23、安全协议的计算可靠自动化证明

安全协议的计算可靠自动化证明

1. 执行模型与随机化

执行模型采用随机化机制，其中攻击者是概率性的，诚实方则利用随机化来生成随机数、加密和签名。若攻击者 A 在多项式时间内运行，诚实方使用的随机硬币数量是安全参数的多项式。对于固定的攻击者 A，分别用 ${0, 1}^{p_A(\eta)}$ 和 ${0, 1}^{g_A(\eta)}$ 表示攻击者和诚实方在执行中抽取随机硬币的空间。每对随机硬币 $(R_A, R_{\Pi}) \in {0, 1}^{p_A(\eta)} \times {0, 1}^{g_A(\eta)}$ 决定了一个唯一的全局状态序列，即具体跟踪 $Exec_{\Pi}(R_{\Pi}),A(R_A)(\eta)$。

2. 安全属性类型

主要关注两种安全属性：完整性属性和保密性属性。完整性属性较为通用，涵盖了各种形式的认证；而重点在于保密性属性，特别是针对随机数的保密性。

3. 符号跟踪与具体跟踪的关系

具体跟踪可视为形式跟踪通过适当的术语实例化得到的结果。给定一个形式跟踪 $t_s = (SId_s^1, f_1, H_1), \ldots, (SId_s^n, f_n, H_n)$，通过选择一个将术语映射到位串的单射函数 $c : T^f \to C_{\eta}$，可以得到具体执行跟踪 $t_c = (SId_c^1, g_1), \ldots, (SId_c^n, g_n)$。具体操作是对局部状态进行实例化，若 $f_i(sid) = (\sigma_{sid}, i_{sid}, p_{sid})$，则 $g_i(sid) = (\tau_{sid}, i_{sid}, p_{sid})$，其中 $\t