25、对称加密技术：从基础到证明

对称加密技术：从基础到证明

1. 对称加密的两种安全概念关联

在对称加密领域，有两个重要的安全概念：IND - CPA（选择明文攻击下的不可区分性）和 FTG - IND - CPA（先找到后猜测的选择明文攻击下的不可区分性）。存在这样的关系：对于任意高效的针对 IND - CPA 安全的敌手 B，若其对 LoR 预言机最多进行 q(λ) 次调用，那么存在一个高效的敌手 A，使得 $Adv_{SE,B}^{ind - cpa}(\lambda) \leq q(\lambda) \cdot Adv_{SE,A_1,A_2}^{ftg - ind - cpa}(\lambda)$。

当证明任何 IND - CPA 安全的方案 SE 也是 FTG - IND - CPA 安全时，我们可以通过使用 LoR 预言机来模拟更简单的 Enc 预言机。具体做法是，将相同的消息作为左右消息调用 LoR 预言机。从针对先找到后猜测 IND - CPA 概念的敌手 B 构造针对（左或右）IND - CPA 概念的敌手 A 的过程如下：
- 敌手 B 运行第一阶段 A1，用其 LoR 预言机按上述方式模拟 Enc 预言机。
- 当“查找阶段”结束时，A1 输出两条消息 $(m_0, m_1)$ 和一些状态。
- 敌手 B 通过对消息对 $(m_0, m_1)$ 调用其 LoR 预言机来获得挑战密文，然后运行 A2 完成模拟。

而反向证明则更具挑战性。若要进行归约，我们需从针对左或右 IND - CPA 安全的敌手 B 构造针对先找到后猜测类型的敌手 A。由于 B 只有一个阶段，而我们的归约（敌手 A）有两个阶段，需要联合使用敌手 B。这里采用混合论证的思想：
假设