《A Graduate Course in Applied Cryptography》chapter 5 Chosen Plaintext Attack

最新推荐文章于 2022-12-21 22:26:07 发布
最新推荐文章于 2022-12-21 22:26:07 发布
阅读量319 收藏 1
点赞数
分类专栏: 研究生应用密码学课程 文章标签: 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmrlinux/article/details/119581566
版权

原文教材 与 参考资料:

        Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J].

        该书项目地址(可以免费获取):http://toc.cryptobook.us/

        博客为对该书的学习笔记,并非原创知识,帮助理解,整理思路。

选择明文安全CPA,我个人理解是从语义安全SS上衍生出来的一种安全模型,故而在深入理解CPA语义安全时应当重新考虑一下语义安全模型。

语义安全模型定义:

        语义安全模型的概念,要实现SS安全,必须保证每次加密的秘钥是随机产生的(极低概率相同),并且多秘钥的SS模型也是安全的。

抵抗多秘钥攻击的SS模型描述如下,证明采用的"多层讨论”技术。

SSmulti-key attack安全模型如下:

如上所述,用户使用对称加密算法,针对不同文件使用不同的秘钥进行加密,是可以保证语义安全的,但是这样会导致 大量的秘钥需要保密管理。那是否能够使用同一个秘钥加密所有的文件依然保持安全呢?或者说是在保持一个秘钥的情况下,依然保持安全?

答案是否定的,如果依然使用同一个秘钥那么SS安全必定是不安全的,只要对m1,m0稍作处理,就能够攻破这个SS游戏。

所以,我们需要一个新的安全模型来保持这个新的安全定义,这个新的安全定义就是CPA安全,也称之为语义安全抵抗选择明文攻击,简称CPA安全。

CPA安全定义:

 

1. 挑战者选择一个固定的秘钥K。

2. 敌手提交一系列的请求给挑战者,然后挑战者进行加密,并将加密内容发送给敌手。

3. 由敌手输出猜测的比特。

这里需要明确的是,任何的确定性加密都不是CPA安全的,所有CPA安全的加密都是概率加密方案。

CPA安全方案的构造

 CPA安全的构造方案还是比较多的,在该书中,总共提到多种构造方案,这里我们仅仅看一种通过用构造方案。

使用基本的组件:

 思路:使用PRF的秘钥作为加密方案E,D的秘钥,方案描述如下:

 

 这里实质上是通过引入每次加密消息的随机数x, 引入了概率的内容,使得即使在秘钥k`不变的情况下,每次加密不同的消息获得结果也是不同的。

CPA安全证明

 定理:

对于这种类似通用构造,得到以上的安全定理,可以看到的是,通用构造的安全性需要使用所用组件的安全性来刻画,对于CPA敌手在这个实验中,存在PRF敌手和SS敌手满足上述不等式,这个安全性证明如何来呢?

从安全定理给出的这个式子,我们就可窥见到部分的证明思路,必须将这几个敌手的安全实验整合进CPA安全的实验,从而推导出CPA的优势表达式,即为CPAadv = |Pr[W0] - Pr[W3]|。

那么,首先构造CPA模型的Game0即为CPA的比特猜测版本优势, 然后继续构造Game1/2/3,最终Game3等同于SS模型的比特猜测版本,即为从CPA安全模型逐步过渡到SS模型,这几个游戏的挑战者是不相同的,然后证明相邻游戏的之间是可以忽略的,又因为原始分组加密是SS安全的,那么对于CPA安全模型的W1事件而言,此时敌手的优势Pr[W3] = 1/2。所以CPAadv = |Pr[W0] - 1/2|。 Game3 == SS == 1/2 === W3

Game 0:

Game 0 就是一个比特猜测版本的CPA游戏,是一个详细的该方案CPA模型描述,式子5.7定义了CPA敌手此时的优势。

接着,我们将Game0中的F替换为一个完全随机的函数f,替换这个步骤的原因应该是为了具体的得到概率计算值,Game1描述如下,Game0 和 Game1这里依然可以理解为不可区分的。

 因为引入了PRF这个安全的组件,那么PRF敌手Bf将被作为如下处理,BF敌手此处扮演敌手A的挑战者,然后BF同时与安全PRF挑战者交互,这样就将BF敌手引入到了我们这个CPA安全的模型中,其中BF敌手在本实验中作用描述如下图:

 Game2 中主要是将 f 随机函数实现,使用一个表格对函数的输入、输出进行记录与控制:

通过模拟实现这个随机函数 f 我们可以直接的看到,W1和W2的概率是相同的,因为PRF是安全的,并且这种实现方式是完全可以模拟一个随机函数 f 的,进一步我们删除Game 2 中的检查点功能,得到Game3。

 

接着,这里利用之前说到的Difference lemma , 将Game2 和Game3 整合到同一个概率空间下,那么很容易得到下述公式:

 

 显然,在Game3中,每次使用不同的秘钥加密不同的消息,实质上就是多秘钥攻击实验,那么,我们又可以得到如下:

 此时,我们得到了这个CPA证明最为重要且关键的点,如何把MSSadv敌手B与我们的CPA实验关联起来?

最为直接的方式:使用MSS敌手来做CPA敌手的挑战者,由MSS敌手代替CPA敌手向CPA挑战者交互,如下图所示:

 因此,得到

得证。

单词表:

glean: <vi/t> 拾,收集           devise: 设计

snoop: <vt>  窥探                  follow from: 由...产生

diligently: <adv> 勤奋            scenario: 方案

devastating: <adj/v> 毁灭

zmrlinux
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应用密码学研究生课程A Graduate Course in Applied Cryptography
10-28
本书涵盖了用于密码学中不同任务的实用密码系统的许多构造。 它还提供了许多案例研究来调查已部署系统的运行方式。
【Joy of Cryptography 读书笔记】Chapter 7 选择明文攻击下的安全性
Vera_shsf的博客
08-29 1142
选择明文攻击下的安全性
密码学小知识(5):唯密文攻击(COA)、已知明文攻击(KPA)、选择明文攻击(CPA),选择密文攻击(CCA)
热门推荐
cryptocxf的博客
06-28 2万+
本篇将介绍密码分析中主要的四种攻击方式 一、唯密文攻击(Ciphtext Only Attack,COA) 定义:唯密文攻击(COA)是指仅仅知道密文的情况下进行分析,求解明文或密钥的密码分析方法。 假定密码分析者拥有密码算法及明文统计特性,并截获了一个或者多个用同一密钥加密的密文,通过对这些密文进行分析求出明文或密钥。COA已知条件最少,经不起唯密文攻击的密码是被认为不安全的。 简单理解:只知道密文,推出明文或密钥,一般用穷举攻击。 二、已知明文攻击(Known Plaintext Attack,KPA
Vulnerability of SSL to Chosen-Plaintext Attack 读书报告
weixin_30571465的博客
02-26 117
这篇文章讲述了在SSL上的选择明文攻击。我想分四个部分讲讲我对这篇文章的理解。 1.CPA的定义; 2.文章讲述SSL相关基本概念漏洞; 3.对SSL的CPA攻击的过程; 4.实现这种攻击的可能性以及问题的解决。 CPA CPA,即ChosenPlaintextAttack,选择明文攻击。Wiki上的解释是:在这种攻击模式中,攻击者...
《A Graduate Course in Applied CryptographyChapter 19 ID, sign from sigma protocols (2)
密码小仙女
11-15 2849
原文教材 与 参考资料: Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J]. 该书项目地址(可以免费获取):http://toc.cryptobook.us/ 博客为对该书的学习笔记,并非原创知识,仅帮助理解,整理思路。 19.2 From identification protocols to signatures 本节将Schnorr ID 认证协议转化...
密码学---常见的四种密码攻击方式
m0_72675657的博客
12-21 2877
已知部分密文和加密算法,依次采用所有的密钥进行试译。攻击者能从已知的明文被变换成密文的方式中获得密钥攻击者选择任意明文放入加密系统中获得对应密文,通过明文获得密文的方式,推断出密钥攻击者选择任意密文通过解密算法获得对应明文。密码系统一般只有承受住选择明文攻击和选择密文攻击才算是安全的。攻击强度:选择密文攻击>选择明文攻击>已知明文攻击>唯密文攻击实现的难度:与攻击强度相反。
A Graduate Course in Applied Cryptography v0.3
10-13
A Graduate Course in Applied Cryptography v0.3 A Graduate Course in Applied Cryptography v0.3
A Graduate Course in Applied Cryptography.pdf
05-19
Dan Boneh 和 Victor Shoup 合作写的一本适合研究生学习应用密码学的书
A Course In Number Theory And Cryptography
11-26
A Course In Number Theory And Cryptography (2Ed, Koblitz N, Gtm 114, Springer,1994)(600Dpi)(L)(T)(123S) Mtc
密码学课程A Course in Cryptography
10-29
密码学高级入门本科课程的注意事项。
四种密码攻击方式整理
qq_44827634的博客
05-05 1万+
四种密码攻击方式
密码分析(一):差分密码分析
网安进阶ing
04-12 1万+
差分密码分析是方法是攻击迭代型分组密码的最有效的方式之一,也是最基础的一种密码分析手段,同时也是衡量一个分组密码安全性的重要指标之一。差分密码分析的原理比较简单,发展至今,该方法出现了很多的变种,但万变不离其宗,本质上就是研究差分在加解密过程中的概率传播特性。
密码学中的攻击
qq_27014957的博客
03-08 4074
密码学中的攻击有多种类别,我们现在将用一些情景来谈论一些主要的攻击: 1)仅密文攻击(ciphertext-only):Alice和Bob在通讯中加密他们的数据。trudy作为一个攻击者,她能够看到密文,并且利用仅知道的密文来得到相应的明文信息,这种就称为仅密文攻击。这种情况是最困难的一种攻击类型,因为你知道的信息最少。 2)知道明文攻击(known-plaintext)攻击者的目标是找到解密
The Concept of Indistinguishability under Chosen Plaintext Attack (IND-CPA)
vernice的专栏
07-06 1457
First, the concept of the Semantic Security means the knowledge of the ciphertext of unknown message does not reveal any additional information on the message. The indistinguishablility under chosen p
PlaintextAttack
qq_39536716的博客
04-24 640
Zip明文攻击明文攻击zip加密文件的三种破解方式破解过程 明文攻击 明文攻击是一种较为高效的攻击手段,大致原理是当你不知道一个zip的密码,但是你有一个zip里面的已经知道的文件或者已经通过其他手段知道zip加密文件中的某些内容的时候,因为同一个zip压缩包里面的所有文件都是使用同一个加密的密钥来加密的,所以可以利用已知文件来找加密的密钥,利用密钥来解锁其他加密文件。一般不知道密码的具体长度以及...
《A Graduate Course in Applied CryptographyChapter 11 Public key encryption (4)T-dec and S-s
密码小仙女
09-18 243
原文教材 与 参考资料: Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J]. 该书项目地址(可以免费获取):http://toc.cryptobook.us/ 博客为对该书的学习笔记,并非原创知识,帮助理解,整理思路。 ...
《A Graduate Coursse in Applied Cryptographychapter 2 Encryption (2)
密码小仙女
05-12 523
《A Graduate Coursse in Applied Cryptographychapter 2 Encryption (2) 原文教材: Boneh D, Shoup V. A graduate course in applied cryptography[J]. Recuperado de https://crypto. stanford. edu/~ dabo/cryptobook/BonehShoup_0_4. pdf, 2017. Boneh D, ...
GROUP THEORY IN CRYPTOGRAPHY
最新发布
04-11
In cryptography, group theory is used to design and analyze cryptographic protocols, such as key exchange and digital signature schemes. By using group theory, cryptographers can ensure that their ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值