REACT 轉換和可重放的 CCA

在陳述我的問題之前，讓我們回顧一下 REACT 轉換

$$ OP01 $$，這使得能夠建構一個 CCA 安全的混合 PKE 方案， $ \varepsilon’{pk} $ ，來自 OW-CPA PKE 方案 $ \varepsilon{pk}^{asym} $ , 一個 IND 安全的對稱加密方案 $ \varepsilon^{sym} $ , 和散列函式 $ H $ 和 $ G $ . 轉換工作如下： $ c_1 = \varepsilon_{pk}^{asym}(R), c_2 = \varepsilon_{K}^{sym}(m) $ ， 在哪裡 $ K = G(R) $ 和 $ R $ 是隨機選擇的。

然後 $ \varepsilon’_{pk}(m) = (c_1, c_2, H(R,m,c_1,c_2)) $

我的問題是：為什麼有必要包括 $ c_1 $ 在雜湊中 $ H $ ? 從雜湊中刪除它會有什麼後果（即， $ \varepsilon’’_{pk}(m) = (c_1,c_2, H(R,m,c_2)) $ ? 我想主要原因是為了實現不可延展性，但是通過放棄它，我們是否有可能獲得對 Replayable CCA (RCCA) 安全性的轉換

$$ CKN03 $$? 非正式地，RCCA 就像 CCA 安全性*“除了它們允許任何人生成新的密文，這些密文解密為與給定密文相同的值”* $$ CKN03 $$. 由於我們包括 $ m $ 在散列中，我們可以保證原始消息被保留，但我們允許修改 $ c_1 $ . 我問這個是因為我對允許一定程度的延展性的方案感興趣。特別是，允許對原始密文進行重新加密，只要它們解密為原始消息即可。

參考：

• $$ OP01 $$Okamoto, T. 和 Pointcheval, D. (2001)。反應：快速增強安全性非對稱密碼系統轉換。在密碼學主題—CT-RSA 2001（第 159-174 頁）中。施普林格柏林海德堡。 $ \rightarrow $ PDF格式
• $$ CKN03 $$Canetti, R., Krawczyk, H., & Nielsen, JB (2003)。放鬆選擇密文的安全性。在密碼學進展中-CRYPTO 2003（第 565-582 頁）。 $ \rightarrow $ PDF格式

我相信它會匹配寬鬆的 RCCA 安全性，但它看起來沒有多大用處，因為重新加密不安全。您可以生成任何密文的重新加密，但它們不會彼此無法區分，即給定 $ c_1 $ 和 $ c_2 $ 您可以輕鬆確定是否 $ c_2 $ 是重新加密 $ c_1 $ .

引用自：https://crypto.stackexchange.com/questions/18373