10、完全非延展性加密再探

完全非延展性加密再探

一、基于黑盒敌手的游戏式NM - CCA2*安全加密方案的不存在性

在加密领域，当考虑完全关系时，敌手A的成功表现难以被模拟器针对挑战公钥pk进行重现。因为完全关系的结果不仅取决于明文，这使得[14]中所采用的技术在当前情形下失效。

若将关系R限制为忽略挑战公钥pk的关系，模拟器就能使用自己的密钥对。这样，它就能回答底层敌手A的解密查询（因为知道私钥），并返回敌手A输出的新公钥和密文。若关系在输入模拟器时忽略挑战公钥pk，那么只要敌手A成功，模拟器也能成功。

有研究表明，对于包含关系$R_{msg - eq}$（当且仅当$m = m^ $时，$R(m, m^ , pk, pk^ , c^ ) = 1$）的关系集，基于模拟的黑盒NM - CCA2 安全存在不可能结果。由于缺少$R_{msg - eq}$，可得出推论：基于黑盒敌手的游戏式NM - CCA2 安全加密方案不存在。

二、共享随机字符串模型下的NM - CCA2*安全加密方案

2.1 相关定义

1. IND - CPA安全加密方案 ：设$PE = (G, E, D)$为公钥加密方案，$A = (A_1, A_2)$为敌手。对于$k \in N$，定义：
   $Adv_{PE, A}^{ind - cpa}(k) = \left|\text{Prob}\left[Expt_{PE, A}^{indcpa - 0}(k) = 0\right] - \text{Prob}\left[Expt_{PE, A}^{indcpa