原文教材 与 参考资料:
? ? ? ? Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J].
? ? ? ? 该书项目地址(可以免费获取):http://toc.cryptobook.us/
? ? ? ? 博客为对该书的学习笔记,并非原创知识,帮助理解,整理思路。
?
12.3 CCA-secure encryption from trapdoor function schemes
本节主要描述了一种基于陷门函数满足CCA安全的通用构造,在12.6节将展示如何将一个CPA方案转换为一个CCA方案的通用方法。在本节首先考虑使用一个基于陷门函数算法的公钥加密算法,以及一个哈希函数(作为随机谕言机),以及一个对称加密算法。由上述三个密码学原语构造一个加密方案如下:
?这里需考虑一个问题:
? ? ? ?如果密文(y,c)是一个错误的密文,即为y没有一个F(pk,x)的原像,在现实中算法是可以拒绝错误密文的,此处,我们只需要修改一下解密算法,新的解密算法会在接收到密文请求后进行一次F函数的判断,如果y没有原像,意味着y不是一个由正确的私钥sk计算得到的部分密文,所以直接返回拒绝,具体的算法描述如下:
证明:如果H作为随机谕言机,对称加密算法是1CCA安全的,并且假设陷函数是单向的,那么上文所述加密算法是CCA安全的。特别的,如果接收到了一个错误的部分密文y, 那么还需要一个限制条件更强的假设,该陷门函数需要能够拒绝错误密文,所以,为陷门函数增加一个“原像谕言机”,该新的陷门假设如下:
值得注意的是,每一个单项陷门函数协议都可以比较容易的转换为一个IOW假设。
?安全定理:
? ? ? ?构造证明的结构与目的:如果存在一个敌手A能够攻击该方案,那么存在另外的敌手Biow和BS敌手能够通过调用A来攻击单向陷门假设和1CCA的对称加密方案。
? ? ? ?证明设计流程:为了达到上述证明的构造结构与目的,敌手在进行解密询问时,必须限制该敌手不能从中获得任何的有益于其挑战询问的信息。所以在解密构造时,我们必须要设计挑战者回复为不适用私钥sk进行解密。这个需求可以通过随机谕言机来实现,挑战者维护一张表格,当敌手进行密钥的随机谕言机询问时,选择一个随机数作为解密询问的密钥,规定挑战密文不能用来进行解密询问。
? ? ? 随机谕言机请求回复:如果敌手在先前某个点x, 进行过随机谕言机询问,那么挑战者使用先前在x点询问产生的随机谕言机结果k, 进行解密。否则,如火的敌手先前没有进行随机谕言机的询问,而进行解密询问,那么挑战者和敌手都不会知道正确的解密密钥。然后,挑战者选取一个随机数,使用该随机数进行解密。这里挑战者需要使用额外的技术维护一致性,因为如果敌手下次对于该点进行随机谕言机询问,那么敌手需要将之前随机选的密钥返回给敌手,这样从敌手的角度来看,不论是先进行解密询问还是先进性随机谕言机询问,其询问的对于部分密文y的请求都是同样的密钥。
? ? ?挑战者回复半挑战密文的解密询问:我们在回复解密请求的时候,必须要考虑到如下的请求形式,即y使挑战密文的部分密文,但是c却不是挑战密文,就是说有y的那一半解密询问和挑战询问的那一半y是相等的。直觉上,在单向陷门函数存在的条件下,敌手是很难请求到真正的x在随机谕言机询问中,即使问到了随机谕言机回复一个随机的K。而从敌手的角度看k也应该是一个和随机值不可区分的。所以,该协议的CCA安全立即就服从了该方案中使用对称加密方案的1CCA安全性。
证明如下:
? ? ? ? ? ?我们证明定理12.2 在一个1CCA安全的比特猜测游戏模型下:
?首先,我们定义Game 0 是运行在敌手A和本算法挑战者之间的有个游戏,这个游戏时一个比特猜测版本的1CCA攻击游戏。接着修改挑战者获得Game 1. 在每个游戏中,b是由挑战者选取的随机比特,b`定义了敌手最后的猜测输出。Wj 定义了在游戏Game j中,猜测正确的情况。
Game 0:描述如下图所示:
挑战者必须回复随机谕言机请求,以及加密和解密请求。敌手可进行任意次的随机谕言机询问,以及任意次的解密询问,但是只能进行一次加密询问。回忆一下,除了直接访问随机谕言机,敌手还可间接的访问随机谕言机通过加密和解密请求,挑战者也是可以访问随机谕言机的。
? ? ? 在初始化阶段,挑战者计算一些信息,包括生成公私钥对,选择随机的k 和 b, 这些的目的是为了运行加密请求,这些内容可以在敌手没有发出挑战明文时完成。为了便于证明,我们想要我们的挑战者尽可能的少使用私钥sk,在解密请求中(尽量不适用,防止敌手在解密询问时获取相关有意义的信息)。这个要求将通过一个非一般性的策略实现解密和随机谕言机请求。
? ? ? 本文在此处使用了一个联合数组实现随机谕言机。首先使用一个Map1[y->k],用Map1来映射部分密文y与K之间的关系。规定在x询问的返回值为k. 然后使用另一个表格Pre【y->x】来跟踪询问请求与y之间的关系。Map通常生成除了Pre已经被定义过,因为挑战者也会访问随机谕言机,在解密请求时Map1也会被填充建立新的条目,但是此时Pre确没有。
? ? ? ?处理解密请求:如果部分密文y相等,则使用默认的k进行解密。否则,检测Map1中是否记录了此时询问的部分密文y,如果没有则给表项中添加一个随机的k值。如果y有原像并且Map1没有记录,那么意味着不论是挑战者还是敌手都没有先前询问过y的原像x。所以一个新的随机数k对应于随机询问x。特别的,如果敌手后去请求了随机谕言机在x处,那么将会使用相同的y进行回复。换句话说,在解密询问时如果发现之前没有记录过的y,那么挑战者一定要记录,并且维持一致性,当随机谕言机在某个时刻询问相同的x时,保持回复的一致性。如果y没有原像,那么即使分配了随机的k也没有意义。? ? ? 下一步,挑战者测试y是否满足F,如果不满足则挑战者拒绝这个密文。如上图中调用函数Image(pk,sk,y)来确认y是否有原像。 最后,如果y符合F,那么挑战者使用Map1表格中分配的随机k, 进行解密。挑战者可以在不知道x的情况下实现这一点。即为,此时挑战者在只有y作为解密询问的情况下随机赋予了解密密钥k。在Game 0中的(1)处包含实现了,挑战者此时是知道秘密值x的。
Game 1:
? ? ?Game 1 和 0的区别在于,删除了上图中的(1)。定义Z为敌手在Game 1向随机谕言机请求x时的事件。Game1 和 Game 0执行的过程都是相同的,除了Z事件的发生,所以可以使用Difference Lemma. 我们得到下式:? ?
?如果事件Z发生了,那么在Game1结束时,我们可以从Pre【】中获取一个x,这个x就是y的原像。我们即可以使用敌手A去构造一个BIow敌手,这个BIow敌手可以攻破该方案的陷门函数在原像谕言机的帮助之下。? BIow首先作为敌手和其CIOW挑战者运行获取pk,y. 然后Biow使用这些信息作为A的挑战者,与A运行本加密方案的挑战游戏。此时,
? ? ? (1)并没有在本游戏中被明确使用(除了计算y),sk没有被使用(除了计算image function)。
? ? ? (2)Biow可以使用image oracle.(通过请求CIOW挑战者)
? ? 在这个游戏结束时,如果y 在Pre的条目中,那么Biow输出该条目中的x,所以得到:
最终,在Game1中,k 仅仅被使用去加密挑战明文,与解密y相同时的解密询问。所以,敌手本质上是攻击1CCA的对称加密算法,很用调用A实现了一个1CCA的敌手攻击本方案所用的对称加密算法。所以得到如下:
根据12.5 12.6. 12.7 我们可以获得12.4证明完毕。
12.4 CCA-secure EIGamal encryption
本书上节内容的基于TDF的加密方案可以使用任意的陷门函数实例化。在本节中主要探讨的是EIGamal协议的CCA安全性。回忆一下该方案的细节:
然而,由CDH假设本身建立的这个方案并不是CCA安全的,敌手可以有效的借助解密询问来判断DH元组,敌手自己给出判断是非常困难的(DDH假设),解密请求可能会潜在的泄露私钥alpha的信息。虽然按照目前的知识来看,这种泄露并不会威胁到方案的安全性,然而,我们需要明确指出这种假设。所以,为了刻画这个模型,我们需要对CDH假设做出一定的修改,需要一个新的假设来捕获敌手的攻击行为,因为敌手的询问导致可以从解密谕言机获取一定的帮助,我们得到一个新的假设交互式CDH假设ICDH假设,描述如下:(即为在有DH判定谕言机的帮助下的CDH假设)
?进一步,我们得到如下安全定理:
安全定理:
?这个证明结构和上文的基于TDF的协议证明方式几乎没有什么区别,所以根据该书的内容,下文直接进行游戏描述,首先给出Game 0.
? ? ? ? ? ?
Game0 中:
? ? ? ? ? ? ?敌手的询问请求:
? ? ? ? ? ? ? ? (1)任意次的随机谕言机询问
? ? ? ? ? ? ? ? (2)任意次的解密询问
? ? ? ? ? ? ? ? (3)最多一次加密询问
? ? ? ? ? ? ? ? (4)可以通过加密与解密询问间接通过随机挑战者访问随机谕言机
? ? ? ? ? ?协议的初始阶段:
? ? ? ? ? ? ? ? ?(1)挑战者生成公私钥对
? ? ? ? ? ? ? ? ?(2)挑战者获取选取随机值k,b等加密询问参数,可以在不知道挑战明文时进行
? ? ? ? ? 为了使挑战者尽可能少的使用密钥sk,需要采取类似TDF方案中处理的方式,设计随机谕言机回复避免使用私钥sk.
? ? ? ? ? ? 随机谕言机的设计:
? ? ? ? ? ? ? ? Map[G2 -> k], 敌手提供(v,w) -> 得到k.
? ? ? ? ? ? ? ? Map1[G->k], u->k, 辅助记录.
? ? ? ? ? ? ? ? 如果当且仅当(u,v,w)是一个DH元组,随机谕言机在(v,w)的点输出为k, 那么对于这个两个表而言Map[v,w] = Map1[v] = k. 在解密请求中,如果敌手发起的解密请求v, 并没有在随机谕言机中请求过,那么此处先行给Map1[v] 随机选择赋值k。 当敌手在后期如果再次询问到(v,w)时,继续将Map1中的k赋值给随机谕言机请求即可,保持一致性。
? ? ? ? ? ? 随机谕言机请求:
? ? ? ? ? ? 如果随机谕言机已经表格中已经存储了询问条目,那么直接返回结果,否则,按照如下的设计回复敌手:
? ? ? ? ? ? 首先,测试敌手询问的是否是一个DH元组,使用函数DHP(*,*,*),同时这里也是唯一使用私钥的地方。
? ? ? ? ? ? 如果这是一个DH元组,那么挑战者给Map1一个随机的值,如果Map1中没有定义的话,并进一步将这个随机值k赋值给Map。并且记录一个条目sol.? Sol 是另外一个辅助谕言机记录表格,用来记录ICDH实例。
? ? ? ? ? ? 如果这不是一个DH元组,那么挑战者给与Map设定一个随机的值k, 这里并没有进一步设置Map1。
? ? ? ? ? ?解密请求回复:
? ? ? ? ? ?当挑战者收到一个解密请求(v,c)时,按照如下步骤处理:
? ? ? ? ? (1)如果部分密文v等于初始化阶段生成的v. 那么直接使用预先准备好的密钥进行解密。
? ? ? ? ? (2)如果不满足(1),那么检车是否满足在Map1中记录有,如果没有那么给与随机赋值k, 然后使用该随机的k作为密钥进行解密。显然,挑战者在回复解密请求的时候并没有使用CDH问题实例(u, v, w)的信息。然而如果敌手请求随机谕言机在这个实例(v,*)时刻,敌手将会看到同样的k,所以一致性得到了维护。
?Game 1 :?
? ? ? ? ? ?Game?1 与 Game 0 一样的,除了(1)被删除了。定义Z为敌手A在Game1中请求(v,w),不难看出在Z不发生时两个游戏的运行过程是一样的。
? ? ? ? ? ? 如果Z发生,那么在游戏的最后,我们从Sol中就可以获得w ,即为一个ICDH问题解的实例。我们可以调用A构造一个BICDH敌手去攻破CDH假设在有DH判断谕言机的帮助下,其优势等同于Z事件发生的概率。
考虑到和TDF一样的情形,我们类似得到可以调用A去攻击对称加密方案,最后得到上述两个等式,得证。