36、藤崎 - 冈本变换的完全非延展性分析

藤崎 - 冈本变换的完全非延展性分析

1. 引言

公钥加密（PKE）允许发送方（如 Alice）使用接收方（如 Bob）的公钥对消息进行加密，接收方则可以使用对应的私钥解密密文。在相关文献中，已经提出了多种 PKE 的安全概念，其中最基本的是抗选择明文攻击的不可区分性（IND - CPA），它要求攻击者在已知公钥的情况下，无法区分两条消息的加密结果。

然而，IND - CPA 在很多应用场景中显得不足。以私人拍卖为例，竞拍者会生成自己的公私钥对，用公钥加密竞拍价格并将加密结果和公钥一同发送给拍卖者。拍卖者在收到所有竞拍信息后，通过要求各方披露私钥（或竞拍价格及加密时使用的随机数）来确定获胜者。此时，恶意用户可能会根据包含其他方竞拍价格的密文，构造出一个解密后价格更高的新密文，这就是所谓的延展性攻击。

为应对这类攻击，人们引入了更强的安全概念，如选择明文和选择密文攻击下的非延展性（NM - CPA 和 NM - CCA）以及选择密文攻击下的不可区分性（IND - CCA）。这些概念都要求攻击者在已知公钥和目标密文的情况下，无法构造出与目标密文对应的明文相关的新密文。

2005 年，Fischlin 指出上述非延展性概念可能仍不足以应对某些攻击，因为它们没有考虑攻击者可能会篡改公钥的情况。例如，在私人拍卖场景中，恶意用户可能会尝试构造一个新的公钥和密文，使得解密后的竞拍价格更高。为了应对这种攻击，Fischlin 引入了完全非延展性的概念。完全非延展的 PKE 在许多应用中都非常有用，例如具有抗未知密钥攻击的密钥协商协议以及具有强不可伪造性的签名方案。

目前，已经有一些完全非延展 PKE 的构造方法。Fischlin 证明了 RSA - OAE