【现代密码学】笔记9-10.3-- 公钥（非对称加密）、混合加密理论《introduction to modern cryphtography》

写在最前面

主要在 哈工大密码学课程 张宇老师课件 的基础上学习记录笔记。

内容补充：骆婷老师的PPT
《introduction to modern cryphtography》–Jonathan Katz, Yehuda Lindell（现代密码学——原理与协议）中相关章节
密码学复习笔记 这个博主好有意思

初步笔记，如有错误请指正

快速补充一些密码相关的背景知识

---

8.1 公钥加密理论

1. 本节学习用于保护信息的完整性和真实性的消息认证码（MAC）和抗碰撞的哈希函数（CRHF）。

2. 目录：公钥加密的定义和安全，陷门排列，选择密文攻击安全，在随机预言机模型中从陷门排列到公钥加密。

3. 私钥密码学局限性

   • 密钥分发需要通信各方在物理上会面；
   • $U$个用户的密钥的数量 $\Theta (U^2)$；
   • 开放系统的安全通信：基于私钥密码学的解决方案无法充分处理开放系统中的安全通信问题，在开放系统中通信各方不能物理上会面，或只能暂时交互；
   • 注：私钥密码学中的一个核心问题就是密钥分发与管理问题。

4. Needham-Schroeder 协议

   • Needham–Schroeder Symmetric Key Protocol：在开放网络中双方通过一个可信的第三方建立一个会话密钥（session key）；
   • 密钥分发中心（Key Distribution Center，KDC）作为可信的第三方（Trusted Third Party，TTP），与通信双方Alice和Bob在事前分别建立了对称密钥；
   • KDC根据Alice的请求，生成一个新的 $k$ 会话密钥（session key），分别用与Alice和Bob分别共享的密钥来加密并发送给Alice；$E_{Bob}(k)$ 作为一个来访问Bob所需的凭证（ticket）；
   • 用于MIT’s Kerberos 协议 (in Windows)；
   • 优点：每一方只需要存储一个密钥；不需要更新通信双方密钥（因为采用新的会话密钥）；
   • 弱点：单点失效，一旦KDC被破坏，则整个系统都不安全。

5. Merkle难题（无需可信第三方的密钥交换）

   • Alice准备 $2^{32}$ 个难题 ${\mathsf{P}\mathsf{u}\mathsf{z}\mathsf{z}\mathsf{l}\mathsf{e}}_i$，并且发送给Bob；难题如下：

     ${\mathsf{P}\mathsf{u}\mathsf{z}\mathsf{z}\mathsf{l}\mathsf{e}}_i\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_{(0^{96}\Vert p_i)}(\text{“Puzzle \#”}{x}_i\Vert k_i),$，其中 $\mathsf{E}\mathsf{n}\mathsf{c}$ 是 128位加密， p i ← { 0 , 1 } 32 p_i \gets \{0,1\}^{32} pi​←{0,1}32 并且 x i , k i ← { 0 , 1 } 128 x_i,k_i \gets \{0,1\}^{128} xi​,ki​←{0,1}128。

     注：每个难题中明文包括一个随机数和一个密钥，用一个密钥加密；

   • Bob随机选择一个难题 ${\mathsf{P}\mathsf{u}\mathsf{z}\mathsf{z}\mathsf{l}\mathsf{e}}_j$，并且在 $2^{32}$ 时间内猜测 $p_j$ ，获得 $x_j,k_j$ 并将 $x_j$ 发送给 Alice。

   • Alice 按照$x_j$查询谜题，并且使用 $k_j$ 作为密钥。

   • 敌手需要 $2^{32+32}$ 时间，是诚实方所需时间复杂性的二次方。

   • 在诚实方和敌手之间存在更好的差距吗？如果将加密方法看作是一个黑盒预言机，那么二次差距是最好的。

   • Merkle难题的缺点是谜题数量太大，获得密钥的代价太大；

   • 注：Merkle当时是UC的一名本科生，这是他的一门课程设计申请。

6. 公钥革命

   • 在1976年，Whitfield Diffie 和 Martin Hellman 发表了 “New Directions in Cryptography” （密码学的新方向）。在这篇论文中，提出公钥加密方案、陷门（Trap door）和数字签名等概念。论文原文链接
   • 非对称（Asymmetric）或公钥（public-key）加密方案:
     • 公钥（Public key）作为加密密钥；（注：接收方产生，发送方持有）
     • 私钥（Private key）作为解密密钥； （注：接收方产生，接收方持有）
   • 公钥原语（Public-key primitives）:
     • 公钥加密（Public-key encryption）
     • 数字签名（Digital signatures） (不可抵赖性，non-repudiation)
     • 交互式密钥交换（Interactive key exchange）
   • 优点：
     • 在公开信道上密钥分发
     • 减少保存大量密钥的需求
     • 使得在开放系统的安全成为可能
   • 缺点：慢两到三个数量级，针对公钥分发的主动攻击
     • 注：如何保证Alice得到的公钥真的是Bob的公钥？

7. 公钥加密定义

   • 密钥生成（Key-generation）算法: $(pk,sk)\leftarrow \mathsf{G}\mathsf{e}\mathsf{n}$, 密钥长度 $\ge n$；
   • 明文空间： $\mathcal{M}$ 与 $pk$ 相关；（注：公钥加密方案通常以数学难题为基础，明文与公钥之间并不完全独立）
   • 加密（Encryption）算法: $c\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(m)$.
   • 解密（Decryption）算法：$m:={\mathsf{D}\mathsf{e}\mathsf{c}}_{sk}(c)$, 或者输出 $\perp$.
   • 需求：$\mathrm{Pr}[{\mathsf{D}\mathsf{e}\mathsf{c}}_{sk}({\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(m))=m]\ge 1-\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n)$. （注：公钥加密方案通常以数学难题为基础，存在解密不成功的可能。）

8. 对窃听者的安全 = CPA

   • 由于公钥是公开的，敌手不仅能窃听，而且能够加密任意明文。
   • 在敌手和挑战者间窃听不可区分实验 ${\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)$:
     • 挑战者生成密钥 $(pk,sk)\leftarrow \mathsf{G}\mathsf{e}\mathsf{n}(1^n)$。
     • 敌手 $\mathcal{A}$ 被给予 $\mathbf{p}\mathbf{k}$ 以及 ${\mathsf{E}\mathsf{n}\mathsf{c}}_{\mathbf{p}\mathbf{k}}(\cdot )$ 预言机的访问，输出相同长度的 $m_0,m_1$ 。
     • 挑战者随机生成 b ← { 0 , 1 } b \gets \{0,1\} b←{0,1}。将挑战密文 $c\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(m_b)$ 发送给敌手 $\mathcal{A}$。
     • $\mathcal{A}$ 继续访问预言机 ${\mathsf{E}\mathsf{n}\mathsf{c}}_{\mathbf{p}\mathbf{k}}(\cdot )$ 并且输出 $b^{\prime }$。
     • 如果 $b^{\prime }=b$，$\mathcal{A}$ 成功 ${\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}=1$，否则 0。
   • 定义：$\Pi$ 是 CPA-secure， 如果 $\forall$ ppt $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得 $\mathrm{Pr}\left[{\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{c}\mathsf{p}\mathsf{a}}(n)=1\right]\le \frac{1}{2}+\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n)$。

9. 公钥加密的安全属性

   • 对称加密可以加密32比特消息，产生32比特密文，例如，使用一次一密。在公钥系统中能够做到同样的吗？
   • 一个确定性的公钥加密方案在窃听者出现时是安全的？
   • 如果 $\Pi$ 在窃听者出现时是安全的，那么 $\Pi$ 也是CPA安全的? 是否是多重加密安全的？
   • 完美保密的公钥加密是可能的吗？（注：不可能）

10. 密钥长度比较

    NIST（美国国家标准技术研究所）推荐可比较的密钥长度 (按比特) 。NIST 认为一个112比特的有效密钥长度直到2030年是可接受的，但是推荐 128 比特或更长的密钥。

    对称密钥（AES）	RSA/DH	ECC
    56	512	112
    80	1024	160
    112	2048	224
    128	3072	256
    192	7680	384
    256	15360	512

11. 混合加密（Hybrid Encryption）构造

    • 为了加速加密，采用私钥加密方案 ${\Pi }^{\prime }$ (数据封装机制，data-encapsulation mechanism, DEM) 与公钥加密方案 $\Pi$ (密钥封装机制, key-encapsulation mechanism, KEM) 一起。
    • ${\Pi }^{\mathsf{h}\mathsf{y}}=({\mathsf{G}\mathsf{e}\mathsf{n}}^{\mathsf{h}\mathsf{y}},{\mathsf{E}\mathsf{n}\mathsf{c}}^{\mathsf{h}\mathsf{y}},{\mathsf{D}\mathsf{e}\mathsf{c}}^{\mathsf{h}\mathsf{y}})$:
    • ${\mathsf{G}\mathsf{e}\mathsf{n}}^{\mathsf{h}\mathsf{y}}$: $(pk,sk)\leftarrow \mathsf{G}\mathsf{e}\mathsf{n}(1^n)$. 注：只需提前生成公钥加密方案所需密钥
    • ${\mathsf{E}\mathsf{n}\mathsf{c}}^{\mathsf{h}\mathsf{y}}$: $pk$ and $m$.
      • k ← { 0 , 1 } n k \gets \{0,1\}^n k←{0,1}n. 注：生成私钥加密密钥
      • $c_1\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(k)$, $c_2\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m)$. 注：用公钥加密的公钥加密私钥加密密钥，用私钥加密密钥加密消息。
    • ${\mathsf{D}\mathsf{e}\mathsf{c}}^{\mathsf{h}\mathsf{y}}$: $sk$ and $⟨c_1,c_2⟩$.
      • $k:={\mathsf{D}\mathsf{e}\mathsf{c}}_{sk}(c_1)$. 注：用公钥加密中私钥解密获得私钥加密密钥
      • $m:={\mathsf{D}\mathsf{e}\mathsf{c}}_k^{\prime }(c_2)$. 注：用私钥加密密钥获得明文
    • 问题：混合加密方案是公钥加密还是私钥加密？

12. 混合加密安全

    • 定理：如果 $\Pi$ 是一个CPA安全的公钥加密方案，并且 ${\Pi }^{\prime }$ 是窃听者不可区分的私钥加密方案，那么 ${\Pi }^{\mathsf{h}\mathsf{y}}$ 是CPA安全的公钥加密方案。
    • 这里对于私钥加密方案的安全性要求只是窃听者不可区分的，不要求是CPA安全的，因为私钥加密密钥是每次加密时随机产生的新密钥，私钥加密的加密预言机提供的结果无法被利用。
    • 整个方案安全证明的思路是利用各方案之间不可区分性，以及不可区分性所具有的传递性（transitiviy）。
    • 目标是证明 （1）$⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(k),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_0)⟩$ 与（2） $⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(k),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_1)⟩$ 之间对于不同明文的不可区分性。为此，先观察（1） $⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(k),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_0)⟩$ 与（3） $⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(0^n),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_0)⟩$ 之间对于不同公钥加密明文（私钥加密密钥）之间由于公钥加密方案不可区分性也是不可区分的；同理，（2）$⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(k),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_1)⟩$ 与（4） $⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(0^n),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_1)⟩$ 之间也是不可区分的。（3）$⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(0^n),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_0)⟩$ 与（4） $⟨pk,{\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(0^n),{\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m_1)⟩$ 之间由于私钥加密方案不可区分性也是不可区分的。最后，根据不可区分性所具有的传递性，证明混合加密方案的不可区分性。

13. 混合加密范式应用

    • 共享文件访问，Alice用自己的对称密钥加密文件，Bob的公钥加密对称密钥
    • 密钥托管，Alice用托管服务器的公钥加密对称密钥，领导从托管服务器获得私钥来解锁

14. 陷门函数（Trapdoor Function）

    • 陷门函数（Trapdoor function）: 易于计算，在缺乏特定信息（陷门）时难以求逆，即带有陷门的单向函数。
    • 1982年，姚期智在论文《Theory and Applications of Trapdoor Functions》中提出，从任意陷门函数中可构造一个公钥加密方案。

15. 函数族（Families of Functions）

    • $\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f)$ 是一个函数组，如果：
      • 参数生成（Parameter-generation）算法: $I\leftarrow \mathsf{G}\mathsf{e}\mathsf{n}(1^n)$。参数$I$定义了定义域（domain）${\mathcal{D}}_I$和值域（range）${\mathcal{D}}_R$。注：这里产生了一个具体的函数参数。
      • 采样（sampling）算法: $x\leftarrow \mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p}(I)$，均匀随机地产生一个$x$。
      • 确定性赋值（evaluation）算法: $y:=f_I(x)$。
    • 这里强调采样算法是因为后面要学习的数论难题的输入是要满足某些条件的。

16. 陷门排列族

    • 一组多项式时间算法 $\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f,\mathsf{I}\mathsf{n}\mathsf{v})$ 是一个陷门排列族（family of trapdoor permutations，TDP），如果：
      • 参数生成（parameter generation）算法 $\mathsf{G}\mathsf{e}\mathsf{n}$, 输入 $1^n$，输出 $(I,\mathsf{t}\mathsf{d})$ 有 $|I|\ge n$。其中， $(I,\mathsf{t}\mathsf{d})$ 定义了集合 ${\mathcal{D}}_I={\mathcal{D}}_{\mathsf{t}\mathsf{d}}$。注：陷门排列族是一个函数集合，参数生成算法产生一个具体陷门排列所需的参数。
      • ${\mathsf{G}\mathsf{e}\mathsf{n}}_I$ 只输出 $I$。$({\mathsf{G}\mathsf{e}\mathsf{n}}_I,\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f)$ 是 OWP。其中的$\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p}$是采样函数，用于获得函数的输入$x\leftarrow {\mathcal{D}}_I$。
      • 一个确定性求逆算法 $\mathsf{I}\mathsf{n}\mathsf{v}$，对于 $\forall (I,\mathsf{t}\mathsf{d})$ 并且 $\forall x\in {\mathcal{D}}_I$， $ \mathsf{Inv}_{\mathsf{td}}(f_I(x))=x$。注：可求逆
    • 核心断言：确定性多项式时间算法 $\mathsf{h}\mathsf{c}$ 是$\Pi$ 的一个核心断言（hard-core predicate），如果 $\forall$ ppt $\mathcal{A}$，$\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得 $ \Pr[\mathcal{A}(I,f_I(x)) = \mathsf{hc}_I(x)] \le \frac{1}{2} +\mathsf{negl}(n)$。
    • 定理：给定一个陷门排列族$\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f,\mathsf{I}\mathsf{n}\mathsf{v})$，则存在一个带有核心断言的陷门排列族$\hat{\Pi }=(\widehat{\mathsf{G}\mathsf{e}\mathsf{n}},\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f,\mathsf{I}\mathsf{n}\mathsf{v})$。注：证明与单向函数部分关于核心断言的定理类似。

17. TDP例题

    • 如果答案是肯定的，则需要反证法证明，$f^{\prime }$若不是TDP，那么$f$也不是；
    • 如果答案是否定的，则需要给出一个有效的求逆方法。

18. 从TDP到公钥加密方案

    • 从一个带有核心断言$\mathsf{h}\mathsf{c}$的陷门排列族$\hat{\Pi }=(\widehat{\mathsf{G}\mathsf{e}\mathsf{n}},\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p},f,\mathsf{I}\mathsf{n}\mathsf{v})$来构造一个公钥加密方案：
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: $(I,\mathsf{t}\mathsf{d})\leftarrow \widehat{Gen}$ 输出公钥 $I$ 和私钥 $\mathsf{t}\mathsf{d}$。
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: 输入 $I$ 和 m ∈ { 0 , 1 } m \in \{0,1\} m∈{0,1}，选择一个 $x\leftarrow {\mathcal{D}}_I$ 并且输出 $⟨f_I(x),{\mathsf{h}\mathsf{c}}_I(x)\oplus m⟩$。
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: 输入 $\mathsf{t}\mathsf{d}$ 和 $⟨y,m^{\prime }⟩$，计算 $x:=f_I^{-1}(y)$ 并且输出 ${\mathsf{h}\mathsf{c}}_I(x)\oplus m^{\prime }$。
    • 定理：如果 $\hat{\Pi }=(\widehat{Gen},f)$ 是 TDP，并且 $\mathsf{h}\mathsf{c}$ 是$\hat{\Pi }$的 HCP ，那么构造 $\Pi$ 是 CPA安全的。
    • 问题：这个方案是安全的吗？${\mathsf{E}\mathsf{n}\mathsf{c}}_I(m)=f_I(m)$， ${\mathsf{D}\mathsf{e}\mathsf{c}}_{\mathsf{t}\mathsf{d}}(c)=f_I^{-1}(c)$。

19. 证明

    • ${\mathsf{h}\mathsf{c}}_I(x)$ 是伪随机的。将 ${\mathcal{A}}_{\mathsf{h}\mathsf{c}}$ for $\mathsf{h}\mathsf{c}$ 规约到 $\mathcal{A}$ for $\Pi$。
    • $\mathrm{Pr}[{\mathcal{A}}_{\mathsf{h}\mathsf{c}}(I,f_I(x))={\mathsf{h}\mathsf{c}}_I(x)]=$ $\frac{1}{2}\cdot (\mathrm{Pr}[b^{\prime }=b|z={\mathsf{h}\mathsf{c}}_I(x)]+\mathrm{Pr}[b^{\prime }\ne b|z\ne {\mathsf{h}\mathsf{c}}_I(x)]).$
    • 上面的公式的含义是 ${\mathcal{A}}_{\mathsf{h}\mathsf{c}}$成功得到核心断言包含两种情况：
      • 当$z$是核心断言，则$\mathcal{A}$面对的是方案$\Pi$，$\mathcal{A}$成功（$b^{\prime }=b$），输出的$z$就是核心断言；
      • 当$z$不是核心断言，则$\mathcal{A}$面对的挑战密文与$\Pi$中是相反的，$\mathcal{A}$失败（$b^{\prime }\ne b$），输出的$\overline{z}$就是核心断言；

20. 证明（续）

    • $\mathrm{Pr}[b^{\prime }=b|z={\mathsf{h}\mathsf{c}}_I(x)]=\mathrm{Pr}[{\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)=1]=\epsilon (n)$。 注：$\mathcal{A}$实验成功。
    • 如果 $z\ne {\mathsf{h}\mathsf{c}}_I(x)$, $m^{\prime }=m_b\oplus {\overline{\mathsf{h}\mathsf{c}}}_I(x)=m_{\overline{b}}\oplus {\mathsf{h}\mathsf{c}}_I(x)$，这意味着 $m_{\overline{b}}$ 被加密了。
    • $\mathrm{Pr}[b^{\prime }=b|z\ne {\mathsf{h}\mathsf{c}}_I(x)]=\mathrm{Pr}[{\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)=0]=1-\epsilon (n)$。 注：$\mathcal{A}$实验失败了。
    • $\mathrm{Pr}[b^{\prime }\ne b|z\ne {\mathsf{h}\mathsf{c}}_I(x)]=\epsilon (n)$。
    • $\mathrm{Pr}[{\mathcal{A}}_{\mathsf{h}\mathsf{c}}(I,f_I(x))={\mathsf{h}\mathsf{c}}_I(x)]=\frac{1}{2}\cdot (\epsilon (n)+\epsilon (n))=\epsilon (n)$。 注：根据上一页的公式。
    • 至此，我们学习了基于陷门排列的公钥加密方案，但只能加密一个比特，如何加密一个更长的明文？后面学习随机预言机模型设定下的公钥加密方案。

21. 在公钥设定中CCA情景

    • CCA
      • 敌手 $\mathcal{A}$ 观察由 $\mathcal{S}$ 发送给 $\mathcal{R}$ 的密文 $c$ 。
      • $\mathcal{A}$ 以$\mathcal{S}$ 或自己的名义发送 $c^{\prime }$ 给 $\mathcal{R}$ 。
      • $\mathcal{A}$ 根据从 $c^{\prime }$ 中解密出的 $m^{\prime }$ 来推断 $m$。
    • 情景
      • 用口令来登陆在线银行：试错，从银行反馈中获得信息。
      • 邮件回复中包含解密出的文本的引用。
      • 密文的可锻造性，例如，在拍卖中将其他人的出价翻倍。

22. 对CCA/CCA2的安全定义

    • CCA/CCA2 不可区分实验 ${\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{c}\mathsf{c}\mathsf{a}}(n)$：
      • $(pk,sk)\leftarrow \mathsf{G}\mathsf{e}\mathsf{n}(1^n)$.
      • $\mathcal{A}$ 给定输入 $pk$ 和预言机访问 ${\mathsf{D}\mathsf{e}\mathsf{c}}_{sk}(\cdot )$，输出相同长度的 $m_0,m_1$ 。
      • b ← { 0 , 1 } b \gets \{0,1\} b←{0,1}。挑战密文 $c\leftarrow {\mathsf{E}\mathsf{n}\mathsf{c}}_{pk}(m_b)$ 给 $\mathcal{A}$。
      • 在CCA2中，$\mathcal{A}$ 除了 $c$ 之外还可以访问 ${\mathsf{D}\mathsf{e}\mathsf{c}}_{sk}(\cdot )$，并输出$b^{\prime }$ 。注：CCA 也被称作午餐攻击。CCA2 也被称为适应性的 CCA。
      • 如果 $b^{\prime }=b$，那么 $\mathcal{A}$ 成功， ${\mathsf{P}\mathsf{r}\mathsf{i}\mathsf{v}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{c}\mathsf{c}\mathsf{a}}=1$，否则 0。
    • $\Pi$ 是 CCA/CCA2安全的，如果 $\forall$ ppt $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得 $\mathrm{Pr}\left[{\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\Pi }^{\mathsf{c}\mathsf{c}\mathsf{a}}(n)=1\right]\le \frac{1}{2}+\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n)$.

23. 例题

    • 略

24. CCA2安全加密技术进展

    • 零知识证明（Zero-Knowledge Proof）：复杂并不可实践。(例如，Dolev-Dwork-Naor)
    • 随机预言机模型（Random Oracle model）：有效，但并不踏实 (将 CRHF 当作 RO)。 (例如，RSA-OAEP 和 Fujisaki-Okamoto)
    • DDH（决策性Diffie-Hellman）假设和UOWHF（全域单向哈希函数）：大小扩展2倍，但可以在没有RO和ZKP场景下证明安全 (例如，Cramer-Shoup system)。
    • CCA2安全意味着明文感知（Plaintext-aware）：敌手在不知道明文的情况下，不能产生有效的密文。
    • 开放问题：如何构造一个与“书本上RSA”一样有效的，基于RSA问题的CCA2安全的方案。

随机预言机模型（Random Oracle Model，ROM）

25. 随机预言机模型（Random Oracle Model，ROM）

    • 为了在实践中实现CPA安全和CCA安全的公钥加密方案，引入了一个更强大的随机对象，称为随机预言机（Random Oracle Model）。
    • 随机预言机（RO）：一个真随机函数（$H$）对每个可能的查询回答一个随机应答。
      • 一致性：如果$H$曾经在运行中为一个输入 $x$ 输出 $y$，那么它一直对相同的输入输出相同的答案。
      • 无人“知道”整个函数 $H$。
    • 随机预言机模型（ROM）：存在一个公开的RO。与此相对的，不存在RO的情况，称作标准模型。
    • 方法论：在ROM中构造可证明的安全。
      1. 在ROM中，一个方案被设计并被证明是安全的。
      2. 将 $H$ 用一个哈希函数 $\hat{H}$，例如 SHA256。
    • 无人严格地声明随机预言机存在。
    • 存在某些方案，在ROM中被证明是安全的，但无论如何将随机预言机实例化都不是安全的。
    • 使用ROM，很容易实现可证明安全，同时通过正确的实例化来保持高效。

26. ROM的简单例子

    • 由于RO “强大的随机性”，其可以充当或构造之前学习过得密码学原语，包括为单向函数、抗碰撞哈希函数、伪随机函数等。

    • 一个 RO 将 $n_1$ 比特输入映射为 $n_2$ 比特输出。

    • RO 作为 OWF，进行如下实验：

      1. 选择一个RO $H$ ；

      2. 选择一个随机的 x ∈ { 0 , 1 } n 1 x \in \{0,1\}^{n_1} x∈{0,1}n1​ ，并且赋值 $y:=H(x)$ ；

      3. 敌手 $\mathcal{A}$ 被给予 $y$，如果输出 $x^{\prime }$: $H(x^{\prime })=y$，则成功；

         解释：如果敌手成功求逆，则意味着敌手“事先”询问过RO；

    • RO 作为 CRHF，进行如下实验：

      1. 选择一个RO $H$ ；

      2. 敌手 $\mathcal{A}$ 成功，如果其输出 $x,x^{\prime }$ 满足 $H(x)=H(x^{\prime })$ ，但是 $x\ne x^{\prime }$；

         解释：如果敌手找到碰撞，则意味着$H$不是随机的，因为两个随机输出不可能相同。

    • 从一个RO构造PRF ： $n_1=2n$, $n_2=n$.

      • $F_k(x)\stackrel{\text{def}}{=}H(k\Vert x),$ $|k|=|x|=n.$

        解释：如果$F$不是伪随机的，则$H$也可以与真随机相区分。

27. CPA安全

    • 思路：PubK CPA = PrivK + (Secret Key = TDP + RO)
    • 实现CPA安全的公钥加密方案，可以基于一个安全的私钥加密方案，其中私钥加密的密钥由RO得到，通过TDP传递生成密钥所用的随机量；
    • 构造：
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: $pk=I$, $sk=\mathsf{t}\mathsf{d}$.
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: r ← { 0 , 1 } ∗ r \gets \{0,1\}^* r←{0,1}∗, 输出 $⟨c_1=f_I(r),c_2=\mathsf{H}(r)\oplus m⟩$.
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: $r:=f_{\mathsf{t}\mathsf{d}}^{-1}(c_1)$, 输出 $\mathsf{H}(r)\oplus c_2$.
    • 定理：如果 $f$ 是 TDP， 并且 $H$ 是 RO，则构造是 CPA 安全的。
    • 解释：私钥加密方案只需要是窃听下安全，因为每次加密都是概率性的，每次私钥加密密钥都是重新生成的。该方案不是CCA安全的，因为篡改密文可以直接影响明文。
    • 用RO的必要性：由于$r$的部分信息可能通过TPD泄漏，如果以一个PRG来替换掉RO，则由于种子的部分信息已知，PRG的输出也不在是伪随机的，加密方案也不再安全。

28. 基于私钥加密的CCA安全

    • 思路：PubK CCA = PrivK CCA + (Secret Key = TPD + RO)
    • 实现CCA安全的公钥加密方案，可以基于一个CCA安全的私钥加密方案，其中私钥加密密钥由RO得到，通过TDP传递生成密钥所用的随机量；
    • 构造：
      • ${\Pi }^{\prime }$ 是一个安全私钥加密方案。
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: $pk=I$, $sk=\mathsf{t}\mathsf{d}$.
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: $k:=H(r),r\leftarrow D_I$, 输出 $⟨c_1=f_I(r),c_2={\mathsf{E}\mathsf{n}\mathsf{c}}_k^{\prime }(m)⟩$.
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: $r:=f_{\mathsf{t}\mathsf{d}}^{-1}(c_1)$, $k:=H(r)$, 输出 ${\mathsf{D}\mathsf{e}\mathsf{c}}_k^{\prime }(c_2)$.
    • 定理：如果 $f$ 是 TDP，${\Pi }^{\prime }$ 是 CCA 安全的，并且 $H$ 是 RO，那么构造是 CCA 安全的。
    • 解释：公钥加密方案的CCA安全性来自私钥加密方案的CCA安全性。

29. 在ROM中基于TPD的CCA安全

    • 思路：PubK CCA = TDP + 2 RO (一个用于加密，一个用于MAC)
    • 实现CCA安全的公钥加密方案，可以通过RO来构造一个CPA安全的公钥加密方案，以明文和密文一起作为输入来生成MAC标签。
    • 构造：
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: $pk=I$, $sk=\mathsf{t}\mathsf{d}$
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: $r\leftarrow D_I$，输出 $⟨c_1=f_I(r),c_2=H(r)\oplus m,c_3=G(c_2\Vert m)⟩$
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: $r:=f_{\mathsf{t}\mathsf{d}}^{-1}(c_1)$, $m:=H(r)\oplus c_2$。如果 $G(c_2\Vert m)=c_3$ 输出 $m$，否则 $\perp$。
    • 定理：如果 $f$ 是 TDP，$G,H$ 是 RO，那么构造是 CCA 安全的。
    • 解释：其CCA安全性在于对密文的任何篡改，都无法通过MAC验证。

30. 私钥加密 vs. 公钥加密

    	私钥加密	公钥加密
    密钥	双方	接收者
    最弱攻击	窃听者	CPA
    概率性	CPA/CCA	一直
    对CPA的假设	OWF	TDP
    对CCA的假设	OWF	TDP+RO
    效率	快	慢