Linear Cramer-Shoup 是否有偽隨機密文?
“線性 Cramer-Shoup”在第 4 頁和第 5 頁定義 $ : $ eprint.iacr.org/2007/074.pdf .
在選擇密文攻擊下,Linear Cramer-Shoup 中的密文在計算上是否與均勻密文無法區分? $ : $ (我們可以不失一般性地假設
$ M $ 是身份元素還是那個 $ M $ 是對手未知的隨機元素。)
這不是家庭作業,並且與
我正在考慮的零知識知識證明協議有關。
Linear Cramer-Shoup 論文第 5 頁上的安全聲明是,他們的修改方案是 CCA 安全的,這比原始基於 DDH 的 Cramer-Shoup 方案的 IND-CCA2 安全性要弱。然而,從安全證明的大綱來看,作者似乎實際上是指 LCS 方案是 CCA2 安全的。
還要注意第 6 頁的第一句話:
“顯然,如果 $ A $ 在猜位方面有不同的優勢 $ b $ 什麼時候 $ B $ 使用線性元組執行 $ (g_1,g_2,g_3,g_1^{r_1},g_2^{r_2},g_3^{r_1+r_2}) $ 什麼時候 $ B $ 使用隨機元組執行 $ (g_1,g_2,g_3,g_1^{r_1},g_2^{r_2},\eta) $ ,我們獲得了線性問題的區分器。”
密文 $ (u_1,u_2,u_3,e,v) $ 由這樣一個線性元組的最後三個元素,加上一個盲消息 $ e $ 和一個驗證者 $ v $ .
自從 $ u_1 = g_1^{r_1} $ 和 $ u_2 = g_2^{r_2} $ 和 $ r_1, r_2 $ 是隨機選擇的,這兩個值與均勻沒有區別,因為它們是均勻的。自從 $ u_3 = g_3^{r_1 + r_2} $ ,該值與線性假設的均勻值無法區分。
盲目的價值 $ e $ 被證明是“獨立於對手的觀點”,我將其解釋為與製服沒有區別。證明很有趣。基本上,它基於以下派生問題:
給定 $ (g^s,g^t,g^{sa},g^{tb},g^{a+b},g^{ad+be+cf}) $ 以及“平面”上的任意數量的點 $ P(x,y) = g^{xd+ye+(x+y)f} $ 除了 $ P(a,b) $ , 輸出 yes if $ c = a + b $ ,否則沒有。
均勻度 $ v $ 可以使用相同的技術導出。放 $ g = g_3, g^z = g_1, g^w = g_2 $ . 然後我們有:
$ v^\prime = g^{r_1z(x_1+\alpha{y_1}) + r_2w(x_2+\alpha{y_2}) + r_3(x_3+\alpha{y_3})} $ , 在哪裡 $ v^\prime = v \iff r_3 = r_1 + r_2 $ .
顯然,如果 $ r_3 $ 是隨機均勻選擇的, $ v^\prime $ 也是統一的,所以如果你無法判斷 $ r_3 = r_1 + r_2 $ ,你無法區分 $ v $ 從制服。