算法描述啦啦啦

积分看来是2

已于 2024-06-25 14:07:06 修改

阅读量454

点赞数 22

文章标签：算法网络 linux

于 2024-06-25 14:06:58 首次发布

本文链接：https://blog.csdn.net/weixin_63719747/article/details/139956783

版权

算法描述

正确性如果 ϵ 是一个可忽略数值函数，对所有的 m ∈ M，满足

Pr[(pk, sk) ← KeyGen(1^k) : C ← Encrypt(pk, m); Decrypt(sk, c) = m] > 1 - ϵ(λ)

则 PKE 方案正确性得以保证。

（PKE δ-correctness[21]）
如果

\mathbb{E}\left[ \max_{m \in \mathcal{M}} \Pr[\text{PKE.Dec}(sk, c) \ne m : c \leftarrow \text{PKE.Enc}(pk, m)] \right] \le \delta,

这里的期望取遍 (pk, sk) \leftarrow \text{PKE.KeyGen}() ，则一个消息空间为 \mathcal{M} 的公钥加密方案 PKE 是 δ-correctness。

KeyGen(1^k): 密钥生成算法输入安全参数1^k，输出公私钥对 (pk, sk)。

Encaps(pk): 封装算法输入公钥 pk，输出密文 c 和封装密钥 K。

Decaps(sk, c): 解封算法输入私钥 sk 和密文 c，输出封装密钥 K。

正确性如果 ϵ 是一个可忽略数值函数，满足

Pr[(pk, sk) ← KeyGen(1^k) : (c, K) ← Encaps(pk); Decaps(sk, c) = K] > 1 - ϵ(λ)

则 KEM 方案正确性得以保证。

实验 \text{IND-CPA}^b_{\text{PKE}, A}(k) :

\text{Adv}^{\text{IND-CPA}}{PKE,A} = \left| \Pr[\text{IND-CPA}^1{PKE,A}(k) = 1] - \Pr[\text{IND-CPA}^0_{\text{PKE}, A}(k) = 1]\right|

则如果对任意多项式时间敌手 A 和任意 (k)，设 ϵ 是可忽略数值函数，满足

\text{Adv}^{\text{IND-CPA}}_{\text{PKE}, A} \le ϵ(k)

我们称 PKE 为 IND-CPA 安全的。

实验 \text{IND-CCA}^b_{\text{KEM}, A}(k):

挑战者运行 (pk, sk) \leftarrow \text{KeyGen}(\text{params})，将 pk 给 A;
A 可访问解封示谕器 \text{Decaps}(sk, \cdot)；
挑战者计算 (c^{} , K_0^{} )\leftarrow \text{Encaps}(pk) 以及K_1^* \leftarrow K
挑战者将 ((c^, K_b^)) 给 (A);
A 可以接着访问解封示谕器，但不允许访问密文 (c^*)；最终 (A) 输出比特 b’ 。挑战者将 b’ 作为实验输出。

在量子随机谕示模型下，挑战者可另外运行随机谕示器。敌手 A 破解 IND-CCA 安全的 KEM 的优势定义为

\text{Adv}^{\text{IND-CCA}}{KEM,A} = \left| \Pr[\text{IND-CCA}^1{KEM,A}(k) = 1] - \Pr[\text{IND-CCA}^0_{\text{KEM}, A}(k) = 1] \right|

则如果对任意多项式时间敌手 A 和任意 k，设 ϵ 是可忽略数值函数，满足

\text{Adv}^{\text{IND-CCA}}_{\text{KEM}, A} \le ϵ(k),

我们称 KEM 为 IND-CCA 安全的。

关注