47、现代加密方案的安全性分析与攻击示例

现代加密方案的安全性分析与攻击示例

1. 基于CDH假设的KEM在随机预言机模型中的CPA安全性

在随机预言机模型下，如果将函数H建模为随机预言机，那么可以基于CDH（计算Diffie - Hellman）假设证明某种构造（Construction 12.19）是CPA（选择明文攻击）安全的。

CDH假设表明，攻击者观察到公钥中的$h = g^x$和密文$c = g^y$时，无法计算出$D_H(g)(h, c) = h^y$。从攻击者的角度来看，封装密钥$H(h^y)$是完全随机的。

下面给出正式证明：
设$\Pi$表示Construction 12.19，$A$是一个概率多项式时间（ppt）敌手。要证明存在一个可忽略函数$negl$，使得$Pr[KEM_{cpa}^{A,\Pi}(n) = 1] \leq \frac{1}{2} + negl(n)$。

考虑实验$KEM_{cpa}^{A,\Pi}(n)$的一次执行，公钥为$\langle G, q, g, h\rangle$，密文为$c = g^y$，设$Query$为敌手$A$向$H$查询$D_H(g)(h, c) = h^y$的事件。则有：
$Pr[KEM_{cpa}^{A,\Pi}(n) = 1] = Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land Query] + Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land \neg Query] \leq Pr[KEM_{cpa}^{A,\Pi}(n) = 1 \land Query] + Pr[Query]$

若$Pr[Query] = 0$，则$Pr[KEM_{cpa}^{A,