基础密码复习

完美安全性

对于一个理想的密码算法，我们期望达到的效果是敌手在获得密文信息$C$之后，对它获取加密的消息message $m$没有任何帮助。于是，我们就需要引出下面完美安全性的非形式化的定义：

定义：如果对于任意一个消息m和任意一个加密后的密文c，我们有下面的等式成立，则称该加密方案满足完美安全性：
$$Pr[M=m|C=c]=Pr[M=m]$$

• 需要注意的是，上面我们提到的敌手可以是任意计算能力的敌手，并不需要要求敌手的计算能力是多项式时间。

为了和下面的消息不可区分进行对照，我们这里给出一个等价的完美安全性定义：
对于任意两个消息$m_0,m_1$和任意的密文$c$，我们有
$$P[En{c}_K(m_0)=c]=P[En{c}_K(m_1)=c]$$

一次一密(One Time Pad)

我们现在给出一种加密方式满足上面的完美安全性的定义。

• 我们随机选择一个长度为n的随机数作为密钥k。
• 对于一个需要加密的消息m，我们计算$c=k\oplus m$来生成密文$c$。
• 如果需要进行解密，我们利用$c\oplus k$即可计算获得明文$m$。

一次一密的弊端

• 该加密方案只能使用一次。
• 该方案要求密钥和消息等长，且要求为随机数。

既然一次一密有上面的弊端，那我们是否可以获得更好的满足完美安全性的密码方案呢？
很遗憾，香农证明了如果要满足完美安全性的定义，我们需要的密钥长度必须要不小于明文的长度。换句话说，虽然我们上面的一次一密看起来不是很好，但是它确实是能满足完美安全性的最好的密码方案了。

计算安全性

何去何从

其实经过观察我们可以发现，完美安全性的定义其实是一个相当强的安全性定义。它要求对于任意能力的敌手，都无法对该加密算法造成威胁。
在现实生活中，我们只需要要求对于一个密码算法，不存在有效的算法（敌手）可以获得关于明文的任何信息即可。换句话说，也就是我们只要求在一定运行时间的算法能够获得明文的概率相当小就可以了。

• 有效的敌手在不同的场景下并不一致。
• 在实际密码应用中，有效的敌手可能是要求当前运行速度最快的计算机运行攻击算法，也需要二十年，或者一百年才能破解该密码算法。
• 在理论密码学中，有效的敌手指的是多项式运行时间的算法不能破解该密码算法。

因此我们就引出了下面的消息不可区分的定义：

消息不可区分(Message Indistinguishability)

如果对于任意两个消息$m_0,m_1$，对于任意运行时间小于$t$的攻击算法$\mathcal{A}$，都有下面式子成立，我们就称该算法满足$(t,ϵ)$消息不可区分：
$|P[\mathcal{A}(Enc(k,m_0))=1]-P[\mathcal{A}(Enc(k,m_1))=1]|\le ϵ$

• 注：这里$m_0$和$m_1$由敌手选择。

我们这里把消息不可区分和上面完美安全性的定义进行一个对照。发现消息不可区分表示的并不是加密$m_0$和加密$m_1$的消息获得密文$c$的概率完全相同，而是没有有效的算法能以大于某一概率的优势区分出来该密文是由哪个明文加密的。

个人理解：可以打个不太恰当比方。完美不可区分类似于口红A和口红B颜色完全一样，因此对于所有的人都无法获得区分这两个口红。像我这样的半色弱男生来说，可能根本分不清楚某些口红的颜色。那即使两个口红颜色分别为红A和红B，它们并不完全一致，但是我区分不出来。在我看来这两个颜色都是红色。那么这两个口红对我来说就是消息不可区分的。

我们一般把消息不可区分又称为Eve安全，即窃听者安全。意为只有窃听者存在的时候，该密码方案是安全的。这里要求窃听者之前并不知道该密码算法生成的其他明密文对。但是在现实密码应用中，我们很可能在攻击这个密码算法的时候，可以获得这个加密算法，即敌手是可以给这个加密算法一个明文，然后这个加密算法会输出一个密文。这种情况就要求密码算法满足新的安全性定义了。这种安全性定义我们称为选择明文攻击（CPA）。

选择明文攻击(CPA)

选择明文和上面的消息不可区分的定义类似，唯一的差别在于敌手拥有一个加密预言机$Enc(K,\cdot )$。

如果对于任意两个消息$m_0,m_1$，对于任意运行时间小于$t$的攻击算法$\mathcal{A}$，都有下面式子成立，我们就称该算法满足$(t,ϵ)$消息不可区分：
$|P[{\mathcal{A}}^{Enc(k,\cdot )}(Enc(k,m_0))=1]-P[{\mathcal{A}}^{Enc(k,\cdot )}(Enc(k,m_1))=1]|\le ϵ$

• 注：这里$m_0$和$m_1$由仍敌手选择。
• ${\mathcal{A}}^{Enc(k,\cdot )}$表示敌手拥有一个加密预言机

我们需要注意满足选择明文攻击的密码算法一定是概率性的。即对于相同的明文信息加密两次，将会获得不同的密文信息。
Why？

• 如果加密算法是确定性的。敌手可以向挑战者挑战$m_0,m_1$，然后挑战者会给敌手一个密文$c$。然后敌手可以分别询问预言机$Enc(k,m_0)$和$Enc(k,m_1)$. 获得密文$c_0$和$c_1$。然后讲$c_0$和$c_1$与挑战者输出的密文$c$进行对照即可破解CPA安全性游戏。

如何构造满足Eve安全的密码算法和满足CPA的密码算法。

我们首先回顾一下一次一密算法。一次一密算法要求一个和消息长度相等的随机数作为密钥，然后对明文进行异或。其弊端为需要密钥长度要求和明文长度相等。

那对于消息不可区分来说，是不是存在一种算法Alg，这种算法的输入是一个比较短的随机数，输出是一个比较长的伪随机数。而且不存在“有效”的算法可以区分输出的伪随机数和真正的随机数。如果有这样一种算法，我们就可以使用一次一密的方式来获得对应的密文。

事实上，人们现在并不知道是否存在上面的算法Alg。如果P=NP的话，该算法一定不存在。换句话说，如果能构造出PRG，就说明了$P\ne NP$。人们现在也还并不知道是否存在PRG。但是，由于PRG的存在是依赖一个很强的假设，人们也就开始使用了PRG了。

我们上面需要的这种算法就是为随机数生成器PRG。我们在这里说一下PRG的安全性定义。

使用PRG构造满足Eve安全的加密方案

如果一个函数G： { 0 , 1 } k → { 0 , 1 } n \{0,1\}^k \rightarrow \{0,1\}^n {0,1}k→{0,1}n对于时间复杂度为t的布尔算法$\mathcal{A}$, 下面的式子都成立，我们就称它为一个安全的$(t,ϵ)$安全的伪随机数生成器
$$|P[\mathcal{A}(G(x_1))=1]-P[\mathcal{A}(x_2)=1]|\le ϵ$$
$x_1$是一个k长的随机数，$x_2$是一个n长的随机数。

• 上面定义其实暗含了敌手可以访问PRG这个函数本身，但是由于敌手并不知道伪随机数生成器的种子s，因此敌手仍然无法区分拿到的究竟是伪随机数生成器生成的，还是一个真正的随机数。

我们下面给出使用PRG构造的满足消息不可区分安全性的加密方案。

• 随机选择一个长度为k的随机数$k$作为密钥。
• 计算$c=G(k)\oplus m$即为加密方案，其中消息$m$的长度为n。
• 计算$m=c\oplus G(k)$即为解密方案。

该方案满足消息不可区分。但是我们可以看到该方案仍然是一个确定性的加密，无法满足CPA安全特性。

接下来回顾一下为随机函数（PRF）的安全性定义，并且给出一个由PRF构造的满足CPA安全特性的加密方案。

伪随机函数：如果对于任意运行时间小于t的程序(敌手$\mathcal{A}$)，一个函数F： { 0 , 1 } k × { 0 , 1 } m → { 0 , 1 } m \{0,1\}^k \times \{0,1\}^m \rightarrow \{0,1\}^m {0,1}k×{0,1}m→{0,1}m 如果敌手能满足下面的式子，那该函数就称为伪随机函数：
$$|P[{\mathcal{A}}^{F_k()}()=1]-P[{\mathcal{A}}^{f()}=1]\le ϵ|$$
其中$f()$表示一个随机函数。随机函数指的是从所有的m长输入到m长输出的所有函数中随机选择的一个函数。

使用伪随机函数构造加密方案

• 密钥：随机选择一个长度为k的随机数。
• 加密算法：随机生成一个长度为m的随机数r，并计算$c_1=r$, $c_2=F_k(r)\oplus m$。密文$c=(r,c_2)$
• 解密算法：计算$m=F_k(r)\oplus c_2$

可以看到，每次加密m，会随机选择一个随机数$r$。因此每次加密获得的密文并相同。