Encryption

密文的雜湊

  • April 21, 2021

將散列密文(所以 $ H(Enc(pk,m)) $ ) 如果這兩種方案本身都是安全的,是否會以任何方式對其進行妥協?情況似乎並非如此,但我找不到明確的答案。

不。

任何對手都可以簡單地自己執行雜湊,因此您無需為他們提供額外的資源。

將散列密文(所以 $ H(Enc(pk,m)) $ ) 如果這兩種方案本身都是安全的,是否會以任何方式對其進行妥協?情況似乎並非如此,但我找不到明確的答案。

我可以通過兩種方式閱讀

  1. 你只透露 $ H(Enc(pk,m)) $ 對攻擊者;
  • 那麼攻擊者需要對安全散列函式執行預鏡像攻擊以找到 $ Enc(pk,m) $ . 這可以使用一些預先知道的明文來執行,因為密鑰是公開的,或者可以使用通用的原像攻擊來執行。
  • 如果公鑰是 Ind-CPA 安全的,則搜尋將失敗。
  1. 您將以加密然後散列的形式發送您的消息 $ C = (Enc(pk,m) \mathbin|H(Enc(pk,m))) $
  • 在這種情況下,雜湊不提供任何身份驗證。由於攻擊者可以計算加密 $ Enc(pk,m’) $ 消息的 $ m’ $ 他們的選擇並將其散列以利用他們的優勢$$ C’ = (Enc(pk,m’) \mathbin|H(Enc(pk,m’))) $$. 這很危險,可能會帶來災難性的後果。
  • 這不會洩露原始消息,但是,在公鑰密碼術中,加密是免費的,因此可以減輕像 HMAC 這樣的相互身份驗證需要數字簽名。

引用自:https://crypto.stackexchange.com/questions/89534