54、密码学灵活性与循环加密及有界密钥依赖消息安全解析

密码学灵活性与循环加密及有界密钥依赖消息安全解析

1. 密码学灵活性与循环加密

在密码学领域，循环加密安全性一直是研究的焦点。此前的研究表明，一些技术在处理循环加密时存在安全隐患。例如，Backes等人指出，对于有状态的对称加密，某些用于加密更大循环的方法并不安全，敌手只有在获得每个密钥初始状态下的加密结果时，才能破坏循环安全性。Boneh等人提出的简单公钥方案，在选择明文攻击时具有单向安全性，但在发布循环加密后则失去了这种特性。然而，这些工作的技术似乎都无法普遍解决公钥加密语义安全与循环安全的问题，而这在当前构建循环安全公钥方案的研究中尤为重要。

不过，也有积极的成果。一方面，某些密码原语具有灵活性：
- 抗碰撞哈希函数（以密钥族形式形式化）是灵活的。
- IND - CPA安全的公钥加密方案是灵活的，但IND - CCA安全的公钥加密方案和IND - CPA对称加密方案不具备此特性。其原因在于，模拟敌手仅需访问公共信息（哈希密钥或公钥加密密钥）。

另一方面，对于认证加密（AE）原语，可以采取措施实现更强的灵活性。由于新的AE方案不断涌现，AE的灵活性变得至关重要。虽然无法使所有AE方案都具有灵活性，但对于一些常见的方案，如CCM、OCB、CWC、GCM、EAX，实现其灵活性可能就足够了。然而，这些方案的设计相互关联，使用相同的密钥可能不安全。

为了实现AE的灵活性，可以采用基于伪随机函数（PRF）的方法。具体要求是使用固定的PRF或从一个小的、灵活的空间中选取的PRF。以下是具体的构造和算法示例：
设(\ell(\cdot))是一个多项式，(FF.PR.Sch[\ell])是满足特定条件的PRF方案集合，(ENC.AuE.Sc