现代密码学3.4--CPA安全，多次加密

CPA安全
- oracle
- 例子
- 含oracle的实验过程
- CPA安全定义
多次加密的CPA安全
- "left-or-right" oracle LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)
- 含"left-or-right" oracle的多次加密实验过程
- 多次加密的CPA安全定义
多次加密和单次加密对比
- 唯密文攻击/计算安全
- 选择明文攻击/CPA安全

博主正在学习INTRODUCTION TO MODERN CRYPTOGRAPHY (Second Edition) --Jonathan Katz, Yehuda Lindell，做一些笔记供自己回忆，如有错误请指正。整理成一个系列现代密码学，方便检索。

第二章定义的完美安全是一种理论上的讨论，而第三章需要定义的计算安全是一种更偏向实际需求的讨论。
3.1节讨论了定义计算安全的两种方法，3.2节讨论了什么是计算安全，3.3节给出了基于PRG构造的计算安全的密码方案。
以上3.1-3.3节都在讨论计算安全，这是一种抵御唯密文攻击的安全，根据1.4节的四种攻击模型可知，这是对敌手能力的一种最弱描述。现在，我们考虑敌手具有选择明文攻击的攻击能力，来定义一种更强的安全性：CPA安全，以及考虑多次加密的计算安全和多次加密的CPA安全。

CPA安全

oracle

攻击者可以选择明文mmm传给加密者，加密者用加密算法Enck(m)Enc_k(m)Enck(m)得到ccc……返回给攻击者。把这个过程看作一次查询，由攻击者来确定查什么，可以进行任意多次，且每次都用同样的密钥kkk。

例子

美军vs日军，中途岛海战：美军监听到日军要攻击“AF”，但是无法破解“AF”是什么地方。美军猜测是“中途岛”，于是让中途岛发假信息说缺水，日本截获了这个信息并立即报告给总部：“AF”缺水，这就让美军知道了在日军的加密方案中“AF”就是“中途岛”。这就是选择明文攻击，美军选择了明文“中途岛”，日军加密得到“AF”，虽然不是日军自愿参与的，但美军仍达到了他们的需要。

含oracle的实验过程

敌手A\mathcal{A}A已知安全参数1n1^n1n，有一个连接Enck(⋅)Enc_k(\cdot)Enck(⋅)的oracle（可以询问Enck(⋅)Enc_k(\cdot)Enck(⋅)任意多次），输出等长明文m0,m1m_0,m_1m0,m1给加密者；
加密者任选b∈{0,1}b\in\{0,1\}b∈{0,1}，输出密文c←Enck(mb)c\leftarrow Enc_k(m_b)c←Enck(mb)给敌手A\mathcal{A}A；
敌手A\mathcal{A}A在获得ccc后，仍有一个连接Enck(⋅)Enc_k(\cdot)Enck(⋅)的oracle（可以根据ccc调整，继续查询），输出猜测的b′b'b′；
如果b′=bb'=bb′=b输出1，否则输出0。

CPA安全定义

私钥加密方案Π=(Gen,Enc,Dec)\Pi=(Gen,Enc,Dec)Π=(Gen,Enc,Dec)如果对于任意PPT敌手A\mathcal{A}A，都有一个可忽略函数negl满足Pr[PrivKA,Πcpa(n)=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{cpa}(n)=1]\le \frac{1}{2}+Pr[PrivKA,Πcpa(n)=1]≤21+negl(n)(n)(n)，则称该方案Π\PiΠ在选择明文攻击下有不可区分的加密，是满足CPA安全的。

多次加密的CPA安全

“left-or-right” oracle LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)

攻击者输入等长明文m0,m1m_0,m_1m0,m1给LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)，如果b=0b=0b=0，输出c←Enck(m0)c\leftarrow Enc_k(m_0)c←Enck(m0)；如果b=1b=1b=1，输出c←Enck(m1)c\leftarrow Enc_k(m_1)c←Enck(m1)。

“left-or-right” oracle LRk,b(m,m)LR_{k,b}(m,m)LRk,b(m,m)可以模拟oracle Enck(m)Enc_k(m)Enck(m)
LRk,b(m0,1,m1,1)……LRk,b(m0,t,m1,t)LR_{k,b}(m_{0,1},m_{1,1})……LR_{k,b}(m_{0,t},m_{1,t})LRk,b(m0,1,m1,1)……LRk,b(m0,t,m1,t)可以模拟多次加密

不输入m0,1,……m0,tm_{0,1},……m_{0,t}m0,1,……m0,t和m1,1,……m1,tm_{1,1},……m_{1,t}m1,1,……m1,t，而选择分别输入LRk,b(m0,1,m1,1)……LRk,b(m0,t,m1,t)LR_{k,b}(m_{0,1},m_{1,1})……LR_{k,b}(m_{0,t},m_{1,t})LRk,b(m0,1,m1,1)……LRk,b(m0,t,m1,t)，是因为加密者每次加密LRk,b(m0,i,m1,i)LR_{k,b}(m_{0,i},m_{1,i})LRk,b(m0,i,m1,i)返回密文cic_ici给敌手，敌手可以据此去选择下一次希望判断的明文，这样定义下的敌手能力更强。

含"left-or-right" oracle的多次加密实验过程

确定b∈{0,1}b\in\{0,1\}b∈{0,1}
敌手A\mathcal{A}A已知安全参数1n1^n1n，有一个连接LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)的oracle（可以询问LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)任意多次）
敌手A\mathcal{A}A输出猜测的b′b'b′；
如果b′=bb'=bb′=b输出1，否则输出0。

多次加密的CPA安全定义

私钥加密方案Π=(Gen,Enc,Dec)\Pi=(Gen,Enc,Dec)Π=(Gen,Enc,Dec)如果对于任意PPT敌手A\mathcal{A}A，都有一个可忽略函数negl满足Pr[PrivKA,ΠLR−cpa(n)=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{LR-cpa}(n)=1]\le \frac{1}{2}+Pr[PrivKA,ΠLR−cpa(n)=1]≤21+negl(n)(n)(n)，则称该方案Π\PiΠ在选择明文攻击下有不可区分的多次加密，是满足CPA安全的多次加密。

多次加密和单次加密对比

唯密文攻击/计算安全

考虑计算安全和多次加密下的计算安全。

计算安全：敌手传m0,m1m_0,m_1m0,m1给加密者，加密者选择mb,b∈{0,1}m_b,b\in\{0,1\}mb,b∈{0,1}进行加密得到c←Enck(mb)c\leftarrow Enc_k(m_b)c←Enck(mb)返回给敌手，敌手猜测b′b'b′。b′=bb'=bb′=b则输出1，否则输出0。Pr[PrivKA,Πeav=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{eav}=1]\le \frac{1}{2}+Pr[PrivKA,Πeav=1]≤21+negl(n)(n)(n)。具体描述可看3.2节：什么是计算安全
多次加密下的计算安全：敌手传M0={m0,1……m0,t},M1={m1,1,……m1,t},∣m0,i∣=∣m1,i∣M_0=\{m_{0,1……m_{0,t}}\},M_1=\{m_{1,1},……m_{1,t}\},|m_{0,i}|=|m_{1,i}|M0={m0,1……m0,t},M1={m1,1,……m1,t},∣m0,i∣=∣m1,i∣给加密者，加密者选择b∈{0,1}b\in\{0,1\}b∈{0,1}进行加密ci←Enck(mb,i)c_i\leftarrow Enc_k(m_{b,i})ci←Enck(mb,i)得到C=(c1……ct)C=(c_1……c_t)C=(c1……ct)返回给敌手，敌手猜测b′b'b′。b′=bb'=bb′=b则输出1，否则输出0。Pr[PrivKA,Πmult=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{mult}=1]\le \frac{1}{2}+Pr[PrivKA,Πmult=1]≤21+negl(n)(n)(n)。

如果EnckEnc_kEnck是确定性算法，安全性：多次加密的计算安全>计算安全。

选择明文攻击/CPA安全

考虑CPA安全和多次加密下的CPA安全。

CPA安全：定义含oracle的实验，Pr[PrivKA,Πcpa(n)=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{cpa}(n)=1]\le \frac{1}{2}+Pr[PrivKA,Πcpa(n)=1]≤21+negl(n)(n)(n)
多次加密下的CPA安全：定义含LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)的实验，Pr[PrivKA,ΠLR−cpa(n)=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{LR-cpa}(n)=1]\le \frac{1}{2}+Pr[PrivKA,ΠLR−cpa(n)=1]≤21+negl(n)(n)(n)

安全性：多次加密的CPA安全=单次加密的CPA安全。

现代密码学3.4--CPA安全，多次加密相关推荐

密码学专题数据填充的方式|序列加密的方式
电子密码本模式和加密分组链接模式的分组算法都要求加密输入的分组是固定长度的,但是大多数输入明文可能都不是分组长度的整数倍,也就是说,最后一个分组一般来说是不足一个分组长度的.为了使分组加密算法能够 ...
密码学-07CCA安全与认证加密
7 CCA安全与认证加密本节学习用于抵抗CCA攻击的加密方案以及同时保证通信机密性和真实性的认证加密方案. 目录:CCA安全加密,认证加密,确定性加密,密钥派生函数. 回顾CCA不可区分实验 CCA ...
[密码学基础][信息安全][每个信息安全博士生应该知道的52件事][Bristol Cryptography][第一篇]不同类型的处理器
这是每个密码学博士生应该知道的52件事系列的第一篇文章.PhD研究生在第一年结束的时候应该掌握这些问题.并且尽可能早的在他们能放弃的时候放弃(23333)无论怎样,我们会将这些问题在接下来的一年里表达 ...
CTF-Crypto密码学
密码学 01密码学概述密码学的发展密码编码学编码与加密? 编码为一类映射的关系(一一映射) 加密为一类算法(有算法(公开的),密钥(不可泄漏)) 明文 ------> 密文 plain t ...
密码学电子书_密码学中的电子密码书（ECB）
密码学电子书 This Electronic Code Book (ECB) is cryptography as a mode of operation for a block cipher, wi ...
【网络信息安全】密码学入门笔记
密码学入门主要内容与重点一.传统密码学二.现代密码学三.理论不可破解和计算不可破解的加密算法密码系统的基本要求和设计原则一次一密密码系统一次一密码系统的算法一次一密密码系统举例无法破 ...
密码学（期末复习版）
文章目录第一章引言第二章流密码第三章分组密码第四章公钥密码第五章数字签名第六章哈希函数第七章认证技术第八章秘钥分配与秘钥管理第九章密码协议第十一章密码学新方向 ...
CISSP考试要求里的“应用密码学”内容辅助记忆趣味串讲
前言密码学为数据的处理.存储和通信过程提供附加的安全级别.近年来,数学家和计算机科学家开发了一系列日益复杂的算法,这些算法被设计用于确保机密性.完整性.身份认证和不可否认性.在密码学家花费大量时间开 ...
Java密码学原型算法实现——第二部分：单钥加密算法
题注本部分为单钥加密算法的实现.单钥加密体制是密码学加密中的核心密码学原型之一,很早很早前人类就已经开始了单钥密码学体制的研究.本部分的所有实现基于Bouncy Castle库,其地址详见我上一篇博 ...

现代密码学3.4--CPA安全，多次加密

现代密码学3.4--CPA安全，多次加密

CPA安全

oracle

例子

含oracle的实验过程

CPA安全定义

多次加密的CPA安全

“left-or-right” oracle LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)

含"left-or-right" oracle的多次加密实验过程

多次加密的CPA安全定义

多次加密和单次加密对比

唯密文攻击/计算安全

选择明文攻击/CPA安全

现代密码学3.4--CPA安全，多次加密相关推荐

最新文章

热门文章

现代密码学3.4--CPA安全，多次加密

现代密码学3.4--CPA安全，多次加密

CPA安全

oracle

例子

含oracle的实验过程

CPA安全定义

多次加密的CPA安全

“left-or-right” oracle LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b​(⋅,⋅)

含"left-or-right" oracle的多次加密实验过程

多次加密的CPA安全定义

多次加密和单次加密对比

唯密文攻击/计算安全

选择明文攻击/CPA安全

现代密码学3.4--CPA安全，多次加密相关推荐

最新文章

热门文章

“left-or-right” oracle LRk,b(⋅,⋅)LR_{k,b}(\cdot,\cdot)LRk,b(⋅,⋅)