56、无随机预言机的抗颠覆认证加密

无随机预言机的抗颠覆认证加密

1. 引言

在密码学领域，构建抗颠覆的认证加密（Authenticated Encryption，AE）方案是一个重要的研究方向。传统的加密方案可能会受到攻击者的颠覆，导致安全保障减弱。为了应对这一问题，我们需要一种机制，确保即使在存在潜在颠覆的情况下，加密方案仍能保持其安全性。

理想情况下，对于每个颠覆者 A，应该存在一个看门狗 WD，满足以下两个条件之一：
1. 看门狗 WD 检测到 A 提供的颠覆行为。
2. A 提供的被颠覆实现不会削弱安全保障。

然而，传统的密码学安全模型中，看门狗需要依赖于攻击者，并且为了防范多个不同的攻击者，需要部署所有相应的看门狗。更理想的解决方案是使用单个通用看门狗 WD，使得每个颠覆者 A 都能被这个单一的看门狗检测到。在本文中，我们使用简单的通用看门狗，它只对均匀随机输入进行采样，并将可能被颠覆的实现与诚实规范进行检查。

为了简化问题，我们假设攻击者始终提供无状态的实现。类似于 Russell、Tang、Yung 和 Zhou 的方法，我们也允许可回退的有状态实现。这意味着看门狗可以回退实现的状态，并从相同的状态开始对各种输入进行测试。如果实现不可回退，Fischlin 和 Mazaheri 引入的定时炸弹攻击可能会发生，而通用离线看门狗似乎无法防止这种攻击。

2. 构建抗颠覆认证加密的挑战

近年来，在许多密码学原语的构建上取得了巨大进展，但在离线看门狗模型中，实现加密和解密都可能被颠覆的认证加密尚未实现。构建抗颠覆认证加密的主要挑战在于保护解密算法，这是由于输入触发攻击的存在。在没有额外假设（如可信操作或可信合并模型）或使用随机