19、选择密文攻击安全性与认证加密及哈希函数的深入解析

选择密文攻击安全性与认证加密及哈希函数的深入解析

1. 选择密文攻击安全性与认证加密

1.1 认证加密的基本原理与安全性证明

认证加密（AE）以概率多项式时间运行。当事件“ValidQuery”不发生时，作为 AE 子例程运行的敌手 A 的视图，与在实验“PrivKcca A,Π(n)”中 A 的视图分布相同。因此，AE 成功的概率至少是 A 成功且“ValidQuery”不发生的概率，即：
[Pr[PrivKcpa_{AE,ΠE}(n) = 1] \geq Pr[PrivKcpa_{AE,ΠE}(n) = 1 \land ValidQuery] = Pr[PrivKcca_{A,Π}(n) = 1 \land ValidQuery]]
由于加密方案“ΠE”是选择明文攻击（CPA）安全的，存在一个可忽略函数“negl”，使得 (Pr[PrivKcpa_{AE,ΠE}(n) = 1] \leq \frac{1}{2} + negl(n))。结合上述等式，可证明加密方案“Π”是选择密文攻击（CCA）安全的。

1.2 独立密钥的必要性

密码学的一个基本原则是，不同的密码原语实例应始终使用独立的密钥。以加密 - 认证方法为例，如果使用相同的密钥“k”进行加密和认证，可能会出现安全问题。设“F”是一个强伪随机置换，那么“F⁻¹”也是强伪随机置换。定义加密函数 (Enck(m) = Fk(m \parallel r))（其中 (m \in {0, 1}^{n/2})，“r”是长度为“n/2”的均匀随机字符串），该加密方案是 CPA 安全的；定义认证函数 (Mack(c) = F^{-1}k(c))，这是一个强安全的认证方案。然而，当使用相同的密