超级会员免费看
非可塑加密:更简单、更短、更强
1 引言
公钥加密(PKE)提出了多种不同的安全概念。最基本的是选择明文攻击下的不可区分性(IND - CPA),它要求没有解密能力的对手无法区分两条消息的加密结果。然而,在许多情况下,IND - CPA 安全是不够的。
例如,在电子拍卖场景中,拍卖师 U 发布公钥 pk,邀请参与者 P1, …, Pq 用 pk 加密他们的投标 bi。虽然加密的 IND - CPA 安全性确保 P1 无法解密 P2 的投标,但 P1 仍有可能构造一个特殊的密文 e1,解密后得到与 P2 投标相关的投标 b1(例如,b1 = b2 + 1)。因此,需要更强的安全形式来克服这种“可塑性”问题。
PKE 最强的安全级别是选择密文攻击下的不可区分性(IND - CCA),对手可以无限制地、自适应地访问解密预言机(但不能对“挑战密文”进行询问)。这个概念足以满足 PKE 的大多数自然应用,目前已经有一些通用和具体的构造方法。然而,这些构造要么依赖特定的数论假设,要么使用比 IND - CPA 安全加密更高级的机制。
因此,研究 IND - CPA 和 IND - CCA 之间的各种“中间地带”安全概念是有意义的,这些概念既足以满足应用需求,又可能由更简单的基本原语构建。其中一个有影响力的概念是非选择明文攻击下的不可塑性(NM - CPA),由 Dolev 等人引入,旨在解决上述拍卖示例中的问题,要求对手不能将密文篡改解密为相关的明文。后来的研究表明,NM - CPA 等价于对手可以访问非自适应解密预言机的安全性,并且可以从任何 IND - CPA 安全方案中通用地构建 NM - CPA 加密。
研究问题
我们研
订阅专栏 解锁全文
扫一扫
623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
