55、无随机预言机的抗颠覆认证加密

无随机预言机的抗颠覆认证加密

1. 引言

在密码学领域，保证加密算法的安全性至关重要。然而，算法可能会被恶意篡改，即颠覆攻击。为应对这种情况，我们期望对于每个颠覆者 A，都存在一个看门狗 WD，满足以下两个条件之一：
1. 看门狗 WD 检测到 A 实施的颠覆行为。
2. A 提供的被颠覆实现不会削弱安全保证。

乍一看，这个模型与常见的密码学安全模型相似，但看门狗现在需要依赖于对手，并且为了防范多个不同的对手，所有相应的看门狗都需要部署。更理想的解决方案是使用单个通用看门狗 WD，使得每个颠覆者 A 都能被这个看门狗检测到。在我们的工作中，使用的简单通用看门狗仅对均匀随机输入进行采样，并将可能被颠覆的实现与诚实规范进行对比。

为简化问题，我们假设攻击者始终提供无状态的实现。与 Russell、Tang、Yung 和 Zhou 的方法类似，我们也允许可回滚的有状态实现。这意味着看门狗可以回滚实现的状态，并从相同状态开始对各种输入进行测试。若实现不可回滚，就可能出现 Fischlin 和 Mazaheri 引入的时间炸弹，而通用离线看门狗似乎无法预防此类情况。

2. 迈向抗颠覆认证加密

近年来，许多密码学原语在抗颠覆构造方面取得了巨大进展。然而，在离线看门狗模型中，实现加密和解密都可能被颠覆的认证加密（AE）尚未成功。构建抗颠覆 AE 的主要挑战在于保护解密算法，这是由于输入触发攻击的存在。若没有额外假设（如可信操作或可信合并模型），或者在将解密算法建模为黑盒算法的模型中不使用随机预言机等复杂工具，就无法避免此类攻击。

Russell、Tang、Yung 和 Zhou 展示了如何使随机预言机具有抗颠覆