基於身份驗證的加密中的安全性(CPA?,CCA?)
當我閱讀 Ben Lynn 的經過身份驗證的基於身份的加密時,加密可以將數據從使用者 A 發送到使用者 B,其中:
$$ a=e(d_{A},B) $$ $$ s=H_{3}(Msg,K) $$ $$ C=<s,\gamma \oplus H_{2}(a,s),H_{4(\gamma)}(Msg)> $$ 揭示
$$ $H_{2}(a,s)$ $$如果正確( $ a $ ) 值被攻擊者知道。 如果私鑰提取查詢限制了發件人的身份,則該方案可能是 CPA 安全的。但是,如果存在解密預言機,它會是 CCA 安全的嗎?
攻擊者將修改密文如下:
$$ C^{}=<s,\gamma \oplus H_{2}(a,s) \oplus H_{2}(t,s),H_{4(\gamma)}(Msg)> $$ 在哪裡 $ t $ 將任何配對操作並送出 $ (C^{},IDB) $ 解密預言機。我認為神諭會回來 $ \gamma \oplus H_{2}(t,s) $ . 因此,攻擊者可以很容易地揭示 $ \gamma $ 通過 XORing 與 $ H_{2}(t,s) $ .
你能告訴我它是否是 CCA 安全的嗎?
什麼是尋找問題的合適假設 $ e(d_{A},ID_{B}) $ 了解價值 $ ID_{A} $ 和 $ ID_{B} $ ? 它是雙線性 Diffie-Hellman 問題嗎?
電子版有以下說法(根據您的符號改編):
認證解密:
$$ … $$
檢查 $ s = H_3(\gamma, Msg) $ . 如果不是,則拒絕密文,否則輸出明文 $ Msg $ .
在攻擊者的情況下,解密預言機將嘗試檢查是否 $ s = H_3(\gamma’, Msg) $ 和 $ \gamma’=\gamma \oplus H_{2}(a,s) \oplus H_{2}(t,s) \oplus H_2(a, s) = \gamma \oplus H_{2}(t,s) $ . 這會導致錯誤的雜湊值,並且預言機會在向攻擊者提供任何有用資訊之前拒絕解密。
你可以假設CDH假設。假設 A 的公鑰和私鑰 $ g^x $ 和 $ x $ . 同理,B的公私鑰 $ g^y $ , $ y $ . 然後共享密鑰 $ g^xy $ 將有相同的概念 $ a=e(d_{A},B) $ . 如果 CDH 很難,那麼除了 A 和 B 之外沒有人可以計算 $ a $