密码学归约证明——选择明文攻击下的不可区分性

皮皮罴

已于 2022-09-14 21:45:04 修改

阅读量2.9k

点赞数 5

分类专栏：现代密码学文章标签：安全

于 2022-09-14 21:43:00 首次发布

本文链接：https://blog.csdn.net/weixin_65617488/article/details/126859473

版权

现代密码学专栏收录该内容

9 篇文章 3 订阅

订阅专栏

1. 选择明文攻击 $CPA$ 不可区分性实验 $PrivK_{A,\Pi }^{cpa}\left ( n \right )$

运行 $Gen\left ( 1^{n} \right )$ 生成密钥 $k$ ；输出 $\large 1^{n}$ 给敌手 $\large A$ ，敌手 $\large A$ 可以访问预言机 $\large Enc_{k}\left ( \cdot \right )$ ，并输出一对长度相等的消息 $\large m_{0},m_{1}$ ；选择一个随机比特 $\large b\leftarrow \left \{ 0,1 \right \}$ ，计算出挑战密文 $\large c\leftarrow Enc _{k}\left ( m_{b} \right )$ 交给 $\large A$ ;敌手 $\large A$ 继续访问预言机，输出一个比特 $\large b'$ ；如果 $\large b=b'$ ，则 $PrivK_{A,\Pi }^{cpa}\left ( n \right )=1$ ， $\large A$ 成功。

2. 选择明文攻击 $CPA$ 条件下的不可区分加密

对称密钥加密方案 $\Pi =\left ( Gen,Enc,Dec \right )$ 满足：如果对任意概率多项式敌手 $\large A$ ，存在可忽略函数 $negl$ ，使

$Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]\leq \frac{1}{2}+negl\left ( n \right )$

则满足选择明文攻击 $CPA$ 条件下的不可区分加密。

3. 伪随机函数构造 $CPA$ 安全的构造方法 $\large \Pi$

令 $\large F$ 是伪随机函数，定义一个消息长度为 $\large n$ 的对称密钥加密方案如下：

$\large Gen$ ：输入 $\large 1^{n}$ ，均匀随机地选择密钥 $\large \large k\leftarrow \left \{ 0,1 \right \}^{n}$

$\large Enc$ ：输入密钥 $\large k$ 和消息 $\large m\in \left \{ 0,1 \right \}^{n}$ ，均匀随机选择 $\large r\leftarrow \left \{ 0,1 \right \}^{n}$ ，输出密文 $\large c:= \left \langle r,F_{k}\left ( r\right ) \oplus m\right \rangle$

$\large Dec$ ：输入密钥 $\large k$ 和密文 $\large c=\left \langle r,s \right \rangle$ ，输出明文 $\large m:= F_{k}\left ( r\right ) \oplus s$

4. 伪随机函数 $\large PRF$

令 $\large F:\left \{ 0,1 \right \}^{*}\times \left \{ 0,1 \right \}^{*}\rightarrow \left \{ 0,1 \right \}^{*}$ 是有效的、长度保留的、带密钥的函数。如果对于所有多项式时间的区分器 $\large D$ ，存在可忽略函数 $\large negl$ ，满足

$\large \left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$ ，

则 $\large F$ 是一个伪随机函数，其中 $\large k\leftarrow \left \{ 0,1 \right \}^{n}$ 是随机均匀选择的， $\large f\left ( \cdot \right )$ 是将 $\large n$ 比特字符串映射到 $\large n$ 比特字符串的函数集合中均匀随机选择出来的。

5. 选择明文攻击下的不可区分性

如果 $\large F$ 是伪随机函数，则上述构造方法 $\large \Pi$ 为消息长度为 $\large n$ 的定长对称密钥加密方案，在选择明文攻击下不可区分。

书《现代密码学——原理与协议》中针对此类型的归约给出了通用思路：首先在理想的世界中分析方案的安全性，即用真正的随机函数 $\large f$ 来取代 $\large F_{k}$ ，然后说明此时的安全性；然后当 $\large F_{k}$ 被使用时，如果该方案不是安全的，则意味着将 $\large F_{k}$ 从真正的随机函数中区分出来是可能的。

分别创建两个情景：

敌手 $\large D$ 攻击其对应的挑战者 $\large C$

挑战者 $\large C$ 有两种方式使用函数来输出 $\large t$ ：真随机函数 $\large f$ 和伪随机函数 $\large F_{k}$ 。 $\large C$ 随机地选择 $\large t$ 交给敌手 $D$ 来判断该 $\large t$ 是随机的还是伪随机的。若 $D$ 输出 $b'$ 满足 $b'=b$ ，则敌手 $D$ 成功。

如果 $\large b=0$ ，则敌手 $D$ 成功的概率为

$\large Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]$

如果 $\large b=1$ ，则敌手 $D$ 成功的概率为

$\large Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]$

且伪随机函数 $\large F_{k}$ 满足

$\large \left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$

图解：

敌手 $\large A$ 攻击 $\large \Pi$

$\large A$ 生成两个长度相等的字符串 $\large m_{0}$ 和 $\large m_{1}$ 。 $\large \Pi$ 随机选择 $\large m$ ，计算密文 $\large c$ 交给 $\large A$ 来判断 $\large c$ 来自 $\large m_{0}$ 还是 $\large m_{1}$ 。若 $\large A$ 输出 $\large b'=b$ ，则成功。

如果 $\large t$ 来自随机函数，令加密方案 $\large \widetilde{\Pi }$ ：用真正的随机函数 $\large f$ 来代替伪随机函数 $\large F_{k}$ ，其他与 $\large \Pi$ 相同。每个敌手 $\large A$ 最多向它的加密预言机问询多项式 $\large q\left ( n \right )$ 次，有

$\large Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n\right )=1\right ]\leq \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$

下面证明此命题：

令 $\large r_{c}$ 表示生成挑战密文 $\large c=\left \langle r_{c},f\left ( r_{c}\oplus m_{b} \right ) \right \rangle$ 时生成的随机字符串。有两种情况：

值 $\large r_{c}$ 被加密预言机使用来回答至少一个 $\large A$ 的问询：

无论何时加密预言机返回一个密文 $\large \left \langle r,s \right \rangle$ 来回应加密消息 $\large m$ 的请求，敌手由 $\large f\left ( r \right )=s\oplus m$ 掌握了值 $\large f\left ( r \right )$ 。此时， $\large A$ 可能轻易地判断出哪一个消息被加密。因为 $\large A$ 最多向预言机问询 $\large q\left ( n \right )$ 次，并且每次预言机回答它的问询都是使用一个均匀选择的 $\large r$ ，所以该事件发生的概率最多为 $\large \frac{q\left ( n \right )}{2^{n}}$ 。

值 $\large r_{c}$ 没有被加密预言机用来回答 $\large A$ 的问询：

这种情况下， $\large A$ 在和加密预言机的交互过程中，没有掌握任何关于 $\large f\left ( r_{c} \right )$ 值的信息。在这种情况下，输出 $b'=b$ 的概率刚好是 $\large \frac{1}{2}$ （类似于“一次一密”）。

令 $\large Repeat$ 表示值 $\large r_{c}$ 被加密预言机使用来回答至少一个 $\large A$ 的问询的事件。则有

$\large Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\right ]$

$\large =Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\wedge Repeat \right ]+Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\wedge \overline{Repeat}\right ]$

$\large \leq Pr\left [ Repeat \right ]+Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1| \overline{Repeat}\right ]\leq \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$

得证。

如果 $\large t$ 来自伪随机函数，则敌手 $\large A$ 成功的概率被表示为

$\large Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$

如果下面不等式成立，就可以说明加密协议 $\large \Pi$ 是安全的：

$\large \left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$

图解：

证明：根据上面所述的情景，正式说明逻辑命题等价式表示为：

$\large Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]\leq \frac{1}{2}+negl\left ( n \right )$

令区分器 $\large D$ 使用 $\large A$ 作为子程序，来模拟 $\large CPA$ 不可区分实验。

如果 $\large D$ 的预言机是一个伪随机函数，那么当 $\large A$ 被 $\large D$ 作为一个子程序运行时的所见视图分布，与在实验 $PrivK_{A,\Pi }^{cpa}\left ( n \right )$ 中 $\large A$ 所见的视图分布是相同的。则

$\large Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]=Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$

如果 $\large D$ 的预言机是一个随机函数，那么当 $\large A$ 被 $\large D$ 作为一个子程序运行时的所见视图分布，与在实验 $\large PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )$ 中 $\large A$ 所见的视图分布是相同的。则

$\large Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]=Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\right ]$

根据不等式 $\large \left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$ 有

$\large Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$ 相关于 $\large negl\left ( n \right )+ \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$