真实世界的密码方案目标:cannot be broken with reasonable computing power with reasonable probability.——不能用合理的计算能力以合理的概率破解。
计算性安全
- 仅针对计算有限的对手的安全性。
- 安全性可能以非常小的可能性失败。
两种方法:
- 具体方法:用于讨论具体实例化的安全性。它通过明确限制任何(随机化的)攻击者在指定时间内运行的最大成功概率来量化密码方案的安全性。具体做法在实践中很重要,但很难提供准确的具体保证,甚至一些具体的安全声明在未来也会失败。
- 渐近方法:借鉴计算复杂性理论的思想。使用渐近线,就像在复杂性理论中一样。
计算复杂性
固定计算模型(如图灵机)并专注于在每个输入上停止的算法,算法(或机器)的时间复杂度定义为算法对每个可能输入上的步骤数(即计算规则的应用)。 
高效算法:多项式时间算法——具有多项式时间复杂度O(p)
算法(或任务)“复杂性”的另一个自然度量是计算消耗的内存量,它指的是用于存储计算的一些中间结果的内存。
渐近方法
根植于计算复杂性理论
函数可忽略性的定义:
定理(可类比无穷小):
通用渐近安全声明:
如果任何 PPT 敌手以至多可忽略的概率成功破解该方案,则该方案是安全的。
诚实的一方在一些固定的(通常很小的)多项式时间(例如,n·log(n) 或 n2)内运行,而安全性必须适用于所有多项式时间对手。
基本原理:当我们增加 n 时,对手的成功概率会快速下降(超聚),而诚实方的运行时间只会适度(通常很小)多项式增长。所以我们可以通过选择足够大的 n 来获得强大的安全性。
计算模型的选取
——所有“合理”的计算模型都是多项式等价的。
对于“efficient”和“secure”的渐近定义有闭包属性:
- 调用高效子过程的高效(即多步)算法是高效的
- 多次使用安全方案仍然是安全的
渐近安全的定义
如果对于每个 PPT 对手 A 执行某种正式指定类型的攻击,并且对于每个正多项式 p,存在一个整数 N,使得当 n > N 时,A 攻击成功的概率小于1/p(n),则该方案是安全的。
典型的渐近安全声明:
如果某些潜在假设或构建块 π 【困难问题或密码学源语】是安全的,则构造 Π 是安全的。
(互为逆否命题)
可计算安全加密
定义一个完美保密的可计算变体:
- 我们只需要针对计算有限的对手的安全性。
- 我们承认微小的(即可以忽略不计的)优势,而不是“完美”的保密性。
- 加密消息可以任意长!香农界不适用于计算设置。
- 保留加密密钥只能使用一次的要求。(保留第二条限定)
(不会比1/2具有显著优势)
语义安全
(密文除泄露明文长度外不泄露任何信息)
对于任何有效的可采样消息分布 m ← M,如果一个有效的对手 A 可以在给定辅助信息 h(m) 和 m 的加密 Enck(m) 的情况下以某个概率 p 计算一些谓词 f(m),则存在另一个有效算法仅在消息长度为 |m| 的情况下,它的表现几乎一样好。
定理:语义安全与不可区分性等价。
伪随机性
如果无法有效地区分伪随机生成样本与来自均匀随机样本的样本,则该分布是伪随机分布。
伪随机生成器
- 扩张性
- 伪随机性
使用experiment(game)表示:
特点:
- 可被蛮力破解(概率≥1-2^(n-l(n))),但存储空间是指数级增加的,故仍具有安全性。
- 非满射——伪随机序列输出不是均匀的
- 当且仅当单向函数存在时,PRG存在
加密方案构建:
如果 G 是伪随机生成器,则构造 3.17 是固定长度的对称加密方案,在存在窃听者的情况下具有不可区分(可计算安全)的加密。
——使用归约性证明。
更强的安全概念
考虑:
- 密钥可复用
- 已知/选择明文攻击:
- 非自适应 CPA 安全:所有待加密的消息必须由对手一次性选择(在最初时)
- 自适应 CPA 安全:可以自适应地(随时)选择消息
针对选择明文攻击的安全性:IND-CPA
1. 非自适应CPA安全:
(此处的experiment复用同一个k)
2. 自适应CPA安全:
(注:可发送的明文的数量与安全参数n具有多项式关系;选择阶段的m可与挑战明文相同)
【确定性加密方案无法达到此目标】
3. Left-or-Right CPA安全:
(b始终确定)
定理:任何 CPA 安全的对称加密方案对于多重加密也是 CPA 安全的。
已知明文/选择明文安全是密码方案安全的最低保障。
2396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
