10、密钥封装机制（KEM）的泛化研究

密钥封装机制（KEM）的泛化研究

1. KEM安全相关不等式

对于攻击KEM安全的所有对手A，存在分别攻击VKEM1、VKEM2安全的对手B1、B2，以及分别攻击VKEM1、VKEM2标签绑定的对手C1、C2，满足以下不等式：
- (Adv_{ke–kem}(A) ≤ Adv_{ke–vkem}(B1) + Adv_{lb}(C2))
- (Adv_{ke–kem}(A) ≤ Adv_{ke–vkem}(B2) + Adv_{lb}(C1))

证明思路是从KEM安全游戏开始，添加Promise指令，若对手A的操作破坏标签绑定则判定其“获胜”，这会带来(Adv_{lb}(C))的代价。之后，根据访问规则利用游戏第60行释放的会话密钥回复查询，此时A的剩余优势为(Adv_{ke–vkem}(B))。

2. KDF封装机制（KDFEM）

KDFEM不直接输出会话密钥，而是建立键控KDF实例，该实例能将域L确定性地映射到范围K，用于导出任意数量的会话密钥。

KDFEM的组成包括：
- 秘密密钥空间SK
- 公共密钥空间PK
- 状态空间ST
- 密文空间C
- 封装句柄空间HD
- 密钥生成算法(gen → SK × PK)
- 算法enc、dec、eval，具体如下：
- (PK → enc → C × HD × ST)
- (SK × C → dec → HD × ST)
- (ST × L → eval → K)

对于正确性，有以下要求：
1. 句柄新鲜性：enc输出的句柄hd是唯一的。 <