计算G的所有位快得多，然后进行截断。

**定理：**如果G是安全的PRG，那么从G构造的流密码E是语义安全密码。

针对PRG加密的攻击游戏

猜比特，对手 A 对 $$ϵ$$ 的攻击。在这个游戏 0 中，A 向挑战者显示两条长度相同的消息m₀，m₁；挑战者然后选择一个随机密钥 s 和一个随机比特 b，并在 s 下对 m_b 进行加密，将生成的密文 c 交给 A ；最后，A输出位ˆb。如果 ˆb = b，对手 A 获胜。攻击游戏的逻辑如下：

让 W₀ 成为游戏 0 中ˆb = b 的事件。根据定义，我们有：

接下来，我们修改了游戏 0 的挑战者，获得了新的游戏，称为游戏 1，它与游戏 0 完全相同，只是挑战者使用了一个真正的随机字符串来代替伪随机字符串。第一场比赛中挑战者的逻辑如下：

像往常一样，A在游戏结束时输出一个位ˆb。让 W₁ 成为游戏1中的ˆb = b事件。我们得出：Pr[W₁] = 1/2。这是因为在第1场比赛中，对手正在攻击可变长度的一次性密码本。特别是，很容易看出对手的输出ˆb和挑战者的隐藏位b是独立的。

我们的新对手B的逻辑如上图所示。这里，我们定义一个δ的定义：

此外，标有“PRG Challenger”的盒子在攻击游戏中扮演了与G有关的挑战者角色。换句话说，对手 B 是一个旨在攻击 G 的 PRG 对手（如攻击游戏），它接收 r ∈ {0，1}^L 从其 PRG 挑战者那里，然后扮演 A 的挑战者角色，如下所示：

最后，当 A 输出一个位 ˆb 时，B 输出位 δ（ˆb，b）。设 p₀ 为PRG挑战者运行攻击游戏的实验 0 时 B 输出 1 的概率，p₁为PRG挑战者运行攻击比赛的实验 1 时 B 输出 1 的概率。根据定义，PRGadv[B，G]=|p₁− p₀|。

在上述定理中，我们将 $$ϵ$$ 的安全性简化为 G 的安全性，方法是：如果A是攻击 $$ϵ$$ 的有效对手，那么存在攻击 G 的有效PRG对手B，这样：

事实上，如果我们假设 $$ϵ$$ 是不安全的，那么一定有一个有效的对手A，这样SSadv[A，$$ϵ$$ ]是不可忽略的，而上述不等式给了我们一个有效对手B，这样PRGadv[B，G]也是不可忽视的。也就是说，如果我们可以破解$$ϵ$$ ，我们也可以破解G。虽然逻辑上是等价的，但这样的证明有不同的“感觉”：一开始是一个破解 $$ϵ$$ 的对手A，并展示了如何使用 A 构造一个新的破解G的对手B。

流密码限制：对一次性密码本的攻击

尽管流密码在语义上是安全的，但它们非常脆弱，如果使用不当，将变得完全不安全。

二次密码本不安全

流密码可以很好地加密从Alice到Bob的单个消息。然而，Alice可能希望给Bob发几条消息。为了简单起见，假设Alice希望加密两条消息 m₁ 和 m₂ 。简单的解决方案是使用相同的流密码密钥加密这两条消息：

拦截c₁和c₂的对手可以计算：

并获得m₁和m₂的异或。也就是说，只看到两个足够长的密文后就泄漏了明文。因此同一条流密码密钥不应用于加密多条消息！

一次性密码本具有延展性

虽然语义安全可以确保对手无法读取明文，但它不能保证完整性。使用流密码时，对手可以更改密文并且解密程序永远不会检测到修改。更糟糕的是，让我们证明，通过更改密文，攻击者可以控制解密明文的更改方式。假设攻击者截获密文 c := E（s，m）= m⊕G（s）。攻击者将 c 更改为 c* := c ⊕ ∆。因此，解密程序接收修改后的消息：

因此，在不知道 m 或 s 的情况下，攻击者能够使解密的消息变成m⊕∆。所以我们说流密码是可塑的，因为攻击者可以对明文进行可预测的更改。简单来说，拿到了密文，即使不知道明文，也可以通过更改密文某些位置的字符来达到攻击的效果。