3、私钥密码学中的前向安全技术解析

私钥密码学中的前向安全技术解析

1. 消息认证方案

消息认证方案（Message Authentication Schemes）由密钥生成、标记和验证算法来定义。一个消息认证方案 mas = (mas.key, mas.tag, mas.vf) ，若 mas.key 输出的密钥长度始终为 b 位，则称该方案的密钥长度为 b 。

考虑一个能访问预言机的伪造算法 f ，相关实验如下：

Experiment Expma_mas(f)
k $← mas.key ; (M, τ) $← f mas.tag(k,·)(find)
If mas.vf(k, M, τ) = 1 and A did not query M to its oracle
    then return 1 else return 0

定义优势：
- Advma_mas(f) = Pr[ Expma_mas(f) = 1 ] ：表示伪造算法 f 攻击 mas 的优势。
- Advma_mas(q, t) = max_f {Advma_mas(f)} ：表示 mas 的优势，这里的最大值是在所有时间复杂度至多为 t 且预言机查询次数至多为 q