超级会员免费看
基于校验和的认证加密的INT - RUP安全性
1. 引言
认证加密(AE)是一种能同时提供隐私性和真实性的加密方案。在经典安全模型中,传统的AE方案由加密算法和解密算法组成。解密算法包含明文计算和完整性验证两个阶段,只有在标签验证成功后,才会释放与密文对应的明文。
然而,在某些特殊场景下,在验证之前释放未经验证的明文是有必要的。比如在轻量级环境和低端设备(如智能卡)中,设备内存不足以存储整个明文;或者当解密后的明文需要实时处理时。此外,释放未经验证的明文还能提高某些应用的效率。例如,“先加密后MAC”组合的解密算法有两个阶段:第一阶段验证MAC,第二阶段解密密文并获取对应的明文。如果该AE方案对释放未经验证明文是安全的,那么解密算法只需一个阶段(第二阶段)即可。
攻击者即使不能直接观察到未经验证的明文,也可能通过侧信道攻击发现明文的某些特性。在CAESAR竞赛中,释放未经验证明文的问题引发了深入讨论。对于一些AE方案,如IACBC、IAPM、OCB等,在明文计算阶段获得的未经验证明文不能被释放。需要注意的是,释放未经验证明文并不意味着省略验证,验证对于防止接受错误的明文至关重要。
Andreeva等人提出了RUP设置,并定义了两个新的概念:PA(明文感知)和INT - RUP(释放未经验证明文时的完整性)。在RUP设置中,对手可以通过解密查询获得未经验证的明文。对于隐私性,他们建议同时使用IND - CPA和PA。PA概念的核心是明文提取器,它是一个有状态的算法,旨在模仿解密预言机以欺骗对手。一个AE方案如果难以区分解密预言机和明文提取器,就实现了PA。另一方面,如果对手在使用加密预言机后,再加上对未经验证解密预言机的访问权限,仍无法生成新的有效密文 - 标
订阅专栏 解锁全文
扫一扫
6
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
