现代密码学导论-19-基于伪随机函数的CPA安全-创新互联
目录
10年专注成都网站制作,成都企业网站建设,个人网站制作服务,为大家分享网站制作知识、方案,网站设计流程、步骤,成功服务上千家企业。为您提供网站建设,网站制作,网页设计及定制高端网站建设服务,专注于成都企业网站建设,高端网页制作,对成都人造雾等多个领域,拥有多年的营销推广经验。3.5.2 基于伪随机函数的CPA安全
基于伪随机函数的加密示意图
CONSTRUCTION 3.28 构造基于伪随机函数的CPA安全的加密方案
THEOREM 3.29 方案3.28是CPA安全的
THEOREM 3.29 的证明
3.5.2 基于伪随机函数的CPA安全 基于伪随机函数的加密示意图
CONSTRUCTION 3.28 构造基于伪随机函数的CPA安全的加密方案
设F是一个伪随机函数,则定义一个对于明文长度为 n 的私钥加密方案如下:
Gen:对于输入1^n,随机均匀选择 k ∈ {0, 1}^n 并输出
Enc:对于输入的 k ∈ {0, 1}^n以及明文 m ∈ {0, 1}^n,随机均匀选择 r∈{0, 1}^n,然后输出密文c :=
,其中 s=Fk(r)⊕m Dec:对于输入的 k ∈ {0, 1}^n以及密文 c =
,输出明文 m := Fk(r)⊕s
THEOREM 3.29 方案3.28是CPA安全的
如果F是一个伪随机函数,则由方案3.28构造的对于明文长度为 n 的私钥加密方案是CPA安全的
THEOREM 3.29 的证明
记方案3.28为Π= (Gen, Enc, Dec)
我们再构建一个新方案。这个新方案除了用真随机函数代替3.28中的伪随机函数,其他均相同。我们记为
有一个PPT敌手A,设q(n)为敌手 A 在安全参数为n的CPA窃听实验中询问预言机的次数上限,q必须存在某个多项式的上界。
我们用A来构造伪随机函数F的一个区分器D。区分器D的输入是函数O的预言机,区分器的目标是判断该预言机对应的函数O是否为伪随机函数
Distinguisher D:
D被给定1^n和预言机O,其中O满足
- 运行A(1^n),当敌手A用消息m∈{0, 1}^n询问预言机时,D随机均匀选择一个r∈{0, 1}^n并用r询问预言机,得到结果y=O(r),将密文c=
计算并返回给A - 当A输出消息m0,m1∈{0,1}^ n时,D随机均匀选择b∈{0, 1},并且均匀选择一个r∈{0, 1}^n并用r询问预言机,得到结果y=O(r),将密文c=
计算并返回给A - A仍保持步骤1.中询问预言机的权利,直到A输出b’。D获取敌手A输出的b',如果 b = b',则D输出 1;否则D输出0
重点如下:
如果区分器D的预言机对应于伪随机函数,那么当A作为D的子程序运行时,以A的视角来看,A就相当于在做实验
因此,得到A式
如果区分器D的预言机对应于真随机函数,那么当A作为D的子程序运行时,以A的视角来看,A就相当于在做实验
因此,得到B式
由于F是一个伪随机函数,根据伪随机函数的定义,
现代密码学导论-17-伪随机函数_南鸢北折的博客-博客
DEFINITION 3.24 伪随机函数的正式定义
存在一个可以忽略的函数negl,满足C式
联立A、B、C式,得到D式
这个式子的形式非常像EAV-安全的第二个等价定义。但是对于CPA安全,我们还没有考虑过。
考虑实验
请注意,每次消息m被加密时,即询问预言机或当挑战密文被计算时,会随机均匀选择一个r∈{0, 1}^n,并计算c=
- 如果r*在预言机对A的回答中没有出现过,由于f是真随机函数,A与预言机的交互中不能获得关于f(r*)的任何信息,那么A输出的b'=b的概率就是1/2
- 如果r*在预言机对A的回答中出现过,也就是说 A 获取了
,那么其可以通过计算 f(r*)=f(r*)⊕m⊕m 就能得出f(r*),在得知了 f(r*) 的情况下,A输出的b'=b的概率就为1
但是,A最多只能对预言机查询q(n)次,因此,A最多获得q(n)个r。由于r*是从{0, 1}^n中随机均匀选取的,因此有2^n种可能。那么A获取的r中包含r*的可能性就为q(n)/(2^n)
把事件“r* 被A捕获” 记为事件Repeat,则Pr[Repeat] ≤ q(n)/(2^n)
我们得到
将上式带入D式,得到
由于p(n)是多项式函数,因此q(n)/(2^n)是可忽略的
我们设negl’(n)=q(n)/(2^n)+negl(n),根据
现代密码学导论-8-计算安全性_南鸢北折的博客-博客
PROPOSITION 3.6 可忽略函数的性质中的性质一
两个可忽略函数的和仍然是可忽略函数。因此negl’(n)是可忽略函数,使得
这样,我们就证明了方案3.28是CPA安全的
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
本文名称:现代密码学导论-19-基于伪随机函数的CPA安全-创新互联
网页地址:http://ybzwz.com/article/eicic.html