Malleability

REACT 轉換和可重放的 CCA

  • July 28, 2014

在陳述我的問題之前,讓我們回顧一下 REACT 轉換

$$ OP01 $$,這使得能夠建構一個 CCA 安全的混合 PKE 方案, $ \varepsilon’{pk} $ ,來自 OW-CPA PKE 方案 $ \varepsilon{pk}^{asym} $ , 一個 IND 安全的對稱加密方案 $ \varepsilon^{sym} $ , 和散列函式 $ H $ 和 $ G $ . 轉換工作如下: $ c_1 = \varepsilon_{pk}^{asym}(R), c_2 = \varepsilon_{K}^{sym}(m) $ , 在哪裡 $ K = G(R) $ 和 $ R $ 是隨機選擇的。

然後 $ \varepsilon’_{pk}(m) = (c_1, c_2, H(R,m,c_1,c_2)) $

我的問題是:為什麼有必要包括 $ c_1 $ 在雜湊中 $ H $ ? 從雜湊中刪除它會有什麼後果(即, $ \varepsilon’’_{pk}(m) = (c_1,c_2, H(R,m,c_2)) $ ? 我想主要原因是為了實現不可延展性,但是通過放棄它,我們是否有可能獲得對 Replayable CCA (RCCA) 安全性的轉換

$$ CKN03 $$? 非正式地,RCCA 就像 CCA 安全性*“除了它們允許任何人生成新的密文,這些密文解密為與給定密文相同的值”* $$ CKN03 $$. 由於我們包括 $ m $ 在散列中,我們可以保證原始消息被保留,但我們允許修改 $ c_1 $ . 我問這個是因為我對允許一定程度的延展性的方案感興趣。特別是,允許對原始密文進行重新加密,只要它們解密為原始消息即可。

參考:

  • $$ OP01 $$Okamoto, T. 和 Pointcheval, D. (2001)。反應:快速增強安全性非對稱密碼系統轉換。在密碼學主題—CT-RSA 2001(第 159-174 頁)中。施普林格柏林海德堡。 $ \rightarrow $ PDF格式
  • $$ CKN03 $$Canetti, R., Krawczyk, H., & Nielsen, JB (2003)。放鬆選擇密文的安全性。在密碼學進展中-CRYPTO 2003(第 565-582 頁)。 $ \rightarrow $ PDF格式

我相信它會匹配寬鬆的 RCCA 安全性,但它看起來沒有多大用處,因為重新加密不安全。您可以生成任何密文的重新加密,但它們不會彼此無法區分,即給定 $ c_1 $ 和 $ c_2 $ 您可以輕鬆確定是否 $ c_2 $ 是重新加密 $ c_1 $ .

引用自:https://crypto.stackexchange.com/questions/18373