Encryption

私钥

一次一密（one-time pad）： $\oplus m$ ，密钥过长。
准一次一密：设 $G$ 是 PRG， $\oplus m$ ，密钥不可重用。可以证明它是单消息 IND 的，归约到 PRG 与 $U_n$ 的计算不可区分上。如果询问两次 $m_0,m_1),(m_0′,m_1′)$ ，其中 $m_0 \oplus m_1 \neq m_0′ \oplus m_1′$ ，获得 $c, c^{'}$ ，只需计算 $\oplus c’ = m_b \oplus m_b’$ 便可识别 $b$ ，因此不是多消息 IND 的。
若 PRF 存在，那么多消息 IND 的私钥加密方案存在。设 ${F_s\}$ 是 PRF。加密时随机选取 $r$ ，令
$(r,F_s(r) \oplus m)$
那么 $Π\Pi$ 是多消息密文不可区分的。归约时，分别证明 $mF_s(r) \oplus m$ 与 $mRF_n(r) \oplus m$ 计算不可区分， $mRF_n(r) \oplus m$ 与 $mU_{n} \oplus m$ 计算不可区分， $mU_n \oplus m$ 与 $U_n$ 统计不可区分，于是 $U1)Expt_{A,\Pi}^{IND}(1^n,U_1)$ 的优势 $A d v$ 可忽略。
任意单消息 IND 的私钥加密方案，都可以利用 PRF 提升到多消息 IND。设 $\Pi’$ 是 IND 的， ${f_k\}$ 是 PRF。加密时随机选取 $r$ ，令
$Enc(k,x) = (r,\, Enc'(f_k(r),x))$
那么 $Π\Pi$ 是多消息 IND 的。
单消息 IND 的私钥加密方案存在 $\iff$ OWF 存在。令 $Π\Pi$ 是安全的加密方案，那么 $\{Enc_k\}_{k \in K}$ 就是 OWF。
若 PRF 存在，那么 IND-CPA 的私钥加密方案存在。第 3 条的 $(r,F_s(r) \oplus m)$ 的构造，就是 IND-CPA 的（自然也是 IND-Multiple 的），PRF + One time pad -> IND-CPA。归约证明时，用 $RF_n$ 替换 $F_n$ ，得到的方案是 IND-CPA 的。如果使用 $F_n$ 时它不是 IND-CPA 的，那么就可以区分 $F_n,RF_n$
若 PRF 存在，任意 IND 的私钥加密方案都可以提升到 IND-CPA。第 4 条的 $Enc(k,x) = (r,\, Enc'(f_k(r),x))$ 的构造，就是 IND-CPA 的，PRF + IND -> IND-CPA。
若 PRF 存在，那么是 IND-CCA1 但不是 IND-CCA2 的私钥加密方案存在。第 3 条的 $(r,F_s(r) \oplus m)$ 的构造，是 IND-CCA1 的，但不是 IND-CCA2 的。CCA1 安全的证明，与第 6 条类似。不是 CCA2 安全的，可以构造敌手，挑战 $x_0,x_1)$ 获得 $xb)c=(r,\sigma=f_k(r)\oplus x_b)$ ，然后随机选择 $σ\sigma’ \neq \sigma$ 并以 $σ′)(r,\sigma’)$ 询问解密 Oracle（强制 one time pad 密钥重用），得到 $)x’=\sigma’ \oplus f_k(r)$ ，于是异或可得 $σ′)x=\sigma \oplus (x’ \oplus \sigma’)$ ，从而以概率 $1$ 区分 $b$
若 PRF 存在，那么 IND-CCA2 安全的私钥加密方案存在。设 ${F_n\},\{F_n’\}$ 是 PRF，抽样 $F_k,F’_{k’}$ （前者为 one time pad，后者为 MAC）。加密时随机选择 $r$ ，计算
$f(k,r)⊕x)))=(r,c,t)Enc_{sk}(x) = (r,\, f(k,r) \oplus x,\, f'(k’,(r,\, f(k,r) \oplus x))) = (r,c,t)$
解密时，先判断 $\overset{?}{=} f'(k’,(r,c))$ ，不满足则解密失败，从而阻止敌手利用一个合法密文做出另一个合法密文（敌手必须拥有明文的知识，才可以做出合法密文）。归约时，如果不是 IND-CCA2 的，那么要么 $)(r,\, f(k,r) \oplus x)$ 不是 IND-CCA1 的，要么 ${F_n’\}$ 不是 PRF。

公钥

若 trapdoor OWP 存在，那么 IND 的公钥加密方案存在。设 ${f_e,f_d^{-1}\}$ 是单向陷门置换， $B (x)$ 是其硬核。加密时随机选取 $\leftarrow Simple(e)$ ，令
$B(x)⊕σ)Enc(e,\sigma) = (f(e,x),\, B(x) \oplus \sigma)$
此方案 $Π\Pi$ 是 IND 的（因为是公钥系统，它同时也是多消息 IND 的）。令 $1\sigma_0=0,\sigma_1=1$ ，归约时 $A^{'}$ 为 $A$ 提供 $U1)(e,Y,\alpha \leftarrow U_1)$ ，假设 $A$ 在输入 $(e, Y, B (X))$ 时输出 $b = 0$ 的概率，比在输入 $)(e,Y,\overline B(X)=B(x) \oplus 1)$ 时输出 $b = 0$ 的概率要显著的大，由于 $b\alpha=B(X)\oplus b$ ，因此 $A^{'}$ 输出 $\oplus \alpha$ 作为对 $B (X)$ 的回应。
更高效的 IND 的公钥加密方案：设 ${f_e,f_d^{-1}\}$ 是单向陷门置换， $B (x)$ 是其硬核。加密时随机选取 $)x_0 \leftarrow Simple(e)$ ，类似 PRG 的构造，
$jx_{j+1}=f(e,x_j),\, \tau_j = B(x_j) \oplus \sigma_j$
输出 $1)Enc(e,\sigma) = (x_l, \tau_0\cdots \tau_{l-1})$ ，其中 $l|\sigma|=l$ 。归约中把 $c_0,c_1$ 计算不可区分，转化为 $G(x_0),U_t$ 计算不可区分，然后类似 PRG 的证明，使用混合技术。
若 trapdoor OWP 存在，那么 IND-CPA 的公钥加密存在。第 1 条的 $)Enc(e,\sigma) = (f(e,x),\, B(x) \oplus \sigma)$ 的构造，就是 IND-CPA 的（自然是 IND–Multiple 的），trapdoor OWP + One time pad -> IND-CPA。这不是 IND-CCA2 的，敌手发送挑战 $)(\sigma_0=0,\sigma_1=1)$ 获得回应 $(y, c)$ ，以 $)(y,c\oplus 1)$ 询问解密预言机得到 $\sigma’$ ，比较 $\sigma’\oplus 1=\sigma_b$ 从而区分出 $b$ 。它不一定是 IND-CCA1 的，除非 ${F_n,F_n^{-1}\}$ 是 strong OWF。
若 NIZKP 存在，那么 IND 的公钥加密方案可以提升到 IND-CCA1、IND-CCA2。这里的 NIZKP 用于约束敌手确实知道某密文的明文知识，从而解密预言机对敌手无帮助。定义双加密的关系（确保敌手知道随机带 $s_0,s_1$ 的知识）
$R=\{ ((e_0,e_1,c_0,c_1),(x,s_0,s_1)):\, c_0=Enc_{e_0}(x;s_0),\, c_1=Enc_{e_1}(x;s_1) \}$
令
$< P, V >$ 是 NIZKP 的双方， $r$ 是 CRS。调用 IND 的 $\Pi’$ 的 $G e n^{'}$ 两次，公钥是 $e_0,e_1,r)$ ，私钥是 $d_0,d_1,r)$ ，加密过程中选择随机数 $s_0,s_1$ ，计算
$1),r)\begin{aligned} &c_0 = Enc_{e_0}(x;s_0)\\ &c_1 = Enc_{e_1}(x;s_1)\\ &\pi \leftarrow P((e_0,e_1,c_0,c_1),(x,s_0,s_1),r) \end{aligned}$
输出 $)Enc_{pk}(x) = (c_0,c_1,\pi)$ ，在解密时先验证 $1V(\pi,(e_0,e_1,c_0,c_1),r)=1$ ，然后再解密 $x=Dec’_{d_0}(c_0)=Dec’_{d_1}(c_1)$
RO 模型下，基于单向陷门置换和 IND 安全的对称加密方案，高效的 IND-CPA 公钥加密方案。令 $H$ 是 Hash 函数（归约时被 Random Oracle 取代）， ${F_n,F_n^{-1}\}$ 是 trapdoor OWP， $\Pi’$ 是 IND 的私钥加密方案，加密时随机选择 $x$ ，计算
$′=H(x)y=F(pk,x),\, k’=H(x)$
输出 $(y,\, Enc'(k’,m))$ ，除了计算 $k^{'}$ 速度较慢，执行对称加密 $E n c (k^{'}, m)$ 时速度很快。归约时，要么 OWP 被求逆，要么 Priv-IND 被区分。
RO 模型下，基于单向陷门置换和 IND-CCA 安全的对称加密方案，高效的 IND-CCA 公钥加密方案。与第 5 条完全相同，除了将 $\Pi’$ 提升为 IND-CCA 的私钥加密方案。
RSA 方案：简单输出 $)Enc(e,x)=x^e \pmod{N}$ ，确定性加密算法，不是 IND 的。
Padded RSA 方案：对于 $∣ x ∣ = l$ ，随机选择 $\in \{0,1\}^{|N|-l-1}$ ，设置 $)Enc(e,x)=(r\|x)^e \pmod{N}$ 。在 RSA 假设下，如果 $)l=O(\log N)$ ，这是 IND-CPA 的。
ElGamal 方案：私钥 $d = x$ ，公钥 $e=(G,q,g,h=g^x)$ ， $)Enc(e,x)=(g^r,h^r \cdot m)$ ， $Dec(d,c)=c_2/c_1^x$ 。在 DDH 假设下，这是 IND-CPA 的。归约过程中，将 $g,g^x,g^y,g^z)$ 转化为 $mb)c=(g^y,g^z \cdot m_b)$ ，我们认为 $g^z \neq g^{xy}$ 时 $c$ 就是真随机数。
Gramer-shoup 方案：循环群 $G$ 随机元 $g_1,g_2$ ，令 $d=g_1^{x_1}g_2^{x_2},\, f=g_1^{y_1}g_s^{y_2},\, h=g_1^z$ ，设置私钥 $x_1,x_2,y_1,y_2,z)$ ，公钥 $g_1,g_2,d,f,h)$ ，加密时先生成随机数 $r$ ，然后计算
$u_1=g_1^r,\, u_2=g_2^r,\, e=h^r \cdot m\\ \alpha=H(u_1,u_2,e),\, v=d^rf^{r\alpha}$
输出 $Enc_{pk}(m)=(u_1,u_2,e,v)$ ，解密时先验证 $v=u_1^{x_1+y_1\alpha}u_2^{x_2+y_2\alpha}$ ，然后才解密 $m=e/u_1^z$
这是 ElGamal + NIZKP 的形式，确保敌手知道随机带 $r$ 的知识。设 $H$ 是 Hash 函数（ZKP 的无偏挑战发生器），在 DDH 假设下，它是 IND-CCA2 的。归约时， $A^{'}$ 将 $g_1,g_2,u_1,u_2)$ 转化为 $pk=(g_1,g_2,d,f,h’=g_1^{z_1}g_2^{z_2})$ 交给 $A$ ，如果 $log_{g_1}u_1 = \log_{g_2}u_2$ 那么 $\equiv h$ 同分布，如果 $\log_{g_1}u_1 \neq \log_{g_2}u_2$ 那么对于任意的 $m$ 总存在 $z_1,z_2)$ 使得 $me=(h’)^r \cdot m$ （完美保密的， $A$ 区分优势为 $0$ ）。
ROM 下基于 CDH 和 Priv-IND 的 IND-CPA 公钥加密方案： $pk=(g,g^x),sk=x$ ，加密为 $Enc_{pk}(m)=(g^r,Enc'(H(h^r),m))$

Signature

分块签名：设 $\Pi’$ 是长度为 $l$ 的签名方案，构造一般签名方案 $Π\Pi$ 如下：
- 将 $m$ 分成 $t$ 块 $tm_1\|\cdots\|m_t$ ，其中 $m_i|=l/4$ ，可能需要 Padding $10^*$
- 随机选择 $\leftarrow U_{l/4}$ ，计算 $i)\sigma_i = Sign’_{sk}(r,t,i,m_i)$ ，输出 $t)Sign_{sk}(m)=(r,t,\sigma_1,\cdots,\sigma_t)$
归约很简单，一旦给出 $Π\Pi$ 的伪造，那么就有一个 $\sigma_i$ 是对 $\Pi’$ 的伪造。
基于 CRHF 将长度受限签名方案，扩展到一般签名方案。设 ${H_s\}$ 是 CRHF， $\Pi’$ 是长度受限的签名方案，那么令 $k′)sk=(s,sk’),\, vk=(s,vk’)$ ，签名算法为
$Sign_{sk}(m) = Sign’_{sk’}(H_s(m))$
归约时， $A^{'}$ 成功，仅当 $A$ 成功且 $H_s$ 没发生碰撞。于是 $]Pr[Expt_A=1]\le Pr[Expt_{A’}=1]+Pr[Coll]$ ，若 $Π\Pi$ 不安全，则 $\Pi’,H_s$ 至少有一个被攻破。
基于抗第二原像 Hash 函数（SPRHF）将长度受限签名方案，扩展到一般签名方案。将 $H_s$ 在签名时才随机选择，可降低要求。签名算法为
$λ)Sign_{sk}(m) = (Sign’_{sk’}(H_s(m)),\, s),\, s \leftarrow I(1^\lambda)$
类似的， $A^{'}$ 成功，仅当 $A$ 成功且 $H_s$ 没被找到第二原像。
若 OWF / CRHF 存在，那么安全的 one-time 签名方案存在。设 $f$ 是 OWF，随机选择 $\in U_d^{2 \times l}$ ，计算 $vk=[f(sk_{ij})]_{ij}$ ，签名算法为
$(sk_{m_1,1},\, sk_{m_2,2},\, \cdots, sk_{m_l,l})$
更高效的 one-time 签名方案：使用 PRG 缩短签名密钥，使用 Hash 函数缩短消息长度。
若安全的 one-time 签名方案存在，那么 EUF-CMA 的签名方案存在。
- 链式记忆依赖签名：令 $\Pi’$ 是一次签名方案，签署 $j$ 个消息后，简记 $1)\eta_j=Sign’_{sk_j}(m_j,vk_{j+1})$ ，状态为
  $(sk_2,(m_1,vk_2,\eta_1)) \|\cdots\| (sk_{j+1},(m_j,vk_{j+1},\eta_j))$
  签署第 $j + 1$ 个消息时，先 $1λ)(sk_{j+2},vk_{j+2}) \leftarrow Gen(1^\lambda)$ ，然后计算 $\eta_{j+1}$ ，并在签名中加上 $O (j)$ 的 history，
  $)\sigma = (m_1,vk_2,\eta_1)\|\cdots\|(m_j,vk_{j+1},\eta_j)\|(m_{j+1},vk_{j+2},\eta_{j+1})$
  设置 $state\|(sk_{j+2},(m_{j+1},vk_{j+2},\eta_{j+1}))$
- 二叉树记忆依赖签名：
  - 把链式结构变为二叉树：每个节点 node 上记录自己的公私钥 $sk_{node},vk_{node}$ 和 $Sign(sk_{node},m_{node},vk_{node.L},vk_{node.R})$ ，签名中含有 $)O(\log j)$ 的 history。随着签名数量增加，状态树越来越深。
  - 分离消息签名和密钥认证：预设二叉树深度 $L$ ，每个中间节点 node 上记录自己的公私钥 $sk_{node},vk_{node}$ 和 $Sign(sk_{node},vk_{node.L},vk_{node.R})$ ，每个叶子节点上的公私钥 $sk_{node},vk_{node}$ 用于签名验签。签名中不含签名历史，含有 $O (L)$ 个认证。可以动态生成叶子。
- 一般的二叉树签名：为了不维护状态，需要使用 PRF 来重构确定的随机状态。生成 $s k = (s k^{'}, s), v k = v k^{'}$ ，对于每个中间节点 node 计算随机带 $r=f_s(node),r_0=f_s(node.L),r_1=f_s(node.R)$ （这里的 $r$ 是有必要固定下来的，因为 $\Pi’$ 是 one-time 的，同样的消息和不同的随机带，可视作不同的消息），然后
  $)(sk_{node.L},\, vk_{node.L}) \leftarrow Gen'(1^\lambda;r_0)\\ (sk_{node.R},\, vk_{node.R}) \leftarrow Gen'(1^\lambda;r_1)\\ \eta_{node} = Sign'(sk_{node},\, (vk_{node.L},vk_{node.R});r)\\ auth_{node} = (vk_{node.L},vk_{node.R},\eta_{node})$
  最后到达一个未使用过的叶子 leaf，输出 $)Sign_{sk}(m) = (leaf,auth_{root}, \cdots,auth_{leaf.parent}, Sign'(sk_{leaf},m))$
若 EUF-CMA 的非确定性签名方案存在，那么 EUF-CMA 的确定性签名方案存在。设 $\Pi’$ 是 $Sign(sk,m;U_n)$ 的非确定性签名，令 ${F_n\}_n$ 是 PRF，构造 $Π\Pi$ 中的确定性签名为 $Sign(sk,m,F_k(m))$ 。归约时，先构造 $\Pi”$ 为 $S i g n (s k, m; f (m))$ ，先证明 $\Pi \overset{c}{\equiv} \Pi”$ （因为 $F_n \overset{c}{\equiv} RF_n$ ），再将 $\Pi’$ 归约到 $\Pi”$ 上（类似 RO，使用一个字典 $Q_S$ 记录第一次对 $m_i$ 的签名结果 $Q_S[m_i] = Sign(sk,m_i;r)$ ，后续的 $m_j=m_i$ 的询问使用 $Q_S[m_j]$ 来回应）
安全的签名方案存在 $\iff$ OWF 存在。设 $Π\Pi$ 是安全签名方案，那么 $f(sk,m,Sign_{sk}(m;r),r)=(m,Sign_{sk}(m;r))$ 就是 OWF。
ROM 下，基于 trapdoor OWP 的签名方案：设 ${F_s,F_s^{-1}\}$ 是单向陷门置换， $H:\{0,1\}^* \to \{0,1\}^l$ 是随机预言机，那么签名算法为
$Sign_{sk}(m) = F^{-1}(sk,H(m))$
归约思路：单向性 $<$ 交互单向性 $<$ ROM 下不可伪造性。
RSA 方案：很简单，签名就是 $)Sign(d,m)=m^d \pmod{N}$ ，验签 $)m\overset{?}{=}\sigma^e\pmod{N}$
Hashed RSA 方案：令 $H$ 是 RO， $v k = (e, s), s k = (d, s)$ ，签名变为 $)Sign_{sk}(m)=h_s(m)^d\pmod N$
Probabilistic RSA 方案：签名时先随机选取 $r$ ，然后计算 $)Sign_{sk}(m)=h_s(r\|m)^d\pmod N$
ElGamal 方案：设 $H$ 是 CRHF，设置 $sk=x,vk=(p,g,y=g^x)$ ，签名
$)Sign_{sk}(m)=\left(r=g^k\pmod{p}, s=(H(m)-xr)k^{-1}\pmod{p-1}\right)$
验签 $)Ver_{vk}(m,(r,s))=1 \iff y^rr^s=g^{H(m)}\pmod{p}$

MAC

若 PRF 存在，那么 EUF-CMA 的长度受限的 MAC 存在。令 $}t}\{F_k:\{0,1\}^l \to \{0,1\}^t\}$ 是PRF，那么 $Mac(k,m)=F_k(m)$ 。安全归约时，伪造 $(m, t a g)$ 就是对 $F_k(m)$ 的预测。
若长度受限的 MAC 存在，那么任意长度的一般 MAC 存在。类似签名的扩展方案，分块、CRHF、SPRHF。
Enc-and-MAC 是 INT-PTXT 的，不是 IND-CPA 的，不是 INT-CTXT 的。由于 MAC 是确定性函数，因此 CPA 下两个不同消息的密文很容易区分，只需调用一次加密 Oracle 即可。MAC 没作用在密文上，IND-CPA 的加密方案不满足 INT-CTXT。安全的 MAC 本身就是 INT-PTXT 的。
MAC-then-Enc 是 IND-CPA 的，是 INT-PTXT 的，但不是 INT-CTXT 的。内层是安全的 MAC，因此明显是 INT-PTXT 的。最外层是 IND-CPA 的加密方案，因此明显是 IND-CPA 的。然而，假设密文形如 $(r, c, d)$ ，其中 $d$ 是冗余项不参与解密运算，那么构造 $)(r,c,d’\neq d)$ 就得到了一个伪造的密文。
Enc-then-MAC 是 IND-CCA2 的，且是 INT-PTXT / INT-CTXT 的。由于密文上 MAC 的不可伪造性，使得敌手无法从解密预言机中获取知识，因此 CPA 等价于 CCA2。

安全性归约（构造 2）

文章目录

Encryption

私钥

公钥

Signature

MAC

最新关注

热文推荐

微信小程序获取用户openid

基于Java+SpringBoot+Vue前后端分离剧本杀服务平台设计和实现

【2023年度总结与2024展望】听听一位初中生的感想

React 框架

【附源码】计算机毕业设计SSM校园二手商品交易系统

ES6的Promise详解

安全性归约（构造 2）

文章目录

Encryption

私钥

公钥

Signature

MAC

相关文章

最新关注

热文推荐