随机预言机在密码学中广泛用于安全方案的证明,但其有效性存在争议。虽然基于该模型的安全方案在理想情况下有效,但在实际使用真实散列函数时可能变得不安全。尽管如此,随机预言机模型仍然是可证明安全研究的重要工具。
随机预言模型下的可证明安全:
Goldwasser 等学者首次比较系统地阐述了可证明安全思想,并给出了具有可证明安全性的加密和签名方案[44,48],然而,上述方案的可证明安全是以严重牺牲效率为代价的,因此,上述方案虽然在理论上具有重要意义,但并不实用。1993年,Bellare 和 Rogaway 两位学者[49]正式提出了随机预言模型(Random OracleModel,ROM)方法论,使得过去纯作理论研究的可证明安全方法论迅速在实际应用领域取得重大进展,一大批快捷有效的安全方案相继提出,同时,还产生了“具体安全性(concrete security or exact security)”,其意义在于,我们不再仅仅满足安全性的渐近度,而是可以确切地得到较准确的安全度量。面向实际的可证安全性理论已被学术界和产业界广泛接受。归约是可证明安全性理论最常用的工具或推理方法,在可证明安全方案中,首先要建立安全模型,为了证明方案的安全性需要建立一个挑战算法C (模拟挑战者角色)。算法C 将一个复杂的安全性问题归结为数学上难题(如大数分解、求解离散对数、CDH 困难问题等),在 ROM 中的归约论断一般表现为:
①先形式化定义方案的安全性,假设 在概率多项式时间内(PPT)内敌手能以不可忽略的概率破坏方案的安全性(如伪造签名);
②然后模拟者C 为敌手提供一个与实际环境不可区分的模拟环境(ROM),回答敌手的所有预言询问(模拟敌 手能得到所有的攻击条件);
③最后,利用敌手攻击的结果(如存在一个伪造签名)设法解决数学上难题。
其中,算法C 要将困难问题的一个随机实例嵌入到攻击者模拟过程中,但挑战者C 不知道困难问题中所涉及到的私钥,为了模拟回答攻击者所有的询问,或掩饰不知道私钥的事实(即模拟一个真实的攻击环境),使得攻击认为自己在和一个真正的挑战者在进行交互, 算法C 需要某种特殊能力来弥补对私钥的无知,这种能力在构造过程中通过随机预言机来实现。 在证明过程中,将哈希函数看作是随机的函数,即随机预言机
Goldwasser 等学者首次比较系统地阐述了可证明安全思想,并给出了具有可证明安全性的加密和签名方案[44,48],然而,上述方案的可证明安全是以严重牺牲效率为代价的,因此,上述方案虽然在理论上具有重要意义,但并不实用。1993年,Bellare 和 Rogaway 两位学者[49]正式提出了随机预言模型(Random OracleModel,ROM)方法论,使得过去纯作理论研究的可证明安全方法论迅速在实际应用领域取得重大进展,一大批快捷有效的安全方案相继提出,同时,还产生了“具体安全性(concrete security or exact security)”,其意义在于,我们不再仅仅满足安全性的渐近度,而是可以确切地得到较准确的安全度量。面向实际的可证安全性理论已被学术界和产业界广泛接受。归约是可证明安全性理论最常用的工具或推理方法,在可证明安全方案中,首先要建立安全模型,为了证明方案的安全性需要建立一个挑战算法C (模拟挑战者角色)。算法C 将一个复杂的安全性问题归结为数学上难题(如大数分解、求解离散对数、CDH 困难问题等),在 ROM 中的归约论断一般表现为:
①先形式化定义方案的安全性,假设 在概率多项式时间内(PPT)内敌手能以不可忽略的概率破坏方案的安全性(如伪造签名);
②然后模拟者C 为敌手提供一个与实际环境不可区分的模拟环境(ROM),回答敌手的所有预言询问(模拟敌 手能得到所有的攻击条件);
③最后,利用敌手攻击的结果(如存在一个伪造签名)设法解决数学上难题。
其中,算法C 要将困难问题的一个随机实例嵌入到攻击者模拟过程中,但挑战者C 不知道困难问题中所涉及到的私钥,为了模拟回答攻击者所有的询问,或掩饰不知道私钥的事实(即模拟一个真实的攻击环境),使得攻击认为自己在和一个真正的挑战者在进行交互, 算法C 需要某种特殊能力来弥补对私钥的无知,这种能力在构造过程中通过随机预言机来实现。 在证明过程中,将哈希函数看作是随机的函数,即随机预言机
最低0.47元/天 解锁文章
扫一扫
1227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
