34、马尔可夫分布下标准安全性蕴含选择性开启安全性

马尔可夫分布下标准安全性蕴含选择性开启安全性

1 引言

1.1 选择性开启攻击下的安全性

设想一个场景，多个参与方 1, …, n 向同一个接收方发送消息。为了传输消息 $m_i$，参与方 $i$ 会采样新的随机数 $r_i$，并将密文 $c_i = Enc_{pk}(m_i; r_i)$ 发送给接收方。存在一个敌手 $A$，它不仅会窃听发送的密文 $(c_1, …, c_n)$，还会破坏一部分发送方的系统（设被破坏的发送方集合为 $I ⊆ [n]$），从而获取被加密的消息 $m_i$ 和用于加密的随机数 $r_i$。那么自然会产生一个问题：未被破坏的参与方的消息是否仍然保密？这类攻击被称为选择性开启（SO）攻击（在发送方被破坏的情况下）。

选择性开启攻击在多方计算中很常见，因为我们假设各方之间存在安全通道，但某个参与方可能会被破坏，所以通道上的加密必须具备选择性开启安全性。在实际应用中，服务器建立的安全连接也需要在用户被破坏时保持安全。

1.2 证明选择性开启攻击下安全性的困难

公钥加密方案被广泛接受的标准概念是在选择明文攻击下的不可区分性（IND - CPA 安全性）。乍一看，由于每个参与方独立采样随机数，我们可能会考虑使用直接的混合论证来证明 IND - CPA 安全性已经蕴含了对选择性开启攻击的安全性。然而，到目前为止，还没有人能够提出这样的通用混合论证。

需要注意的是，揭示随机数 $r_i$ 使得选择性开启敌手能够验证被破坏的密文 $c_i$ 是否是消息 $m_i$ 的加密。敌手破坏参与方的可能性给证明标准（IND - CPA）安全性蕴含选择性开启安全性带来了困难。似乎归约过程必须提前知道（即猜测）敌手