密码学归约证明——计数器CTR模式

1. 计数器CTR模式

选择 $ctr=IV\leftarrow \{0,1\}^n$ ，计算 $r_i:=F_k ((ctr+i)mod\ 2^n)$ ， $c_i:=m_i\bigoplus r_i$ 。 $ctr$ 不加密并作为密文的一部分发送。

2. CTR模式的CPA安全

若 $F$ 是 $PRF$ ，则 $CTR$ 模式是 $CPA$ 安全的。

挑战密文在实验 $PrivK_{A,\Pi}^{cpa}$ 中被加密时，设 $ctr^*$ 表示初始 $ctr$ ， $ctr^*+i$ 表示加密挑战密文每个分组 $c_i$ 。要求 $ctr^*+i$ 从未被加密预言机用于回答以前的问询。因为如果没有被回答过，那么 $f(ctr^*+i)$ 是一个完全随机的值，那么用这个值和 $m_i$ 异或与“一次一密”具有相同的效果。

将 $CTR$ 模式是 $CPA$ 安全的证明转化为界定 $ctr^*+i$ 之前被使用过的概率。

设 $\Pi'=(Gen',Enc',Dec')$ 是将 $Enc$ 中的 $PRF:F_k$ 替换为随机函数 $f$ 后的加密方案。

⑴首先，说明 $Pr[PrivK_{A,\Pi'}^{cpa}(n)=1]\leq \frac{1}{2}+negl(n)$ 。

令 $q(n)$ 是敌手 $A$ 向加密预言机问询数量的上限，同时令其为问询明文的最大长度以及 $m_0,m_1$ 的最大长度。令 $ctr^*$ 表示挑战密文被加密时的初始向量， $ctr_i$ 表示加密预言机回答 $A$ 第 $i$ 个明文选择的初始向量。当挑战密文被加密时，函数 $f$ 被应用在值 $ctr^*+1,\cdots ,ctr^*+l^*$ 上，其中 $l^*\leq q(n)$ 是 $m_0,m_1$ 的长度。当第 $i$ 个明文被回答时，函数 $f$ 被应用在值 $ctr_i+1,\cdots,ctr_i+l_i$ ，其中 $l_i\leq q(n)$ 是被请求加密的消息的长度。现在考虑两种情况：

$\not{\exists}i,j,j'\geq 1$ 使得 $ctr_i+j=ctr^*+j'$ ，其中 $j\leq l_i$ 且 $j'\leq l^*$ 。

此时，当加密挑战密文时，使用的值 $f(ctr^*+1),\cdots,f(ctr^*+l^*)$ 是彼此独立且均匀分布的。因为当加密任何敌手的预言机问询时， $f$ 没有在这些值上使用过。即：挑战密文的计算是通过异或随即比特流和消息 $m_b$ 获得的。这种情况下， $A$ 输出 $b'=b$ 的概率同“一次一密”的情况，刚好是 $\frac{1}{2}$ 。

$\exists i,j,j' \geq 1$ 使得 $ctr_i+j=ctr^*+j'$ ，其中 $j\leq l_i$ 且 $j'\leq l^*$ 。

此时，用来加密第 $i$ 个加密预言机问询的第 $j$ 分组的值和用来加密挑战密文的第 $j'$ 分组的值是相同的。在这种情况下，当给定挑战密文时， $A$ 很容易确定哪一个消息被加密，因为敌手能够从它的第 $i$ 个预言机问询的答案中推断出 $f(ctr_i+j)=f(ctr^*+j')$ 的值。

如果 $l^*$ 和每一个 $l_i$ 尽可能大，概率能够达到最大，所以假设 $\forall i$ ，有 $l_i=l^*=q(n)$ 。令 $Overlap_i$ 表示序列 $ctr_i+1,\cdots,ctr_i+q(n)$ 重叠于序列 $ctr^*+1,\cdots,ctr^*+q(n)$ 的事件。则有 $Pr[Overlap]\leq \sum_{i=1}^{q(n)}Pr[Overlap_i]$ 。

固定 $ctr^*$ ，当 $ctr_i$ 满足 $ctr^*+1-q(n)\leq ctr_i\leq ctr^*+q(n)-1$ ，事件 $Overlap_i$ 发生。即此时， $ctr_i$ 有 $2q(n)-1$ 个值使得 $Overlap_i$ 发生，并且 $ctr_i$ 随机均匀从 $\{0,1\}^i$ 中选择来的，于是 $Pr[Overlap_i]=\frac{2q(n)-1}{2^n}$ 。因此 $Pr[Overlap]\leq \frac{2q(n)^2-q(n)}{2^n}$ 。

此时便界定 $A$ 成功的概率

$Pr[PrivK_{A,\Pi'}^{cpa}\left (n \right )=1]$

$=Pr[PrivK_{A,\Pi'}^{cpa}(n)=1\ \wedge \ Overlap]+Pr[PrivK_{A,\Pi'}^{cpa}(n)=1\ \wedge \ \overline{Overlap}]$

$\leq Pr[Overlap]+Pr[PrivK_{A,\Pi'}^{cpa}(n)=1\ \wedge \ \overline{Overlap}]\leq \frac{2q(n)^2-q(n)}{2^n}+\frac{1}{2}$ 。

因为 $q(n)$ 是多项式， $\frac{1}{2^n}$ 可忽略，则 $Pr[PrivK_{A,\Pi'}^{cpa}n=1]\leq \frac{1}{2}+negl(n)$ 。

⑵接着证明 $\exists negl'$ ，使得 $Pr[PrivK_{A,\Pi}^{cpa}(n)=1]\leq \frac{1}{2}+negl'(n)$ 。

类似于对基于 $PRF$ 的定长 $CPA$ 安全的加密方案（密码学归约证明——选择明文攻击下的不可区分性_悬巷的博客-CSDN博客_证明对称加密方案下的选择明文攻击）。将区分器 $D$ 归约到敌手 $A$ 。有 $Pr[D^f(1^n)=1]=Pr[PrivK_{A,\Pi'}^{cpa}(n)=1]\leq \frac{1}{2}+negl(n)$ 且 $Pr[D^{F_k}(1^n)=1]=Pr[PrivK_{A,\Pi}^{cpa}(n)=1]$ ；

又

$Pr[D^{F_k}(1^n)=1]-Pr[D^f(1^n)=1]\leq negl(n)$ ，

则 $Pr[PrivK_{A,\Pi}^{cpa}(n)=1]\leq \frac{1}{2}+negl(n)$ 。

3. 参考文献

乔纳森.卡茨，耶胡达.林德尔著，任伟译，现代密码学——原理与协议，国防工业出版社，2017年第一版第4次印刷.