經過身份驗證的加密基本上是一個可上鎖的盒子嗎?
我最近使用了一個自定義結構作為承諾方案,它取自你在解釋承諾方案時給人們的標準圖片。
基本上,承諾方案可以用實物來描述,如“將要承諾的資訊放在一個可上鎖的盒子裡,把盒子交給其他人並保留鑰匙。只要你想證明你在上一次,把鑰匙給他驗證”。
現在 Schneier(在Applied Cryptography 2nd edition p. 86中)描述了一個基於分組密碼的承諾,遵循完全相同的原則(使用分組密碼)。選擇一些隨機值(B 做)並讓 A 使用 A 想要送出的密鑰對其進行加密,基本上交換“密鑰”和“內容”。
現在對於自定義方案:
假設您正在使用經過身份驗證的加密方案(例如 AES-GCM)並且您想要送出一個值 $ R $ .
- 加密 $ R $ 使用隨機選擇的 $ k $ 並選擇一個隨機 IV 並附加標籤。( $ =IV||C||tag $ )
- 發送 $ k $ 到驗證點的驗證者。
所以問題
**是:經過身份驗證的加密電腦是否等同於可上鎖的盒子(在這種情況下)?**或等效地:上述承諾方案能否被打破(如果是,如何?)
對我來說,上面的問題看起來相當於:
給定一個帶有標籤的密文,只有一個密鑰可以生成帶有給定密文的正確標籤,這意味著相應的明文不能被更改。
不。
是的,通過選擇具有已知 $ :I\hspace{.03 in}V\hspace{.04 in}||\hspace{.04 in}C\hspace{.04 in}||\hspace{.04 in}tag: $ 和 $ k_{\hspace{.02 in}0} $ 和 $ k_1 $ 這樣解密 $ :I\hspace{.03 in}V\hspace{.04 in}||\hspace{.04 in}C\hspace{.04 in}||\hspace{.04 in}tag: $ 和 $ k_{\hspace{.02 in}0} $ 和 $ k_1 $ 產生不同的輸出,它們都不是 $ \perp $ .
這 三個 連結描述了從單向函式進行身份驗證加密的黑盒結構。 $ : $ 另一方面,沒有已知的從單向函式構造非互動式承諾,本文宣稱,“我們排除了從一般(可能不是一對一)非互動式承諾的黑盒構造的可能性。 -one) 單向函式。” 然而,Naor 的計劃接近了。
我知道的唯一候選非互動式承諾構造要麼使用
$ : $ (1) 具有足夠完整性的密鑰協商方案(這是執行此操作的標準方式),或
$ ;;;; $
$ : $ (2)由有限域上的多元多項式元組給出的注入族,或
$ ;;;; $
$ : $ (3)無密鑰 CRHF(這些對於非統一送出者來說是不安全的),或者
$ ;;;; $
$ : $ (4)打單向函式(除了可能只是計算隱藏,
$ : $ 這些也不知道對(統一)高效的送出者有約束力)
.