30、重新思考Kerckhoffs假设下的选择密文安全性

重新思考Kerckhoffs假设下的选择密文安全性

在当今的信息时代，密码系统的安全性至关重要。选择密文攻击是密码学中一种强大的攻击方式，而Kerckhoffs假设为我们评估密码系统在这种攻击下的安全性提供了一个重要的框架。本文将深入探讨在广义Kerckhoffs假设下，几种可证明安全的密码系统的安全性评估。

广义Kerckhoffs假设

广义Kerckhoffs假设包含两个关键要点：
- 攻击者不知道解密预言机密钥带中存储的解密密钥 $d$，并且从解密预言机的输入带、输出带、随机带和工作带中可收集的至少 $(l_{in} + l_{out} + l_{rand} + l_{work})$ 位序列对攻击者保密。
- 定义3中的选择密文攻击者在运行时间为 $t$ 并向解密预言机进行 $q$ 次查询时，破解加密方案的优势不大于 $\epsilon$。

原始的Kerckhoffs假设对应于 $(∞, ∞, ∞, ∞)$ - 广义Kerckhoffs假设，意味着所有磁带上的信息都必须对攻击者保密。在广义Kerckhoffs假设下，选择密文攻击的能力深度依赖于四元组 $(l_{in}, l_{out}, l_{rand}, l_{work})$，因此我们可以将这个四元组作为给定密码系统的安全评估标准之一。

前向安全性与我们的模型

前向安全性的引入是为了确保长期私钥的泄露不会导致任何早期会话密钥的泄露。在前向安全系统中，即使私钥被泄露，窃听者也无法解密之前发送的加密消息。主动密码学、抗暴露密码学、前向安全签名和密钥隔离密码学等都可以看作是实现这一目标的不同方法。

而我们的模型受到了带有内存转储的强选择密文攻击