密码学归约证明——选择明文攻击下的不可区分性

1. 选择明文攻击 $CPA$ 不可区分性实验 $PrivK_{A,\Pi }^{cpa}\left ( n \right )$

运行 $Gen\left ( 1^{n} \right )$ 生成密钥 $k$ ；输出 $1^{n}$ 给敌手 $A$ ，敌手 $A$ 可以访问预言机 $Enc_{k}\left ( \cdot \right )$ ，并输出一对长度相等的消息 $m_{0},m_{1}$ ；选择一个随机比特 $b\leftarrow \left \{ 0,1 \right \}$ ，计算出挑战密文 $c\leftarrow Enc _{k}\left ( m_{b} \right )$ 交给 $A$ ;敌手 $A$ 继续访问预言机，输出一个比特 $b'$ ；如果 $b=b'$ ，则 $PrivK_{A,\Pi }^{cpa}\left ( n \right )=1$ ， $A$ 成功。

2. 选择明文攻击 $CPA$ 条件下的不可区分加密

对称密钥加密方案 $\Pi =\left ( Gen,Enc,Dec \right )$ 满足：如果对任意概率多项式敌手 $A$ ，存在可忽略函数 $negl$ ，使

$Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]\leq \frac{1}{2}+negl\left ( n \right )$

则满足选择明文攻击 $CPA$ 条件下的不可区分加密。

3. 伪随机函数构造 $CPA$ 安全的构造方法 $\Pi$

令 $F$ 是伪随机函数，定义一个消息长度为 $n$ 的对称密钥加密方案如下：

$Gen$ ：输入 $1^{n}$ ，均匀随机地选择密钥 $k\leftarrow \left \{ 0,1 \right \}^{n}$

$Enc$ ：输入密钥 $k$ 和消息 $m\in \left \{ 0,1 \right \}^{n}$ ，均匀随机选择 $r\leftarrow \left \{ 0,1 \right \}^{n}$ ，输出密文 $c:= \left \langle r,F_{k}\left ( r\right ) \oplus m\right \rangle$

$Dec$ ：输入密钥 $k$ 和密文 $c=\left \langle r,s \right \rangle$ ，输出明文 $m:= F_{k}\left ( r\right ) \oplus s$

4. 伪随机函数 $PRF$

令 $F:\left \{ 0,1 \right \}^{*}\times \left \{ 0,1 \right \}^{*}\rightarrow \left \{ 0,1 \right \}^{*}$ 是有效的、长度保留的、带密钥的函数。如果对于所有多项式时间的区分器 $D$ ，存在可忽略函数 $negl$ ，满足

$\left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$ ，

则 $F$ 是一个伪随机函数，其中 $k\leftarrow \left \{ 0,1 \right \}^{n}$ 是随机均匀选择的， $f\left ( \cdot \right )$ 是将 $n$ 比特字符串映射到 $n$ 比特字符串的函数集合中均匀随机选择出来的。

5. 选择明文攻击下的不可区分性

如果 $F$ 是伪随机函数，则上述构造方法 $\Pi$ 为消息长度为 $n$ 的定长对称密钥加密方案，在选择明文攻击下不可区分。

书《现代密码学——原理与协议》中针对此类型的归约给出了通用思路：首先在理想的世界中分析方案的安全性，即用真正的随机函数 $f$ 来取代 $F_{k}$ ，然后说明此时的安全性；然后当 $F_{k}$ 被使用时，如果该方案不是安全的，则意味着将 $F_{k}$ 从真正的随机函数中区分出来是可能的。

分别创建两个情景：

敌手 $D$ 攻击其对应的挑战者 $C$

挑战者 $C$ 有两种方式使用函数来输出 $t$ ：真随机函数 $f$ 和伪随机函数 $F_{k}$ 。 $C$ 随机地选择 $t$ 交给敌手 $D$ 来判断该 $t$ 是随机的还是伪随机的。若 $D$ 输出 $b'$ 满足 $b'=b$ ，则敌手 $D$ 成功。

如果 $b=0$ ，则敌手 $D$ 成功的概率为

$Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]$

如果 $b=1$ ，则敌手 $D$ 成功的概率为

$Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]$

且伪随机函数 $F_{k}$ 满足

$\left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$

图解：

敌手 $A$ 攻击 $\Pi$

$A$ 生成两个长度相等的字符串 $m_{0}$ 和 $m_{1}$ 。 $\Pi$ 随机选择 $m$ ，计算密文 $c$ 交给 $A$ 来判断 $c$ 来自 $m_{0}$ 还是 $m_{1}$ 。若 $A$ 输出 $b'=b$ ，则成功。

如果 $t$ 来自随机函数，令加密方案 $\widetilde{\Pi }$ ：用真正的随机函数 $f$ 来代替伪随机函数 $F_{k}$ ，其他与 $\Pi$ 相同。每个敌手 $A$ 最多向它的加密预言机问询多项式 $q\left ( n \right )$ 次，有

$Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n\right )=1\right ]\leq \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$

下面证明此命题：

令 $r_{c}$ 表示生成挑战密文 $c=\left \langle r_{c},f\left ( r_{c}\oplus m_{b} \right ) \right \rangle$ 时生成的随机字符串。有两种情况：

值 $r_{c}$ 被加密预言机使用来回答至少一个 $A$ 的问询：

无论何时加密预言机返回一个密文 $\left \langle r,s \right \rangle$ 来回应加密消息 $m$ 的请求，敌手由 $f\left ( r \right )=s\oplus m$ 掌握了值 $f\left ( r \right )$ 。此时， $A$ 可能轻易地判断出哪一个消息被加密。因为 $A$ 最多向预言机问询 $q\left ( n \right )$ 次，并且每次预言机回答它的问询都是使用一个均匀选择的 $r$ ，所以该事件发生的概率最多为 $\frac{q\left ( n \right )}{2^{n}}$ 。

值 $r_{c}$ 没有被加密预言机用来回答 $A$ 的问询：

这种情况下， $A$ 在和加密预言机的交互过程中，没有掌握任何关于 $f\left ( r_{c} \right )$ 值的信息。在这种情况下，输出 $b'=b$ 的概率刚好是 $\frac{1}{2}$ （类似于“一次一密”）。

令 $Repeat$ 表示值 $r_{c}$ 被加密预言机使用来回答至少一个 $A$ 的问询的事件。则有

$Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\right ]$

$=Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\wedge Repeat \right ]+Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\wedge \overline{Repeat}\right ]$

$\leq Pr\left [ Repeat \right ]+Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1| \overline{Repeat}\right ]\leq \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$

得证。

如果 $t$ 来自伪随机函数，则敌手 $A$ 成功的概率被表示为

$Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$

如果下面不等式成立，就可以说明加密协议 $\Pi$ 是安全的：

$\left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$

图解：

证明：根据上面所述的情景，正式说明逻辑命题等价式表示为：

$\left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )\rightarrow$

$Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]\leq \frac{1}{2}+negl\left ( n \right )$

令区分器 $D$ 使用 $A$ 作为子程序，来模拟 $CPA$ 不可区分实验。

如果 $D$ 的预言机是一个伪随机函数，那么当 $A$ 被 $D$ 作为一个子程序运行时的所见视图分布，与在实验 $PrivK_{A,\Pi }^{cpa}\left ( n \right )$ 中 $A$ 所见的视图分布是相同的。则

$Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]=Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$

如果 $D$ 的预言机是一个随机函数，那么当 $A$ 被 $D$ 作为一个子程序运行时的所见视图分布，与在实验 $PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )$ 中 $A$ 所见的视图分布是相同的。则

$Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]=Pr\left [ PrivK_{A,\widetilde{\Pi }}^{cpa} \left ( n \right )=1\right ]$

根据不等式 $\left | Pr\left [ D^{F_{k}\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ] -Pr\left [ D^{f\left ( \cdot \right )}\left ( 1^{n} \right )=1 \right ]\right |\leq negl\left ( n \right )$ 有

$Pr\left [ PrivK_{A,\Pi }^{cpa}\left ( n \right ) =1\right ]$ 相关于 $negl\left ( n \right )+ \frac{1}{2}+\frac{q\left ( n \right )}{2^{n}}$

由于 $\frac{q\left ( n \right )}{2^{n}}$ 满足多项式，得证。

6. 参考文献

乔纳森.卡茨，耶胡达.林德尔著，任伟译，现代密码学——原理与协议，国防工业出版社，2017年第一版第4次印刷.