密码学归约证明——定长对称加密密钥的敌手不可区分性

皮皮罴

已于 2022-09-03 21:27:41 修改

阅读量1.4k

点赞数 2

分类专栏：现代密码学文章标签：安全

于 2022-09-03 21:23:10 首次发布

本文链接：https://blog.csdn.net/weixin_65617488/article/details/126681211

版权

现代密码学专栏收录该内容

9 篇文章 3 订阅

订阅专栏

1. 前言

针对任伟译《现代密码学——原理与协议》这本书中，将reduction一词翻译成“规约”，根据笔者在网上查阅资料，最终认为翻译成“归约”更贴合实际。

在密码学中，如果给予敌手足够的时间，那么一个计算安全的密码加密方案迟早会有被攻破的一天。而实际上，为了证明某方案是计算安全的，需要证明该密码方案被攻破的时间下界。一般来说，即证明该密码方案不能在多项式时间内被攻破。

这又引出了另外一个更复杂的问题：如何证明一个密码加密方案无法在多项式时间内被攻破。而目前我们依然无法证明此类问题的下界。

因此取而代之，采取另一个策略：假设某个低层次难题很难解决，证明在此难题基础上的加密方案是安全的。这就是“归约证明”的基本思想。

2. 归约证明简述

上面提到，“归约证明”的基本思想即：假设某个低层次难题很难解决，证明在此难题基础上的加密方案是安全的。因此，针对“求证某加密方案的下界”问题被转化为“陈述一个显式规约，说明如何将任何概率不可忽略的且成功攻破该构造方案的有效敌手A，转化为成功解决该难题的有效算法A'”。

在这里说明：反证法不是“归约证明”所必需的。

《现代密码学——原理与协议》在3.1.3节中提到“归约证明”的解题概要是基于反证法实现的，这里简要叙述一遍：

待证：

假设难题X不能通过任何多项式时间算法以不是可忽略的概率被解决（通俗地说，即X不能在有效时间内被有效地解决），证明密码构造方案 $\Pi$ 是安全的。

过程：

现有有效敌手A攻击 $\Pi$ ，此敌手成功的概率是 $\varepsilon \left ( n \right )$ 。
构造有效算法“归约”A'，该算法将敌手A作为子程序来使用，试图解开难题X。指定难题X的一个实例输入，算法A'会对A模拟一个 $\Pi$ 的实例，要求满足：A'模拟的实例足够逼真，A无法区分此实例是A'模拟的还是 $\Pi$ 本身；如果A成功攻破A'模拟的 $\Pi$ 的实例，则A'可以以大于多项式倒数的概率解决难题X的实例。
因此，如果 $\varepsilon \left ( n \right )$ 不可忽略，则A'解决难题的X的概率也不可忽略。这与题设中的假设矛盾。
总结：给定此关于难题X的假设，不存在有效敌手以不可忽略的概率解决构造方案 $\Pi$ 。

图解：

3. 定长对称密钥加密的敌手不可区分性

3.1 定长对称密钥加密方案 $\Pi$

令 $G$ 是带扩展因子 $l$ 的伪随机数生成器。

3.2 伪随机数生成器 $G$ 的伪随机性

对所有概率多项式时间的区分器 $D$ ，从 $\left \{ 0,1 \right \}^{l\left ( n \right )}$ 中随机选取 $r$ ，从 $\left \{ 0,1 \right \}^{n}$ 中随机选择种子 $s$ ，存在可忽略函数 $negl$ ，满足

$\left |Pr\left[D\left ( r \right )=1 \right ] -Pr\left [ D\left ( G\left ( s \right ) \right )=1 \right ]\right |\leqslant negl\left ( n \right )$ 。

3.3 定长对称密钥加密方案的敌手不可区分性

若 $G$ 是一个伪随机数生成器，则定长对称密钥加密方案 $\Pi$ 在窃听者存在的情况下不可区分。

分析：

分别创建两个情景：敌手 $D$ 攻击 $G$ 和敌手 $A$ 攻击 $\Pi$ 。

敌手 $D$ 攻击 $G$ ：

伪随机数生成器 $G$ 生成字符串 $w$ 有两种方式：真随机和伪随机。 $G$ 随机地选择 $w$ 交给敌手 $D$ 来判断该 $w$ 是随机的还是伪随机的。若 $D$ 输出 $b'$ 满足 $b'=b$ ，则敌手 $D$ 成功。

因此有两种情况：

如果 $G$ 给 $D$ 的是 $w_{1}$ ，则

$Pr\left [ D\left ( w \right ) =1\right ]=\frac{1}{2}$

如果 $G$ 给 $D$ 的是 $w_{0}$ ，则敌手 $D$ 成功的概率表示为：

$Pr\left [ D\left ( G\left ( k \right ) \right ) =1\right ]$

且伪随机数生成器 $G$ 满足

$\left |Pr\left[D\left ( r \right )=1 \right ] -Pr\left [ D\left ( G\left ( s \right ) \right )=1 \right ]\right |\leqslant negl\left ( n \right )$

图解：

敌手 $A$ 攻击 $\Pi$

定义一个修改的加密方案 $\widetilde{\Pi }$ ，对应“一次一密”加密方案。

敌手 $A$ 生成两个长度为 $n$ 的字符串 $m_{0}$ 和 $m_{1}$ 。 $\Pi$ 随机选择 $m$ ，计算密文 $c$ 交给 $A$ 来判断 $c$ 来自 $m_{0}$ 还是 $m_{1}$ 。若敌手 $A$ 判断正确，则成功。其中 $c:=w\oplus plaintext$ ， $plaintext$ 为明文。