超级会员免费看
形式不可区分性扩展到随机预言机模型
1. 基础概念与定理
首先定义了一个序关系,若 $(D_1, I_1) ⊏(D_2, I_2)$ 当且仅当 $D_1 ⊆D_2$ 且 $I_1 ⊆I_2$。有如下定理:
设 $(S_d, S_i)$ 是一个良构的关系对,那么存在唯一最小(关于序关系 $⊏$)的 $(FNDR, FIR)$ 对,记为 $(⟨S_d⟩̸≻, ⟨S_i⟩∼ =)$,使得 $⟨S_d⟩̸≻⊇S_d$ 且 $⟨S_i⟩∼ = ⊇S_i$。此外,如果 $=E$ 是 $=$ - 可靠的,$S_d$ 是 $̸⊢$ - 可靠的,$S_i$ 是 $≈$ - 可靠的,那么 $⟨S_d⟩̸≻$ 也是 $̸⊢$ - 可靠的,$⟨S_i⟩∼ =$ 也是 $≈$ - 可靠的。
当 $=E$ 是 $=$ - 忠实的时,规则 (HE1) 和 (HD1) 可以加强:“如果 $σ[r/h(T )]$ 不包含任何形式为 $h(•)$ 的子项” 可以替换为 “对于 $σ[r/h(T )]$ 的任何子项 $h(T ′)$,有 $T ̸=E T ′$”。
2. 应用框架
将框架应用于证明几种非对称加密通用构造的 IND - CPA 安全性。考虑由初始集合 $(S_d, S_i)$ 在不同等式理论中生成的关系对 $(̸≻, ∼=) = (⟨S_d⟩̸≻, ⟨S_i⟩∼ =)$。假设所有考虑的 $=E$、$S_d$、$S_i$ 都满足上述定理的条件。需要强调的是,只要 $S_d$ 和 $S_i$ 编码的计算假设仍然成立,添加其他等式不会破坏证明结果的计算可靠性。
2.1 通用抽象代数
引入一个通用抽象代数,考虑三种类型 Data、Data1、Data2,以及符号:
- $|| : Data1 × Data2 →Data$
- $⊕S : S × S →S$,$0S : S$($S ∈{Data, Data1, Data2}$)
- $πj : Data →Dataj$($j ∈{1, 2}$)
为了简化,使用 $⊕$ 和 $0$ 时省略 $S$。等式理论 $E_g$ 由以下等式生成:
|等式编号|等式内容|
| ---- | ---- |
|(XEq1)|$x ⊕0=E_g x$|
|(XEq2)|$x ⊕y=E_g y ⊕x$|
|(PEq1)|$π_1(x||y)=E_g x$|
|(XEq3)|$x ⊕x=E_g 0$|
|(XEq4)|$x ⊕(y ⊕z)=E_g (x ⊕y) ⊕z$|
|(PEq2)|$π_2(x||y)=E_g y$|
其中,$||$ 用于模拟连接,$⊕$ 是经典的异或运算,$π_j$ 是投影运算。接下来的规则是第 4 节闭包规则的推论:
- (SyE):如果 $φ_1 ∼= φ_2$,那么 $φ_2 ∼= φ_1$。
- (TrE):如果 $φ_1 ∼= φ_2$ 且 $φ_2 ∼= φ_3$,那么 $φ_1 ∼= φ_3$。
- (XE1):如果 $r ̸∈(fn(σ) ∪fn(T ))$,那么 $νn.r.{σ, x = r ⊕T } ∼= νn.r.{σ, x = r}$。
- (CD1):如果 $(φ ̸≻T_1 ∨φ ̸≻T_2)$,那么 $φ ̸≻T_1||T_2$。
- (XD1):如果 $νn.σ ̸≻T$ 且 $r ̸∈(n ∪fn(T ))$,那么 $νn.r.{σ, x = r ⊕T } ̸≻T$。
2.2 符号模型中的陷门单向函数
为了模拟陷门单向函数,扩展上述代数。添加类型 $iData$ 和新符号:
- $f : Data × Data →iData$
- $f^{-1} : iData × Data →Data$
- $pub : Data →Data$
其中,$f$ 是陷门置换,$f^{-1}$ 是其逆函数。扩展等式理论:
- (OEq1):$f^{-1}(f(x, pub(y)), y) =E_g x$
为了简化符号,使用 $f_k(•)$ 代替 $f(•, pub(k))$。为了捕捉函数 $f$ 的单向性,定义 $S_i = ∅$ 和 $S_d = {(νk.r.{x_k = pub(k), x = f_k(r)}, r)}$。
Bellare - Rogaway 加密方案的框架编码为:
$φ_{br}(m) = νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕m, z = h(m||r)}$
其中,$m$ 是待加密的明文,$f$ 是陷门单向函数,$g$ 和 $h$ 是哈希函数(在 ROM 模型中为预言机)。
为了编码加密方案的 IND - CPA 安全性,仅证明对于任意两个消息 $m_1$ 和 $m_2$ 有:
$νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕m_1, z = h(m_1||r)} ∼= νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕m_2, z = h(m_2||r)}$ 是不够的。因为没有考虑到对手是自适应的,她可以根据公钥选择挑战。必须证明更强的等价性:对于任意项 $p(x_k)$ 和 $p′(x_k)$,有
$νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕p(x_k), z = h(p(x_k)||r)} ∼= νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕p′(x_k), z = h(p′(x_k)||r)}$
实际上,只需证明 $νk.r.s.t.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕p(x_k), z = h(p(x_k)||r)} ∼= νk.r.s.t.{x_k = pub(k), x_a = f_k(r), y = s, z = t}$。通过传递性,这意味着对于对手为 $p(x_k)$ 选择的任意两个挑战,她得到的分布是不可区分的。
由 $S_d$ 的定义和闭包规则得到以下规则:
- (OD1):如果 $f$ 是单向函数,那么 $νk.r.{x_k = pub(k), x = f_k(r)} ̸≻r$。
- (ODg1):如果 $f$ 是单向函数且 $νn.νk.{x_k =pub(k), x=T } ∼= νr.νk.{x_k = pub(k), x = r}$,那么 $νn.νk.{x_k = pub(k), x = f_k(T )} ̸≻T$。
下面是 Bellare - Rogaway 方案 IND - CPA 安全性证明的流程图:
graph LR
A({σ2} ̸≻r) --> B({σ2, y = s′} ̸≻r)
B --> C({σ2, y = g(r)} ̸≻r)
C --> D({σ2, y = g(r) ⊕p(xk), z = t} ̸≻r)
D --> E({σ2, y = g(r) ⊕p(xk), z = t} ̸≻p(xk)||r)
E --> F({σ2, y = g(r) ⊕p(xk), z = h(p(xk)||r)} ∼= {σ2, y = g(r) ⊕p(xk), z = t})
F --> G({σ2, y = g(r) ⊕p(xk), z = h(p(xk)||r)} ∼= {xk = pub(k), xa = fk(r), y = s, z = t})
2.3 符号模型中的部分单向函数
展示如何处理陷门部分单向函数。要求函数 $f$ 具有比单向性更强的性质。设 $Data1$ 是一种新类型,$f : Data1 × Data × Data →iData$ 和 $f^{-1} : iData × Data →Data1$ 满足:
- (OEq1):$f(f^{-1}(x, y), z, pub(y)) =E_g x$
如果对于任意给定的 $f(r, s, pub(k))$,在没有陷门 $k$ 的情况下无法在多项式时间内计算出相应的 $r$,则称函数 $f$ 是部分单向的。为了处理 $f$ 的部分单向性,定义 $S_i = ∅$ 和 $S_d = {(νk.r.s.{x_k = pub(k), x = f_k(r, s)}, r)}$。
Pointcheval 提出的加密方案的框架编码为:
$φ_{po}(m) = νk.r.s.{x_k = pub(k), x_a = f_k(r, h(m||s)), y = g(r) ⊕(m||s)}$
其中,$m$ 是待加密的明文,$f$ 是陷门部分单向函数,$g$ 和 $h$ 是哈希函数。
为了证明该方案的 IND - CPA 安全性,需要证明 $νk.r.s.s_1.s_2{x_k = pub(k), x_a = f_k(r, h(p(x_k)||s)), y = g(r) ⊕(p(x_k)||s)} ∼= νk.r.s.s_1.s_2.{x_k = pub(k), x_a = f_k(r, s_1), y = s_2}$。
由 $S_d$ 的定义得到规则:
- (ODp1):如果 $f$ 是单向函数,那么 $νk.r.s.{x_k = pub(k), x = f_k(r, s)} ̸≻r$。
2.4 计算 Diffie - Hellman (CDH) 假设
证明在 CDH 假设下,随机预言机模型中 Hash - ElGamal 加密方案变体的 IND - CPA 安全性。考虑两种类型 $G$ 和 $A$,符号函数:
- $exp : G × A →G$
- $∗: A × A →A$
- $0_A : A$
- $1_A : A$
- $1_G : G$
用 $M^N$ 代替 $exp(M, N)$。扩展 $E_g$ 由以下等式:
|等式编号|等式内容|
| ---- | ---- |
|(XEqe1)|$(x^y)^z =E_g x^{y∗z}$|
|(XEqe2)|$x^{1_A} =E_g x$|
|(XEqe3)|$x^{0_A} =E_g 1_G$|
为了在符号模型中捕捉 CDH 假设,定义 $S_i = ∅$ 和 $S_d = {(νg.r.s.{x_g = g, x = g^s, y = g^r}, g^{s∗r})}$。得到规则:
- (CDH):$νg.r.s.{x_g = g, x = g^s, y = g^r} ̸≻g^{s∗r}$
Hash - ElGamal 加密方案的框架编码为:
$φ_{hel}(m) = νg.r.s.{x_g = g, x = g^s, y = g^r, z = h(g^{s∗r}) ⊕m}$
其中,$m$ 是待加密的明文,$(g, g^s)$ 是公钥,$h$ 是哈希函数。
下面是 Hash - ElGamal 方案 IND - CPA 安全性证明的流程图:
graph LR
A({σe} ̸≻gs∗r) --> B({σe, z = t} ̸≻gs∗r)
B --> C({σe, z = h(gs∗r)} ∼= {σe, z = t})
C --> D({σe, z = h(gs∗r) ⊕p(x, xg)} ∼= {σf })
D --> E({σf } ∼= {σe, z = t})
E --> F({xg = g, x = gs, y = gr, z = h(gs∗r) ⊕p(x, xg)} ∼= {xg = g, x = gs, y = gr, z = t})
3. 静态等价与 FIR
将可演绎性和静态等价的定义适配到框架中,并说明它们作为不可区分性和弱保密性的抽象过于粗糙。实际上,命题 1 表明它们是比 FIR 和 FNDR 更粗糙的不可区分性和弱保密性近似。
3.1 可演绎性定义
一个(封闭)项 $T$ 从框架 $φ$ 中可演绎(其中 $(p_i) {i∈I} = pvar(φ)$),记为 $φ ⊢T$,当且仅当存在一个项 $M$ 和一组项 $(M_i) {i∈I}$,使得 $var(M) ⊆dom(φ)$,$ar(M_i) = ar(p_i)$,$fn(M, M_i) ∩n(φ) = ∅$ 且 $(M =E T )(φ[(M_i(T_{i1},…, T_{ik})/p_i(T_{i1},…, T_{ik}))_{i∈I}])$。用 $̸⊢$ 表示 $⊢$ 的逻辑否定。
例如,考虑框架 $φ = νk_1.k_2.s_1.s_2.{x_1 = k_1, x_2 = k_2, x_3 = h((s_1 ⊕k_1) ⊕p(x_1, x_2)), x_4 = h((s_2 ⊕k_2) ⊕p(x_1, x_2))}$ 和等式理论 $E_g$。则 $h(s_1)⊕k_2$ 可从 $φ$ 演绎,因为 $h(s_1)⊕k_2 =E_g x_3[x_1/p(x_1, x_2)]⊕x_2$,但 $h(s_1) ⊕h(s_2)$ 不可演绎。
如果考虑框架 $φ′ = νk.r.s.{x_k = pub(k), x = f_k(r||s)}$(其中 $f$ 是陷门单向函数),则 $r||s$ 和 $r$ 都不可从 $φ′$ 演绎。$f$ 的单向性通过在未披露 $k$ 的情况下无法求逆来建模。虽然对于 $r||s$ 来说这与 $f$ 的计算保证相符,但假设 “仅仅” 单向的 $f$ 不能计算出 $r$ 似乎太强了,这引发了对 $̸⊢$ 作为弱保密性良好抽象的公平性的怀疑。
3.2 测试与静态等价定义
- 框架 $φ$ 的一个测试是一个元组 $Υ = ((M_i) {i∈I}, M, N)$,使得 $ar(M_i) = ar(p_i)$,$var(M, N) ⊆dom(φ)$,$fn(M, N, M_i) ∩n(φ) = ∅$。框架 $φ$ 通过测试 $Υ$ 当且仅当 $(M =E N)(φ[(M_i(T {i1},…, T_{ik})/p_i(T_{i1},…, T_{ik}))_{i∈I}])$。
-
两个框架 $φ_1$ 和 $φ_2$ 是静态等价的,记为 $φ_1 ≈E φ_2$,当且仅当:
- $dom(σ_1) = dom(σ_2)$;
- 对于任意测试 $Υ$,$φ_1$ 通过测试 $Υ$ 当且仅当 $φ_2$ 通过测试 $Υ$。
例如,框架 $φ_1 = νk.s.{x_1 = k, x_2 = h(s) ⊕(k ⊕p(x_1))}$ 和 $φ_2 = νk.s.{x_1 = k, x_2 = s ⊕(k ⊕p(x_1))}$ 关于 $E_g$ 是静态等价的。但框架 $φ′_1 = νk.s.{x_1 = k, x_2 = h(s) ⊕(k ⊕p(x_1)), x_3 = h(s)}$ 和 $φ′_2 = νk.s.{x_1 = k, x_2 = s⊕(k⊕p(x_1)), x_3 = h(s)}$ 不是静态等价的,因为 $φ′_2$ 通过测试 $((x_1), x_2, x_3)$,而 $φ′_1$ 不通过。
考虑第 5.2 节的等式理论,框架 $νg.a.b.{x_1 = g, x_2 = g^a, x_3 = g^b, x_4 = g^{a∗b}}$ 和 $νg.a.b.c.{x_1 = g, x_2 = g^a, x_3 = g^b, x_4 = g^c}$ 是静态等价的,这符合 DDH 假设。但合理性意味着更多,甚至 $νg.a.b.{x_1 = g, x_2 = g^a, x_3 = g^b, x_4 = g^{a^2∗b^2}}$ 和 $νg.a.b.c.{x_1 = g, x_2 = g^a, x_3 = g^b, x_4 = g^c}$ 也会是静态等价的,在计算环境中这是不合理的。
与不可演绎性类似,将 FIR 作为不可区分性的抽象的优势在于,如果按照初始计算假设(即 $S_i$)以一致的方式添加等式,证明仍然具有计算可靠性。命题 1 指出,如果考虑初始合理的集合 $S_d$ 和 $S_i$,则可以得到比 $̸⊢$ 和 $≈E$ 更精细的不可区分性和弱保密性近似。
4. 总结
开发了一个将形式模型与计算模型联系起来的通用框架,用于随机预言机模型中的通用加密方案。提出了形式不可区分性关系和形式非可推导关系的通用定义,这些符号关系在构造上具有计算可靠性。在几个方面扩展了先前的工作:
- 框架可以应对自适应对手,这对于证明 IND - CPA 安全性是必需的。
- 许多通用构造使用单向函数,并且通常在随机预言机模型中进行分析,因此需要在计算世界中捕捉弱保密性。
- 提出的闭包规则旨在最小化依赖于密码原语和假设的初始关系。
通过几个通用加密方案(如 Bellare 和 Rogaway 提出的方案、Hash El Gamal 方案以及 Pointcheval 提出的方案)说明了框架的应用,证明了它们的 IND - CPA 安全性。
未来计划研究各种等式符号理论的(相对)完备性。其他扩展包括处理完全主动的对手或精确安全性(例如定义不可区分性为达到某个明确概率 $p$ 而不是可忽略的概率)。
形式不可区分性扩展到随机预言机模型
5. 框架的优势与意义
该框架在密码学的研究和实践中具有重要的意义,其优势主要体现在以下几个方面:
5.1 适应性与安全性证明
框架能够应对自适应对手,这是证明 IND - CPA 安全性的关键。在实际的加密场景中,对手往往具有自适应的能力,他们可以根据所获取的信息动态地选择攻击策略。传统的分析方法可能无法有效地处理这种自适应对手,而该框架通过引入相关的概念和规则,使得能够准确地模拟和分析自适应对手的行为,从而为加密方案的安全性提供更可靠的证明。
5.2 单向函数的处理
许多通用的加密构造都使用了单向函数,并且通常在随机预言机模型中进行分析。该框架能够很好地捕捉单向函数在计算世界中的弱保密性。通过合理定义关系对 $(̸≻, ∼=)$,可以准确地描述单向函数的性质,从而为使用单向函数的加密方案提供了有效的分析工具。
5.3 闭包规则的优化
提出的闭包规则旨在最小化依赖于密码原语和假设的初始关系。这使得框架更加灵活和通用,能够适应不同的加密方案和等式理论。在实际应用中,不同的加密方案可能具有不同的密码原语和假设,通过优化闭包规则,可以减少对这些特定因素的依赖,从而提高框架的适用性。
6. 不同加密方案的分析对比
下面对文中涉及的几种加密方案进行分析对比,以更清晰地了解它们的特点和安全性。
| 加密方案 | 方案描述 | 关键函数 | 安全性证明要点 |
|---|---|---|---|
| Bellare - Rogaway 加密方案 | $φ_{br}(m) = νk.r.{x_k = pub(k), x_a = f_k(r), y = g(r) ⊕m, z = h(m | r)}$ | |
| Pointcheval 加密方案 | $φ_{po}(m) = νk.r.s.{x_k = pub(k), x_a = f_k(r, h(m | s)), y = g(r) ⊕(m | |
| Hash - ElGamal 加密方案 | $φ_{hel}(m) = νg.r.s.{x_g = g, x = g^s, y = g^r, z = h(g^{s∗r}) ⊕m}$ | 基于 CDH 假设,哈希函数 $h$ | 证明在 CDH 假设下,通过相关规则得出加密方案的不可区分性 |
从上述对比可以看出,不同的加密方案使用了不同的关键函数和等式理论,但其安全性证明的核心都是围绕着形式不可区分性关系和形式非可推导关系展开的。通过框架提供的规则和方法,可以对这些加密方案进行有效的分析和证明。
7. 未来研究方向的深入探讨
未来的研究方向具有很大的潜力和挑战,下面对文中提到的未来计划进行深入探讨。
7.1 等式符号理论的完备性研究
研究各种等式符号理论的(相对)完备性是一个重要的研究方向。等式符号理论在加密方案的分析中起着关键的作用,其完备性直接影响到安全性证明的准确性和可靠性。通过研究等式符号理论的完备性,可以更好地理解加密方案的性质和安全性,为加密方案的设计和分析提供更坚实的理论基础。
研究过程可以分为以下几个步骤:
1.
定义完备性标准
:明确等式符号理论的完备性的定义和标准,确定需要满足的条件。
2.
分析现有理论
:对现有的等式符号理论进行分析,找出可能存在的不完备之处。
3.
提出改进方法
:根据分析结果,提出改进等式符号理论的方法和策略,以提高其完备性。
4.
验证和评估
:对改进后的等式符号理论进行验证和评估,确保其满足完备性标准。
7.2 处理完全主动的对手
处理完全主动的对手是另一个具有挑战性的研究方向。在实际的加密场景中,对手可能具有完全主动的能力,他们可以主动地干扰和破坏加密通信。传统的分析方法往往只能处理被动对手,而无法有效地应对完全主动的对手。该框架可以进一步扩展以处理完全主动的对手,例如通过引入更多的规则和概念来模拟主动对手的行为。
处理完全主动对手的步骤可以如下:
1.
定义主动对手模型
:明确完全主动对手的行为模式和能力,建立相应的模型。
2.
扩展框架规则
:根据主动对手模型,扩展框架的规则和概念,使其能够模拟主动对手的行为。
3.
进行安全性分析
:使用扩展后的框架对加密方案进行安全性分析,评估其在面对完全主动对手时的安全性。
4.
优化加密方案
:根据分析结果,对加密方案进行优化,提高其抵抗完全主动对手的能力。
7.3 精确安全性的研究
精确安全性的研究也是一个有意义的方向。传统的安全性定义通常使用可忽略的概率来描述不可区分性,而精确安全性则定义不可区分性为达到某个明确概率 $p$。这可以更准确地评估加密方案的安全性,特别是在对安全性要求较高的场景中。
研究精确安全性可以按照以下步骤进行:
1.
定义精确安全性概念
:明确精确安全性的定义和标准,确定不可区分性的明确概率 $p$。
2.
修改框架定义
:根据精确安全性的概念,修改框架中形式不可区分性关系和形式非可推导关系的定义,使其能够适应精确安全性的要求。
3.
进行安全性证明
:使用修改后的框架对加密方案进行安全性证明,评估其精确安全性。
4.
比较与分析
:将精确安全性的结果与传统的可忽略概率安全性结果进行比较和分析,评估精确安全性的优势和局限性。
8. 总结与展望
该框架为随机预言机模型中的通用加密方案提供了一个强大的分析工具,通过提出形式不可区分性关系和形式非可推导关系的通用定义,使得能够在形式模型和计算模型之间建立有效的联系。在多个方面扩展了先前的工作,提高了框架的适用性和安全性证明的可靠性。
未来的研究方向具有很大的潜力和挑战,通过研究等式符号理论的完备性、处理完全主动的对手和精确安全性等问题,可以进一步完善该框架,为加密方案的设计和分析提供更有力的支持。相信在不断的研究和发展中,该框架将在密码学领域发挥更加重要的作用。
下面是一个总结框架优势和未来研究方向的 mermaid 流程图:
graph LR
A(框架优势) --> B(应对自适应对手)
A --> C(处理单向函数)
A --> D(优化闭包规则)
E(未来研究方向) --> F(等式符号理论完备性)
E --> G(处理完全主动对手)
E --> H(精确安全性研究)
通过这个流程图,可以更清晰地看到框架的优势和未来的研究方向之间的关系,为进一步的研究提供了清晰的思路。
扫一扫
45
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
