58、有界密钥相关消息安全性解析

有界密钥相关消息安全性解析

1. 技术概述

在密钥相关消息（KDM）安全领域，我们先聚焦于单密钥 KDM 攻击下的安全方案。这里只有一对长度为 k 的公钥/私钥对 (pk, sk)，攻击者能获取电路复杂度至多为 L(k) 的任意函数 h 作用于私钥 sk 后的消息加密结果，即 h(sk) 的加密。这里的 L(k) 是任意固定多项式，它影响加解密复杂度，但不影响密钥生成复杂度。

同态公钥加密方案 (Gen, Enc, Dec) 还有一个额外的算法 Eval，用于对加密消息进行函数求值。Eval 接收公钥 pk、消息 M 的加密结果以及某个函数族 H 中的函数 h 的描述，输出一个字符串，使用私钥 sk 能高效解密出 h(M)。

足够强大的同态加密实际上也是 KDM 安全的，“足够强大”意味着该方案需满足以下额外属性：
1. 自引用（即 1 - 循环）安全性 ：$Enc_{pk}(sk)$ 与 $Enc_{pk}(0^k)$ 不可区分。
2. 强函数隐私性 ：对于任意 $h \in H$ 和明文 M，$Eval_{pk}(h, Enc_{pk}(M))$ 与 $Enc_{pk}(h(M))$ 不可区分，即使面对知道私钥的区分器也是如此。

证明此类方案 KDM 安全性的基本思路是，通过运行函数 h 的 Eval 算法，能利用区分 $Enc_{pk}(h(sk))$ 和 $Enc_{pk}(h(0^k))$ 的区分器来区分 $Enc_{pk}(sk)$ 和 $Enc_{pk}(0^k)$，这样“KDM 查询”就无用了。在将此思路转化为证明时，即使对于知道私钥的区分器，函数隐