可证明安全——公钥加密

安全定义

CPA-安全

定义实验 ${\text{PubK}}_{\mathcal{A},\Pi }^{\text{eav}}(n)$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$
• 给敌手 $\mathcal{A}$ 输入 $pk$，输出等长的明文 $m_0,m_1$
• 选择随机的 b ∈ { 0 , 1 } b \in \{0,1\} b∈{0,1}，计算密文 $c\leftarrow {\text{Enc}}_{pk}(m_b)$ 并输出给 $\mathcal{A}$
• $\mathcal{A}$ 输出 $b^{\prime }$。${\text{PubK}}_{\mathcal{A},\Pi }^{\text{eav}}(n)=1$ 当且仅当 $b=b^{\prime }$

公钥加密方案 $\Pi =(\text{Gen, Enc, Dec})$ 是 CPA-安全当且仅当对任意多项式时间敌手$\mathcal{A}$，
$$\mathrm{Pr}[{\text{PubK}}_{\mathcal{A},\Pi }^{\text{eav}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$

显然，不存在一个确定性加密算法，满足 CPA-安全。

多次加密 CPA-安全

设 ${\text{LR}}_{pk,b}(m_0,m_1)={\text{Enc}}_{pk}(m_b)$

定义实验 ${\text{PubK}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$
• 选择随机的 b ∈ { 0 , 1 } b \in \{0,1\} b∈{0,1}
• 给敌手 $\mathcal{A}$ 输入 $pk$，${\text{LR}}_{pk,b}(\cdot ,\cdot )$
• $\mathcal{A}$ 输出 $b^{\prime }$
• ${\text{PubK}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)=1$ 当且仅当 $b=b^{\prime }$

公钥加密方案 $\Pi =(\text{Gen, Enc, Dec})$ 是多次加密 CPA-安全，当且仅当对任意多项式时间敌手$\mathcal{A}$，
$$\mathrm{Pr}[{\text{PubK}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$

与对称加密相同，公钥加密的多次加密 CPA-安全，与单次的 CPA-安全等价。

CCA-安全

定义实验 ${\text{PubK}}_{\mathcal{A},\Pi }^{\text{cca}}(n)$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$
• 给敌手 $\mathcal{A}$ 输入 $pk$，${\text{Dec}}_{sk}(\cdot )$，输出等长的明文 $m_0,m_1$
• 选择随机的 b ∈ { 0 , 1 } b \in \{0,1\} b∈{0,1}，计算密文 $c\leftarrow {\text{Enc}}_{pk}(m_b)$ 并输出给 $\mathcal{A}$
• $\mathcal{A}$ 可以继续使用 ${\text{Dec}}_{sk}(\cdot )$，但不能查 ${\text{Dec}}_{sk}(c)$。输出 $b^{\prime }$。
• ${\text{PubK}}_{\mathcal{A},\Pi }^{\text{cca}}(n)=1$ 当且仅当 $b=b^{\prime }$

公钥加密方案 $\Pi =(\text{Gen, Enc, Dec})$ 是 CPA-安全当且仅当对任意多项式时间敌手$\mathcal{A}$，
$$\mathrm{Pr}[{\text{PubK}}_{\mathcal{A},\Pi }^{\text{cca}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$

CPA-安全与多次加密 CPA-安全等价

对于 CPA-安全的加密方案 $\Pi$，下证其多次加密 CPA-安全。

设 ${\text{LR}}_{pk}^i(m_0,m_1)$ 表示对前 $i$ 次询问，返回 ${\text{Enc}}_{pk}(m_0)$，之后都返回 ${\text{Enc}}_{pk}(m_1)$。敌手查询 $\text{LR}$上界为 $t$。 那么，有

$$\mathrm{Pr}[{\text{PubK}}_{\mathcal{A},\Pi }^{\text{LR-cpa}}(n)=1]=\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^t}(pk)=0]+\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^0}(pk)=1]$$

其中 ${\mathcal{A}}^{{\text{LR}}_{pk}^i}(pk)$ 表示给敌手 $pk,{\text{LR}}_{pk}^i(\cdot ,\cdot )$，敌手的输出（不再给原先的 ${\text{LR}}_{pk,b}(\cdot ,\cdot )$，但是敌手仍然像原先那样查询、拿到返回值、输出）。

下面，只需证明
$$|\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^t}(pk)=0]-\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^0}(pk)=1]|\le {\text{negl}}^{\prime }(n)$$

构造单次加密敌手 ${\mathcal{A}}^{\prime }$：

• ${\mathcal{A}}^{\prime }$ 输入 $pk$，输出随机的 i ∈ { 1 , . . . , t } i \in \{1, ..., t\} i∈{1,...,t}
• ${\mathcal{A}}^{\prime }$ 运行 $\mathcal{A}$。对于 $\mathcal{A}$ 的第 $j$ 个询问 $(m_{j,0},m_{j,1})$，
  • 如果 $j<i$，返回 $c_j\leftarrow {\text{Enc}}_{pk}(m_{j,0})$
  • 如果 $j=i$，${\mathcal{A}}^{\prime }$ 输出 $(m_{j,0},m_{j,1})$ 并返回收到的密文
  • 如果 $j>i$，返回 $c_j\leftarrow {\text{Enc}}_{pk}(m_{j,1})$
• ${\mathcal{A}}^{\prime }$ 输出 $\mathcal{A}$ 输出的结果

不难发现，对 $\forall j\le t$,
$$\begin{array}{rl}\mathrm{Pr}[{\mathcal{A}}^{\prime }\text{输出}1|b=0\wedge i=j]& =\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^j}(pk)=1]\\ \mathrm{Pr}[{\mathcal{A}}^{\prime }\text{输出}1|b=1\wedge i=j]& =\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^{j-1}}(pk)=1]\end{array}$$
因为 $b=0$ 时， ${\mathcal{A}}^{\prime }$ 在前 $j$ 次返回 $m_0$，之后返回 $m_1$，$b=1$ 时， ${\mathcal{A}}^{\prime }$ 在前 $j-1$ 次返回 $m_0$，之后返回 $m_1$。

因此，有
$$\begin{array}{rl}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=0]& =\sum _{j=1}^t\mathrm{Pr}[i=j]\mathrm{Pr}[{\mathcal{A}}^{\prime }\text{输出}1|b=0\wedge i=j]\\ & =\sum _{j=1}^t\frac{1}{t}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^j}(pk)=1]\\ \mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=1]& =\sum _{j=1}^t\mathrm{Pr}[i=j]\mathrm{Pr}[{\mathcal{A}}^{\prime }\text{输出}1|b=1\wedge i=j]\\ & =\sum _{j=0}^{t-1}\frac{1}{t}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^j}(pk)=1]\end{array}$$
由于 $\Pi$ 是 CPA-安全，因此有
$$|\mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=0]-\mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=1]|\le \text{negl}(n)$$
因此，
$$\begin{array}{rl}\text{negl}(n)& \ge |\sum _{j=1}^t\frac{1}{t}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^j}(pk)=1]-\sum _{j=0}^{t-1}\frac{1}{t}\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^j}(pk)=1]|\\ & =\frac{1}{t}|\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^t}(pk)=1]-\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^0}(pk)=1]|\end{array}$$
$$|\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^t}(pk)=1]-\mathrm{Pr}[{\mathcal{A}}^{{\text{LR}}_{pk}^0}(pk)=1]|\le t\cdot \text{negl}(n)$$

Hybrid 加密

通过公钥加密传输秘钥，对称加密传输具体密文。

秘钥包装过程

定义秘钥包装过程 (KEM) $\Pi =(\text{Gen, Encaps, Decaps})$：

• Gen：输入 $1^n$，输出长度至少为 $n$ 的公私钥对 $(pk,sk)$。
• Encaps：输入 $1^n,pk$，生成对称加密秘钥 k ∈ { 0 , 1 } l ( n ) k \in \{0,1\}^{l(n)} k∈{0,1}l(n) ，输出其密文 $c\leftarrow {\text{Enc}}_{pk}(k)$。
• Decaps：输入 $(sk,c)$，输出 $k={\text{Decaps}}_{sk}(c)$

Hybrid 加密

$\Pi =(\text{Gen, Encaps, Decaps})$ 是一个秘钥长度为 $n$ 的 KEM，${\Pi }^{\prime }=({\text{Gen}}^{\prime },{\text{Enc}}^{\prime },{\text{Dec}}^{\prime })$ 是对称加密方案。可以构造如下的对称加密方案 ${\Pi }^{\text{hy}}=({\text{Gen}}^{\text{hy}},{\text{Enc}}^{\text{hy}},{\text{Dec}}^{\text{hy}})$：

• ${\Pi }^{\text{hy}}$：$(pk,sk)\leftarrow \text{Gen}(1^n)$
• ${\text{Enc}}^{\text{hy}}$：输入 $pk$，明文 m ∈ { 0 , 1 } ∗ m \in \{0,1\}^* m∈{0,1}∗
  • $(c,k)\leftarrow {\text{Encaps}}_{pk}(1^n)$
  • $c^{\prime }\leftarrow {\text{Enc}}_k^{\prime }(m)$
  • 输出 $<c,c^{\prime }>$
• ${\text{Dec}}^{\text{hy}}$：输入 $sk,<c,c^{\prime }>$
  • $k\leftarrow {\text{Decaps}}_{sk}(c)$
  • 输出 $m\leftarrow {\text{Dec}}_k^{\prime }(c^{\prime })$

安全性

对私钥包装方案 $\Pi =(\text{Gen, Encaps, Decaps})$ 定义实验 ${\text{KEM}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$，$(c,k)\leftarrow {\text{Encaps}}_{pk}(1^n)$
• 随机选择 b ∈ { 0 , 1 } b \in \{0,1\} b∈{0,1}。如果 $b=0$，$\hat{k}:=k$，否则随机选择 k ^ ∈ { 0 , 1 } n \hat k \in \{0,1\}^n k^∈{0,1}n
• 向 $\mathcal{A}$ 输入 $(pk,c,\hat{k})$，输出 $b^{\prime }$。${\text{KEM}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1$ 当且仅当 $b=b^{\prime }$

$\Pi$ 是 CPA-安全私钥包装方案，当且仅当对任意多项式时间敌手 $\mathcal{A}$，
$$\mathrm{Pr}[{\text{KEM}}_{\mathcal{A},\Pi }^{\text{cpa}}(n)=1]\le \frac{1}{2}+\text{negl}(n)$$

如果 $\Pi$ 是 CPA-安全，${\Pi }^{\prime }$ 是多次加密 EAV-安全，则 ${\Pi }^{\text{hy}}$ 是 CPA-安全。

证明

设 ${\text{Encaps}}_{pk}^{(1)}(1^n)$ 表示 Encaps 生成的第一个参数 $c$，${\text{Encaps}}_{pk}^{(2)}(1^n)$ 表示 Encaps 生成的第二个参数 $k$。
$$\begin{array}{rl}& \mathrm{Pr}[{\text{PubK}}_{{\mathcal{A}}^{\text{hy}},{\Pi }^{\text{hy}}}^{\text{eav}}(n)=1]\\ =& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_0))=0]\\ +& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_1))=1]\end{array}$$
构造攻击 $\Pi$ 的敌手 ${\mathcal{A}}_1$：

• 输入 $(pk,c,\hat{k})$
• 运行 ${\mathcal{A}}^{\text{hy}}(pk)$，得到 $m_0,m_1$。${\mathcal{A}}_1$ 计算 $c^{\prime }\leftarrow {\text{Enc}}_{\hat{k}}^{\prime }(m_0)$，将 $<c,c^{\prime }>$ 返回给 ${\mathcal{A}}^{\text{hy}}$。输出 ${\mathcal{A}}^{\text{hy}}$ 输出的 $b^{\prime }$

$$\begin{array}{r}\mathrm{Pr}[{\mathcal{A}}_1输出0|b=0]=\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_0))=0]\\ \mathrm{Pr}[{\mathcal{A}}_1输出1|b=1]=\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=1]\end{array}$$
其中 $\hat{k}$ 是随机的秘钥。因为 $\Pi$ 是 CPA-安全，所以有
$$\begin{array}{rl}\frac{1}{2}+{\text{negl}}_1(n)\ge & \mathrm{Pr}[{\text{KEM}}_{{\mathcal{A}}_1,\Pi }^{\text{cpa}}(n)=1]\\ =& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出0|b=0]+\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=1]\\ =& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_0))=0]\\ & +\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=1]\end{array}$$
同理，将 ${\mathcal{A}}_1$ 加密的 $m_0$ 换成 $m_1$，有
$$\begin{array}{rl}\frac{1}{2}+{\text{negl}}_2(n)\ge & \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_1))=1]\\ & +\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=0]\end{array}$$
构造攻击 ${\Pi }^{\prime }$ 的敌手 ${\mathcal{A}}^{\prime }$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$，$c\leftarrow {\text{Encaps}}_{pk}^{(1)}(1^n)$
• ${\mathcal{A}}^{\prime }$ 运行 ${\mathcal{A}}^{\text{hy}}(pk)$，获得 $m_0,m_1$。输出 $m_0,m_1$，得到密文 $c^{\prime }$
• 将 $<c,c^{\prime }>$ 传给 ${\mathcal{A}}^{\text{hy}}$，并输出 ${\mathcal{A}}^{\text{hy}}$ 输出的 $b^{\prime }$

在这次攻击中，秘钥 $\hat{k}$ 是完全随机的。
$$\begin{array}{r}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出0|b=0]=\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=0]\\ \mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=1]=\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=1]\end{array}$$
由于 ${\Pi }^{\prime }$ 是 EAV-安全，因此
$$\begin{array}{rl}\frac{1}{2}+{\text{negl}}^{\prime }(n)\ge & \mathrm{Pr}[{\text{PrivK}}_{{\mathcal{A}}^{\prime },{\Pi }^{\prime }}^{\text{eav}}(n)=1]\\ =& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出0|b=0]+\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\prime }输出1|b=1]\\ =& \frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=0]\\ & +\frac{1}{2}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=1]\end{array}$$
三个式子累加，得
$$\begin{array}{rl}\frac{3}{2}+\text{negl}(n)\ge & \\ \frac{1}{2}\cdot (& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_0))=0]\\ +& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=1]\\ +& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_1))=1]\\ +& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=0]\\ +& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=0]\\ +& \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=1])\end{array}$$
因为
$$\begin{array}{r}\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=0]+\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_0))=1]=1\\ \mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=0]+\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_{\hat{k}}^{\prime }(m_1))=1]=1\end{array}$$
所以，
$$\begin{array}{rl}\frac{1}{2}+\text{negl}(n)\ge & \frac{1}{2}\cdot (\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_0))=0]\\ & +\mathrm{Pr}[{\mathcal{A}}^{\text{hy}}(pk,{\text{Encaps}}_{pk}^{(1)}(1^n),{\text{Enc}}_k^{\prime }(m_1))=0])\\ =& \mathrm{Pr}[{\text{PubK}}_{{\mathcal{A}}^{\text{hy}},{\Pi }^{\text{hy}}}^{\text{eav}}(n)=1]\end{array}$$

ElGamal 加密

加密方案

$\mathcal{G}(1^n)$ 是一个多项式时间生成阶数为 $q$ 的群 $\mathbb{G}$ 的算法，其中 $||q||=n$。

加密方案 $\Pi =(\text{Gen, Enc, Dec})$ 定义如下：

• Gen：$(\mathbb{G},q,g)\leftarrow \mathcal{G}(1^n)$。随机选择 $x\in {\mathbb{Z}}_q$，计算 $h=g^x$。公钥是 $<\mathbb{G},q,g,h>$，私钥是 $<\mathbb{G},q,g,x>$。明文空间是 $\mathbb{G}$。
• Enc：输入公钥 $pk=<\mathbb{G},q,g,h>$，明文 $m\in \mathbb{G}$，随机选择 $y\in {\mathbb{Z}}_q$，并输出密文 $<g^y,h^y\cdot m>$
• Dec：输入秘钥 $sk=<\mathbb{G},q,g,x>$ 和密文 $<c_1,c_2>$，输出 $m=c_2/c_1^x$

安全性证明

比较显然，ElGamal 加密可以规约到 DDH 难题。