详解语义安全(semantically secure)

最新推荐文章于 2025-08-12 17:33:27 发布
原创 最新推荐文章于 2025-08-12 17:33:27 发布 · 2.3k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#现代密码学

目录

一. 引入

二. 密文与明文

2.1 通俗性理解

2.2 定理

2.3 定理理解

三. 语义安全的第一个版本

3.1 基本理解

3.2 定理

3.3 定理理解

四. 语义安全的第二个版本

4.1 直观解释

4.2 小结

一. 引入

密码学中安全加密要求:敌手(adversary)根据密文(ciphertext)不能推导出关于明文(plaintext)的任何信息。

本文将重点介绍语义安全(semantic security)的理解。

二. 密文与明文

2.1 通俗性理解

密码学的目标:密文不会泄露明文的任何一比特信息。

Enc:加密方案

Dec:解密方案

Gen:产生密钥。在不外加条件的情况下,通常认为Gen算法输出的密钥为n比特的均匀分布。

Message:明文。l比特可写作:

在理想条件下,攻击者在拿到密文后,猜测明文m的第i个比特(可以写做m^i)的概率为1/2.也就等同于胡乱猜测。

2.2 定理

PPT:probabilistic polynomial-time algorithm 概率多项式时间算法

negl:negligible 可忽略函数

假定某对称加密方案的明文是固定长度的,写做:

明文的长度为l,第i位比特。

给定任意的PPT敌手A,以下式子是满足的:

通常认为明文m与密钥k是均匀分布的:

需要注意的是,敌手A是具有随机性的。加密算法Enc也是有随机性的。

2.3 定理理解

证明过程比较繁琐,建议了解的小伙伴略过此部分。

本小节给出一个有意思的安全性归约证明(proofs by reduction)。

对于密文Enc(m),如果敌手可以确定出明文的第i个比特会发生什么?

换句话说,如果有两个明文m0与m1,这两个明文的第i个比特不一样。敌手就可以区分出这两个明文对应的密文。很明显这违反了我们加密的目标。

密码学需要构造两个敌手A和A',通过归约证明,来验证安全性。

引入一个PPT的敌手A,以及比特i:

第一个集合I0代表所有第i个比特为0的比特串:

第二个集合I1代表所有第i个比特为0的比特串:

明文m0要么来自于I0,要么来自于I1.而且两者的概率肯定是相等的。由此可得:

两个概率均代表敌手猜对的概率。

接下来我们构建另外一个敌手A'

第一步:均匀选取m0与m1,如下:

第二步:给定密文c。将密文c输入到敌手A的程序中:

如果A输出0,那么b'=0;如果A输出1,那么b'=1.

因为A是多项式时间的,所以A'也是多项式时间的。

对于敌手A'来讲,将其试验的结果表示为:

核心:当A成功时,A'也就成功了。由此可得:

第一个概率代表A'的试验输出1,也就是A'成功的概率;

第二个概率代表A成功的概率;

第三行代表分成两种情况;

第四行代表猜对明文m的第i个比特。

因为密码方案(Enc,Dec)是安全的。所以A'成功的概率是不会优于1/2,也就是:

最终可得敌手A不会猜出明文m的任意1比特信息:

三. 语义安全的第一个版本

3.1 基本理解

更进一步的目标:给定明文m的分布D,我们希望没有PPT敌手可以从密文学习到关于明文m的任意函数f信息。

我们希望给定密文Enc(m),敌手正确计算f(m);

敌手根据m的分布,直接计算f(m);

我们希望这两者的概率是一样的。也就是密文并没有起到任何辅助的作用,这样才能满足密码学的要求。

3.2 定理

(Enc,Dec):固定明文长度的对称加密方案,其中明文长度为l

明文的分布为D:

A与A'均为PPT算法

函数f定义为:

以下两个概率相减是可忽略的:

第一个概率:明文m是根据分布D选取的,密钥k是n长的均匀分布。算法A与加密Enc本身会引入随机性。

第二个概率:明文m是根据分布D选取的,算法A'会引入随机性。

3.3 定理理解

证明过程比较繁琐,建议了解的小伙伴略过此部分。

假定有两种明文。第一个是从分布D中随机选取,第二个是全为1的比特串,也就是:

Enc_k(m)\quad Enc_k(1^l)

如果加密方案是安全的,那么PPT敌手无法区分这两个密文。

接下来我们按密码学的语言来进行解释。

从分布D中选取m0.

确定m1为:

密文c可以是对m0进行加密,也可以是对m1进行加密。

将该密文输入到算法A中。如果A可以输出f(m),那么试验结果为0.

情况1:给定对m的加密,输出f(m)

情况2:给定对全为1的加密,输出f(m)

这两者其实是相等的。

四. 语义安全的第二个版本

本小节介绍是最全面的版本。

4.1 直观解释

明文为任意分布,可以由某些多项式时间算法产生Samp

可以允许敌手额外获取某些关于明文的信息h(m)。

消息的长度是任意的,该长度敌手可获取。|m|代表明文的长度

综上目前有两个多项式时间可计算的函数f与h

语义安全要求以下表达式是可忽略的:

明文输入依靠算法:

密钥k均匀选取,Enc和A,还有A'本身具有随机性。

第一个概率理解:敌手A拥有密文Enc(m),外部信息h(m)。尝试猜测f(m)的值

第二个概率理解:A'的目标也是尝试猜测f(m)的值,但只知道m的长度与h(m)的值。

语义安全要求A和A'猜测的概率是相等的。

换句话说,语义安全要求密文Enc(m)不会泄露关于f(m)的任何信息。

4.2 小结

语义安全跟不可区分安全是等效的。

什么是语义搜索引擎优化? What is Semantic SEO?
AI天才研究院
07-25 359
语义方法会产生更广泛的关键字覆盖范围,从而针对搜索引擎算法的波动性提供保护,这与追逐特定的、通常不稳定的关键字的策略不同。语义搜索引擎优化专注于相关性和关系,在提供与用户意图产生共鸣的内容方面优于传统的以关键字为中心的方法。采用语义搜索引擎优化策略的网站更有可能出现在语音搜索和基于问题的查询中,而传统的关键字优化可能会错过这些途径。在搜索引擎优化领域,WeAreKinetica 表现出色,提供专业的 SEO 服务,包括语义 SEO 内容,旨在利用这些原则并确保客户最大的在线可见性和参与度。
SeMask: Semantically Masked Transformers for Semantic Segmentation(论文解读)
qq_46981910的博客
04-22 1120
《用于语义分割的语义掩蔽Transformer》这是一篇2023发布在ICCV期刊上论文。SeMask: Semantically Masked Transformers for Semantic Segmentation
斯坦福Dan Boneh密码学——02 计算密码与语义安全
weixin_47695607的博客
10-16 2457
斯坦福Dan Boneh密码学——学习笔记2
密码学 (cryptography I - Dan Boneh)【二】Stream ciphers
魔仙棒棒之主的博客
01-31 2750
学习课程:斯坦福大学密码学公开课 课件链接:https://pan.baidu.com/s/1vogTE2Flpzi9DmoclLPGQw 提取码:1mrp Stream ciphersThe One Time Pad学到此处的一些思考:熵与密码Pseudorandom GeneratorsNegligible vs. non-negligibleAttacks on OTP and stream ciphersReal-world Stream CiphersPRG Security Defs The O
现代密码学学习笔记(三)
m0_56024138的博客
08-11 1416
现代密码学笔记第三弹~
公钥密码体制的语义安全
yn7901的博客
07-27 1518
公钥密码体制的语义安全
密码学中的语义安全问题
weixin_30483495的博客
05-01 717
链接 转载于:https://www.cnblogs.com/lzhdcyy/p/6792068.html
41、语义安全——可证明安全的首次亮相
palm99的专栏
07-20 52
本文深入探讨了密码学中的语义安全概念及其在多个经典密码系统中的应用。从IND-CPA安全模型出发,分析了传统密码系统(如RSA、ElGamal)的不足,并通过SRA心理扑克协议说明其潜在的安全漏洞。文章重点介绍了Goldwasser和Micali提出的GM密码系统及其安全性依赖的二次剩余性假设,同时讨论了基于CSPRB生成器的高效加密方案,如Blum-Goldwasser系统,以及它们在实际应用中的优势和挑战。此外,还比较了不同密码系统的安全假设和效率,并展望了语义安全未来的发展趋势,包括多假设融合、量子抗
语义安全的顺序揭示加密技术解析
语义安全的顺序揭示加密(Semantically Secure Order-Revealing Encryption)是其中一项具有重要意义的技术,它涉及到多线性映射、排他分区族以及单密钥秘密密钥多输入功能加密(1SK - MIFE)等多个关键概念。...
词汇功能与语义关系详解
# 词汇功能与语义关系详解 ## 一、基本概念与术语 ### 1.1 词汇相关概念 在词汇研究领域,有众多基础概念需要了解。例如,“lexeme”(词位)包含广义(generalized)和通用(generic)等类型。通用词位在语义场中...
如何理解“语义安全(semantic security)“?
chinansa的博客
01-01 1251
假设明文m使用RSA OAEP加密两次,由于填充的随机性,两次得到的密文c1和c2在没有私钥的情况下看起来是完全不同的,攻击者很难判断它们是同一个明文的加密。对于两个等长的消息m0和m1,一个语义安全的加密算法应该使得攻击者在看到加密后的消息(密文)时,无法判断这个密文是m0的加密还是m1的加密,概率显著大于1/2。这样,即使云存储服务提供商的内部人员或者外部攻击者获取了存储的数据(密文),也无法了解数据的具体内容,因为加密算法保证了语义安全,使得从密文获取明文信息在计算上是不可行的。
流密码的语义安全性与PRG的安全
Crypto, Coding, Cracking
01-15 3918
PRG的安全性 PRG(Pseudo-random generators)即伪随机生成器。直观来说,PRG是一个高效的确定性算法,它以一个比特串作为输入,输出一个比特串,并且为了实用性一般情况下满足。那么PRG的安全性是什么含义呢?其实从PRG的名字就可以看得出来,PRG的安全性指的就是其输出具有伪随机性,即对于来说,和是计算不可区分的。形式化描述如下: 现在有一个PRG记为,一个挑战者,一个...
可证明安全
hhh_2333
06-17 3333
语义安全表示为攻击者即使已知某个消息的密文,也得不出该消息的任何部分信息,即使是1比特的信息。 在完美保密性中,对于等长的消息m,m属于可被该加密算法加密的消息空间,当m用密钥k加密后,加密结果无法得到m的任何信息。
密码学基础知识1
Flor de raíz_NQ
11-13 588
2020-7-06 本周主要完成了Pollard的p-1方法、Pollard的Rho方法、对称密钥加密的局限性及解决方法、Diffie-Hellman密钥交换协议、公钥加密基础、混合加密、RSA加密、ElGamal加密、二次剩余和二次非剩余的相关内容。 对称密钥加密在密钥分配、存储和保密问题以及在开放系统中的不适用性问题,无法真正做到安全的分配密钥。一个局部的解决方法是密钥分配中心,通信方都信任一个第三方,由第三方分发两方通信的会话密钥以及各个通信方的一个私钥。为了能够在没有隐蔽信道的情况下进行秘密通信,D
Katz 对称部分 3.2
theshot1989的博客
09-16 541
3.2.1关于安全的定义 定义背后的思想,敌人不能从密文获取明文的信息。因此要定义语义安全。 先从定义不可区分性开始 上述定义说明了,如果在上面的实验中,任何PPT敌手的成功概率的最大值高于0.5的部分可以忽略,则一个加密方案是安全的。 下面这个例子很具体的说明了不可区分加密的思想 下面是与之等价的定义 即如果敌手具备较高概率根据密文猜测出明文的某位bit的话,则不满足不可区分的加密。 上述的明文的某个bit是明文的一个信息,它可以表示为一种关于明文信息的函数。因此我们可以推广到任意的关于明文的
《A Graduate Coursse in Applied Cryptography》chapter 2 Encryption (2)
密码小仙女
05-12 758
《A Graduate Coursse in Applied Cryptography》chapter 2 Encryption (2) 原文教材: Boneh D, Shoup V. A graduate course in applied cryptography[J]. Recuperado de https://crypto. stanford. edu/~ dabo/cryptobook/BonehShoup_0_4. pdf, 2017. Boneh D, ...
密码学】9. 可证明安全
最新发布
m0_72516377的博客
08-12 1275
本文系统介绍了可证明安全的公钥密码体制及其核心概念。主要内容包括:1)语义安全的定义与IND-CPA、IND-CCA、IND-CCA2安全模型;2)基于RSA、ElGamal、Paillier和Cramer-Shoup等经典加密方案的可证明安全性分析;3)RSA-FDH和BLS短签名方案的安全构造;4)基于身份的密码体制(BF方案)及其安全模型;5)分叉引理在签名方案安全性证明中的应用。所有安全证明均基于计算困难性假设(如DDH、RSA、CDH等),并通过归约方法实现。特别地,Cramer-Shoup方案在
高级密码学复习番外篇
kaarwen的博客
12-10 2784
【扯蛋证明】FE和HE不满足语义安全 1、PKE语义安全性证明 A —— m0,m1⟶C⟵cb,b=0/1———— guess b=0/1→ A \ —— \ m_0,m_1\longrightarrow C \\ \longleftarrow c_b ,b=0/1—— \\ ——\ guess \ b=0/1 \rightarrow A —— m0​,m1​⟶C⟵cb​,b=0/1———— guess b=0/1→
密码学常用英文单词翻译
qq_44775134的博客
11-20 6203
algebraic:代数学的 number fields:数域,环的一种,如有理数域Q,实数域R,复数域C
路由routing逻辑路由、语义路由
12-28
### 路由类型的概述 路由机制在网络通信和软件架构设计中扮演着至关重要的角色。不同类型的路由适用于不同的应用场景和技术需求。 #### 逻辑路由的概念及特点 逻辑路由主要依赖于预定义的规则集来决定数据包或请求应转发到哪个目的地。这些规则可以基于源地址、目的地址或其他元数据属性。逻辑路由通常用于网络层,通过静态配置或动态协议自动调整路径选择策略[^1]。 对于应用程序内部而言,逻辑路由可能涉及根据输入参数匹配特定处理函数或模块: ```python def route_request(request_type, data): routes = { 'military': handle_military_news, 'sports': handle_sports_news, 'daily': handle_daily_news } handler = routes.get(request_type.lower(), default_handler) return handler(data) def handle_military_news(data): print("去找军事新闻记者") process_finished() def handle_sports_news(data): print("去找体育新闻记者") process_finished() def handle_daily_news(data): print("去找日常新闻记者") process_finished() ``` 此代码片段展示了如何利用字典映射实现简单的逻辑路由功能。 #### 语义路由的概念及特点 相比之下,语义路由更加智能化,它不仅考虑形式上的条件判断,还深入理解消息的内容含义。借助自然语言处理技术和机器学习模型,能够解析文本中的意图并据此做出更精准合理的分发决策。这种方式特别适合复杂多变的信息流环境,如社交媒体监控平台或是客服聊天机器人系统等场景下应用。 以下是简化版的语义路由示例,假设已经训练好了一个分类器`semantic_classifier`: ```python from sklearn.pipeline import Pipeline import joblib # 加载预先训练好的语义分类器 semantic_classifier = joblib.load('path_to_model.pkl') pipeline = Pipeline([ ('classifier', semantic_classifier), ]) def semantically_route_message(message_text): prediction = pipeline.predict([message_text])[0] handlers = { 'military': handle_military_news, 'sports': handle_sports_news, 'daily': handle_daily_news } selected_handler = handlers[prediction] selected_handler(message_text) semantically_route_message("最新足球比赛结果") # 应该调用handle_sports_news方法 ``` 在这个例子中,`semantically_route_message` 函数接收一条消息作为输入,并使用 `Pipeline` 对象对其进行预测分析,最终依据预测类别选择相应的处理器执行具体操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唠嗑!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值