密码学归约证明——ElGamal加密方案的CPA安全性

1. 判定性DDH问题与G相关是困难的

\qquad 对任意的多项式时间算法$A$，存在可忽略函数$negl$，使得$|Pr[A(G,q,g,g^x,g^y,g^z)=1]-Pr[A(G,q,g,g^x,g^y,g^{xy})=1]|\le negl(n)$，则称判定性$DDH$问题与$G$相关是困难的。
\qquad 有关$DDH$问题以及其他离散对数相关的信息本证明不做叙述。

2. ElGamal加密

\qquad 设多项式时间算法$G$，输入为$1^n$，输出循环群$\mathbb{G}$，群的阶为$q$，生成元为$g$。

• $Gen$：获得$(\mathbb{G},q,g)\leftarrow G(1^n)$，均匀随机选择$x\leftarrow {\mathbb{Z}}_q$，计算$h=g^x$。公钥是$(\mathbb{G},q,g,h)$，私钥是$(\mathbb{G},q,g,x)$。
• $Enc$：输入公钥$(\mathbb{G},q,g,h)$和消息$m\in G$，选择随机的$y\leftarrow {\mathbb{Z}}_q$，输出密文$⟨g^y,h^y\cdot m⟩$。
• $Dec$：输入私钥$(\mathbb{G},q,g,x)$和密文$⟨c_1,c_2⟩$，输出$m=c_2/c_1^x$。

3. ElGamal加密的CPA安全性

\qquad 如果$DDH$问题相对于$G$是困难的，则$ElGamal$加密方案$\Pi$是$CPA$安全的。

\qquad 修改加密方案$\Pi$为${\Pi }^{\prime }$，用公钥$(\mathbb{G},q,g,h)$加密消息通过选择随机的$y\leftarrow {\mathbb{Z}}_q$和$z\leftarrow {\mathbb{Z}}_q$来完成，并输出密文$⟨g^y,g^z\cdot m⟩$。

\qquad 考虑算法$D$，目标是解决与$G$相关的$DDH$问题：输入$(\mathbb{G},q,g,g_1,g_2,g_3)$，

• 设$pk=(\mathbb{G},q,g,g_1)$，运行$A(pk)$得到消息$m_0,m_1$；
• 选择随机比特$b$，设$c_1=g_2$，$c_2=g_3\cdot m_b$；
• 把密文$⟨c_1,c_2⟩$给$A$，输出$b^{\prime }$。如果$b^{\prime }=b$，输出$1$。

\qquad 分析$D$的行为：

• $D$的输入由$G(1^n)$来获得$(\mathbb{G},q,g)$，随机选择$x,y,z\leftarrow {\mathbb{Z}}_q$，设$g_1=g^x$，$g_2=g^y$，$g_3=g^z$。然后$D$执行$A$，$A$有公钥$pk=⟨\mathbb{G},q,g,g^x⟩$和密文$⟨c_1,c_2⟩=⟨g^y,g^z\cdot m_b⟩$。这种情况下，$A$作为$D$的子程序所见情形与实验$Pub{K}_{A,{\Pi }^{\prime }}^{eav}(n)$中相同，即 $Pr[D(\mathbb{G},q,g,g^x,g^y,g^z)=1]=Pr[Pub{K}_{A,{\Pi }^{\prime }}^{eav}(n)=1]=\frac{1}{2}$。
• $D$的输入由$G(1^n)$来获得$(\mathbb{G},q,g)$，随机选择$x,y\leftarrow {\mathbb{Z}}_q$，设$g_1=g^x$，$g_2=g^y$，$g_3=g^{xy}$。然后$D$执行$A$，$A$有公钥$pk=⟨\mathbb{G},q,g,g^x⟩$和密文$⟨c_1,c_2⟩=⟨g^y,g^{xy}\cdot m_b⟩$。这种情况下，$A$作为$D$的子程序所见情形与实验$Pub{K}_{A,\Pi }^{eav}(n)$中相同，即 $Pr[D(\mathbb{G},q,g,g^x,g^y,g^{xy})=1]=Pr[Pub{K}_{A,\Pi }^{eav}(n)=1]$。

\qquad 由于$DDH$问题相对于$G$是困难的，$|Pr[A(\mathbb{G},q,g,g^x,g^y,g^z)=1]-Pr[A(\mathbb{G},q,g,g^x,g^y,g^{xy})=1]|\le negl(n)$，因此

$Pr[Pub{K}_{A,\Pi }^{eav}(n)=1]\le \frac{1}{2}+negl(n)$。

4. 参考文献

乔纳森.卡茨，耶胡达.林德尔著，任伟译，现代密码学——原理与协议，国防工业出版社，2017年第一版第4次印刷.