IND-CCA 安全和標準模型下 IND-CCA 安全的定義是否相同?
假設有一個基於離散對數問題的公鑰密碼系統,並讓這個密碼系統在標準模型下是 IND-CCA 安全的。如果 Diffie-hellman 假設成立(這是給定密碼系統所基於的問題)或可能存在任何其他假設(問題),此陳述是否意味著給定密碼系統是 IND-CCA 安全的?
密碼系統不是“基於假設”;它基於一些數學結構(例如素數階橢圓曲線或素數階場)。通俗地說,在某個假設 A 下,如果允許訪問破壞該方案,可以構造一個打破 A 的算法。
但是您不能說“A 是密碼系統所基於的問題”:對於給定的密碼系統,不同的安全概念可以基於不同的假設。例如,以 ElGamal 為例:在 DDH 假設下它是 IND-CPA 安全的,並且(稍微變體)它也被證明是 IND-CCA1 安全的(CCA1 表明對手只能在收到挑戰之前進行解密查詢密文 - 這也稱為針對午餐時間攻擊的安全性),但僅在一個非常不同且不太標準的假設下(例如,參見本文,或它在介紹中提到的一些相關論文)。
因此,當一個密碼系統被稱為 IND-CCA 安全時,它並沒有說明它所基於的假設。
術語“在標準模型中”涉及完全不同的事物(它也沒有說明可以減少該方案的安全概念的特定計算假設):它在加密貨幣中很常見,當處理一個硬問題,考慮簡化的“世界”,玩家可以在其中訪問一些理想的原語,然後根據我們目前對它的理解,用看起來很適合這個理想原語的東西“在實踐中”實例化這個原語。
最常見的例子是隨機預言機模型:我們假設玩家處於一個他們可以訪問充當真正隨機函式的預言機的世界中,然後我們證明某些密碼系統是安全的(例如 IND- CCA 安全)在這個簡化世界中的一些計算假設下。然而,這並不能證明在現實世界中,密碼系統是安全的;例如,使用 SHA-256 作為隨機預言機似乎在實踐中有效,但 SHA-256不是隨機預言機。
說標準模型中的某些東西是安全的,只是說沒有考慮這樣的理想化世界:證明是“在現實世界中”並且不假設任何理想化的原語。