47、可证明安全性的几何与密码学压缩技术

可证明安全性的几何与密码学压缩技术

1. 可证明安全性相关定理

在可证明安全性的研究中，有几个重要的定理值得关注。对于RSA - OAEP，若存在一个自适应选择密文攻击者A，其针对k位模数（k > 2k0）的RSA - OAEP进行攻击，运行时间为t，优势为ε，分别对解密预言机、哈希函数G和H进行qD、qG和qH次查询。此时，可以构造一个算法B来解决RSA问题，该算法成功的概率至少为：
[
\frac{\varepsilon^2}{4} \cdot \left(1 - \left(\frac{2q_Dq_G + q_D + q_G}{2^{k_0}} + \frac{2q_D}{2^{k_1}} + \frac{32}{2^{k - 2k_0}}\right)\right)
]
且运行时间(t’ \leq 2t + q_H \cdot (q_H + 2q_G) + O(k^3))。

2. SAEP：OAEP的简化方案

OAEP可看作两轮Feistel密码，实际上可以简化为一轮Feistel密码。Boneh提出了简化的填充方案SAEP和SAEP + ：
- (SAEP(m, r) = s || r)，其中(s = G(r) \oplus (m || 0^{k_1}))
- (SAEP+(m, r) = s || r)，其中(s = G(r) \oplus (m || H(m, r)))

这里主要关注SAEP，特别是Rabin - SAEP。在Rabin - SAEP中，发送方选择随机的(r \in {0, 1}^{k_0})，计算(w = SAEP(m, r))，并发送密文(y = w^2 \