2、私钥密码学中的前向安全性

私钥密码学中的前向安全性

1. 前向安全性概述

在私钥密码学中，传统的密钥分发成本高昂，对于普通用户来说并非可行之选。而前向安全性则可以在单台机器环境中实现。另外，一些系统采用了如 FIPS 140 - 1 认证模块等非纯密码学机制，通过物理安全和篡改检测来保证密钥擦除，防止密钥泄露。前向安全性则是通过软件手段提供类似安全特性的方法。

除了提供前向安全性，密钥演化构造还能使更多的密码操作通过单个密钥安全实现。

2. 前向安全的伪随机比特生成器

2.1 标准伪随机比特生成器

标准伪随机比特生成器是一个函数 $G: {0, 1}^s \to {0, 1}^{b + s}$，它接受一个 $s$ 位的种子作为输入，并返回一个比种子长 $b$ 位的字符串。

为了衡量其安全性，我们考虑以下两个实验：

Experiment Expprg - 1_G(D)
y $← {0, 1}^s ; x ∥ y ← G(y)
g $← D(x ∥ y)
Return g

Experiment Expprg - 0_G(D)
x ∥ y $← {0, 1}^{b + s}
g $← D(x ∥ y)
Return g

我们定义：
- $Adv_{prg}^G(D) = Pr[ Expprg - 1_G(D) = 1 ] - Pr[ Expprg - 0_G(D) = 1 ]$
- $Adv_{prg}^G(t) = \max_D {Adv_{prg}^G(D)}$

第一个项是区分算法 $D$