33、密码学中的选择密文攻击与Cramer - Shoup加密方案

密码学中的选择密文攻击与Cramer - Shoup加密方案

1. 随机预言机模型与标准假设下的加密方案

在密码学的研究中，随机预言机模型是一种常用的工具，用于验证密码学构造的有效性。在一些实现中，随机预言机被真实的哈希函数所取代。然而，这些例子往往显得有些牵强，与现实世界中设计的系统相差甚远。尽管如此，密码学家们对随机预言机假设的合理性仍然充满信心，并且该模型仍然被认为是验证密码学构造的有用工具。

不过，人们更希望有这样的加密方案：其安全性可以仅在某个数论中的计算问题无法被有效解决这一标准假设下得到证明。接下来要介绍的Cramer - Shoup公钥加密方案就是这样一个例子。

2. Cramer - Shoup公钥加密方案

2.1 决策Diffie - Hellman问题回顾

首先，我们回顾一下决策Diffie - Hellman问题。设$p$和$q$是大素数，且$q$是$p - 1$的因子，$G_q$是$Z_p^ $中阶为$q$的（唯一）子群。$G_q$是一个循环群，$Z_p^ $中每个阶为$q$的元素$g$都是$G_q$的生成元。

给定随机元素$g_1, u_2 \in G_q$以及随机选取的指数$x, y \in Z_q^*$，已知$u_1 = g_1^x$，$g_2 = g_1^y$，判断$u_2 = g_1^{xy}$是否成立。这等价于对于随机（且独立）选取的元素$g_1, u_1, g_2, u_2 \in G_q$，判断$\log_{g_2}(u_2) = \log_{g_1}(u_1)$是否成立。如果等式成立，我们称$(g_1, u_1, g_2, u_2)$具有Diffi