57、密码学灵活性与循环加密及有界密钥相关消息安全解析

密码学灵活性与循环加密及有界密钥相关消息安全解析

1. 密码学灵活性与循环加密

在密码学领域，循环加密的安全性一直是研究的重点。此前的研究表明，对于有状态的对称加密，某些循环加密方式并不安全。例如，攻击者在获得每个密钥初始状态下的加密信息时，可能会破坏循环安全性。同时，一些公钥方案在选择明文攻击时具有单向安全性，但在循环加密信息公开后则不再具备。这些问题在构建循环安全的公钥方案时显得尤为关键。

不过，在密码学灵活性方面也有积极的成果：
- 灵活的原语 ：
- 抗碰撞哈希函数（以密钥族形式定义）是灵活的。
- IND - CPA 安全的公钥加密方案是灵活的，但 IND - CCA 安全的公钥加密方案和 IND - CPA 对称加密方案则不是。原因在于模拟攻击者只需要访问公共信息（如哈希密钥或公钥）。
- 基于 PRF 的 AE 灵活性 ：
- 新的认证加密（AE）方案不断涌现，使得 AE 的灵活性变得重要。然而，并非所有 AE 方案都能实现灵活性，即使是 CCM、OCB、CWC、GCM、EAX 等一小部分方案，由于设计上的相关性，同时使用相同密钥也可能不安全。
- 为了实现 AE 灵活性，可以通过一种构造来间接使用 AE 方案。具体要求是使用固定的伪随机函数（PRF）或从一个小的、灵活的空间中选取的 PRF。以下是相关算法：

Algorithm esff.Pg(1k)
fpars $←ff.Pg(1k) ; epars $←es.Pg(1k)
Return (fpars, epars)