關於CTR-Mode的CPA-security proof的問題
在閱讀Katz & Lindell 的教科書(第 2 版)時,我發現了 CTR 模式的 CPA-Security 的證明。可在第 3.6.2 章末尾(第 93 和 94 頁)找到。我不太明白,為什麼證明那麼複雜,所以我有兩個基本問題:
- 為什麼需要基於真正隨機函式而不是 PRF 的額外方案(密碼系統)?
- 為什麼我們要為多條消息使用 CPA 安全性來證明它?據我所知,單條消息的 CPA 安全意味著多條消息的 CPA 安全,反之亦然。因此,這只是使不必要的複雜。
為什麼不能更簡單地證明呢?我的想法的草圖是:
- 假設 A 是基於安全 PRF 函式的 CTR Kryptosystem 的對手
- A 使用兩條消息執行 CPA-Experiment $ m_0, m_1 $ 並收到 $ (IV,c) $ 來自挑戰者
- A 可以在多項式時間內使用其加密 Oracle $ p(n) $ 並得到,為簡單起見, $ n $ 複製 $ (IV_i,c_i) $ . 這導致兩種情況: 1. 發生重疊。因為 A 不僅成功了,如果 $ IV = IV_i $ 但如果 $ IV+x = IV_i+y $ (對於一些 $ x,y \geq 0 $ ,因為 CTR-Mode 的計數因子)。所以這發生在 $ 2p(n)^2/2^n $ 代替 $ p(n)/2^n $ (生日悖論,因為 $ IV+x = IV_i+y $ )。因為在這種情況下獲勝的機率是 1,但這種情況下的機率可以忽略不計: $ 2p(n)^2/2^n \in negl(n) $ 2.沒有重疊,獲勝的機率是 $ 1/2 $ ,因為 PRF 是安全的。
- 結合這兩種情況,A獲勝的機率為 $ 1/2 + negl(n) $ ,這意味著 CTR 是 CPA 安全的。
編輯: 謝謝你的回答!他們幫助我理解了這個話題。但這導致了另一個與此相關的問題:
我的教授通過使用矛盾的簡化證明證明了基於 PRF 的加密 #1 的 CPA 安全性。基本思想:
- 基本假設 PRF 是安全的
- 假設對手 A 對抗 #1
- 使用 A 建構一個區分器 D 來解決基本假設(D 與 A 進行 CPA 遊戲,因此可以破壞 PRF)
- 如果 CPA 安全,矛盾導致證明
因為書中的證明是基於 CPA-secure PRF-encryption 的證明,所以應該可以構造一個證明,基於 CPA-secure PRF-encryption 使用矛盾的證明,對吧?
我試一試:
這使我得出以下結論:使用矛盾的解決方案會更直覺(我可以理解)。所以現在我試一試:
- 基本假設:PRF 是安全的
- 假設對手 A 破壞了加密。A 能夠使用加密 orakle(因為我們要證明 CPA 安全性)。讓 a 具有不可忽略的成功機率。
- 使用 A 我們建構了一個區分器 D 打破了 PRF:D 獲取函式而不知道天氣它是 PRF 還是真正的隨機函式 f。D 使用 PRF 或 f 與 A 模擬 CPA 遊戲。這導致兩種情況:
3.1 D 獲得了 PRF。D 正在使用 PRF 加密方案。A 可以以不可忽略的機率破壞它,並且 D 輸出 A 的輸出。
3.2D得到了一個真正的隨機函式。現在變得有趣了:D 首先必須構造一個新的加密方案。為此,他使用舊的並且只使用 f 而不是 PRF。但是現在 A 不能以可以忽略不計的機率贏得比賽:A 可以使 p(n) 多次加密獲得。現在與上面相同的參數可以用於重疊(因為 A 不僅成功,如果 $ IV = IV_i $ 但如果 $ IV+x = IV_i+y $ (對於一些 $ x,y \geq 0 $ ,因為 CTR-Mode 的計數因子)。所以這發生在 $ 2p(n)^2/2^n $ 代替 $ p(n)/2^n $ (生日悖論,因為 $ IV+x = IV_i+y $ )。因為在這種情況下獲勝的機率是 1,但這種情況下的機率可以忽略不計: $ 2p(n)^2/2^n \in negl(n) $ )
- 因此,D 可以以超過不可忽略的機率成功區分 PRF 和 f,這破壞了 PRF,因此導致矛盾
- 現在只顯示了單個消息的 ING-CPA-security,但是因為單個消息的 ING-CPA-security 意味著多個消息的 ING-CPA-security,我們也展示了這一點。
問題在於您的陳述“沒有重疊,獲勝的機率是 $ 1/2 $ ,因為 PRF 是安全的。”這是什麼意思?唯一形式化的方法是表明如果對手獲勝的機率大於 $ 1/2 $ 當沒有重疊時,您可以打破 PRF。這基本上就是證明的作用。請注意,它不一定是矛盾的——也可以證明當沒有重疊時,將 PRF 與隨機區分開來的減少表明差距可以忽略不計。這就是書中寫的證明的工作方式。