47、现代密码学中的公钥加密方案解析

现代密码学中的公钥加密方案解析

1. 基于CDH假设的KEM在随机预言模型中的CPA安全性

在随机预言模型下，如果将函数 $H$ 建模为随机预言机，那么可以基于CDH（计算Diffie - Hellman）假设证明某个构造（Construction 12.19）具有CPA（选择明文攻击）安全性。

从直观上看，CDH假设意味着攻击者在观察到公钥中的 $h = g^x$ 和密文 $c = g^y$ 时，无法计算出 $DHg(h, c) = h^y$。这就使得攻击者不能向随机预言机查询 $h^y$，从而从攻击者的角度来看，封装密钥 $H(h^y)$ 是完全随机的。

具体证明过程如下：
设 $\Pi$ 表示Construction 12.19，$A$ 是一个概率多项式时间（ppt）敌手。要证明存在一个可忽略函数 $negl$，使得 $Pr[KEM_{cpa}^{A,\Pi}(n) = 1] \leq \frac{1}{2} + negl(n)$。
考虑实验 $KEM_{cpa}^{A,\Pi}(n)$ 的一次执行，其中公钥为 $\langle G, q, g, h \rangle$，密文为 $c = g^y$，定义事件 $Query$ 为敌手 $A$ 向 $H$ 查询 $DHg(h, c) = h^y$。
则有：
$Pr[KEM_{cpa}^{A,\Pi}(n) = 1] = Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land Query] + Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land \neg Query]$
$\leq Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land Que