55、抗选择密文选择性开启攻击的加密方案与密码学灵活性

抗选择密文选择性开启攻击的加密方案与密码学灵活性

1. 抗选择密文选择性开启攻击的加密方案

1.1 NCCCA 的正确性

存在引理表明，对于 Gen 范围内的任意公钥 pk、任意消息 M 以及通过 Enc(pk, M) 生成的任意密文 C，除了概率至多为 (L \cdot \max{\text{Adv}^{\text{imp}} {\text{XAC}}(k), \text{fail} {\text{XAC}}(k)}) 的情况外，有 Dec(sk, C) = M。

证明过程为：当 (M_i = 1) 时，依据 EHPS 的完备性，(K_i = h_{\text{sk}}(X_i, t) = \text{PEval}(h_{\text{pk}}, X_i, W_i, t) = K_i)，再根据 XAC 的正确性，(X\text{Ver}(K_i, i, T) = 1) 的概率至多为 (\text{fail} {\text{XAC}}(k))；当 (M_i = 0) 时，EHPS 的通用性意味着 (K_i = h {\text{sk}}(X_f, t)) 是均匀随机的，所以 (X\text{Ver}(K_i, i, T) = 1) 的概率至多为 (\text{Adv}^{\text{imp}}_{\text{XAC}}(k))。通过对 (i \in [L]) 进行并集界操作，可得出该引理。

1.2 可 equivocable 的密文

NCCCA 与之前的方案 NCCPA 类似，具有 1 - 加密可 equivocable 的特性。可以构建一个 NC - CCA 模拟器 S，其工作流程如下：