在PKE的單向安全博弈中,挑戰者如何隨機選擇消息?
我已經閱讀了一些給出 PKE 方案單向性定義的論文。
讓 $ \Pi = (G,E,D) $ 是一個PKE方案,OW-CPA的安全博弈定義如下:
$$ \mathrm{Adv}{\Pi,\mathcal{A}}^{\text{ow-cpa}}(k) = \Pr\left[ m = m’ \left\vert \begin{gathered} (pk,sk) \gets G(1^k) \ m \gets \mathcal{M}{k} \ c \gets E_{pk}(m) \ m’ \gets \mathcal{A}(pk,c) \ \end{gathered}\right.\right] $$
我們說 $ \Pi $ 在 OW-CPA 的意義上是安全的,如果 $ \mathrm{Adv}_{\Pi,\mathcal{A}}^{\text{ow-cpa}}(\cdot) $ 是可以忽略的。
我的問題是挑戰者如何選擇 $ m $ 超過 $ \mathcal{M}{k} $ 隨機?是 $ m $ 一個從統一挑選的元素 $ M{k} $ ?
如果 $ \mathcal{M}{k} = \mathcal{M} = {0,1}^* $ , $ m $ 不能統一從 $ M{k} $ .
如果 $ |\mathcal{M}{k}| = \mathrm{poly}(k) $ , 然後 $ \Pi $ 在 OW-CPA 的意義上不可能是安全的,如果 $ \mathcal{D}{k} $ 是統一的。
讓 $ F $ 是範例電路,然後 $$ \mathrm{Adv}{\Pi,\mathcal{A}}^{\text{ow-cpa}}(k) = \Pr\left[ m = m’ \left\vert \begin{gathered} (pk,sk) \gets G(1^k) \ m \gets F(\mathcal{M}{k}) \ c \gets E_{pk}(m) \ m’ \gets \mathcal{A}(pk,c) \ \end{gathered}\right.\right] $$
假設消息的分佈是 $ \mathcal{D}{k} $ , 因此 $ m $ 跟隨 $ \mathcal{D}{k} $ . 我們無法定義 $ \Pi $ 如果對於每個分佈,OW-CPA 是安全的 $ \mathcal{D}{k} $ , $ \mathrm{Adv}{\Pi,\mathcal{A}}^{\text{ow-cpa}}(\cdot) $ 可以忽略不計,因為它不是 OW-CPA 安全的,如果 $ \mathcal{D}_{k} $ 是單點分佈。
也許,我們可以將 PKE 方案定義為 $ \Pi = (G,E,D,F) $ 範例電路在哪裡 $ F $ 首先給出。但是 IND-CPA 或 SS-CPA 的概念不需要 $ F $ .
通常在密碼學論文中,如果沒有指定分佈,要麼它是均勻的,要麼結果基本上由分佈的特徵決定,比如它的最小熵。*
- 在藤崎-岡本論文中, $ \mathtt{MSPC}k $ (對應於 $ \mathcal M_k $ ) 可以看作是一組基數 $ 2^{\operatorname{poly}(k)} $ 隨機均勻採樣,或者它本身可能是具有最小熵的更一般的分佈 $ H\infty = \operatorname{poly}(k) $ . 從論文中不清楚,但結果仍然存在。
- 在 Galindo-Hasuo 論文中,該符號在第 2 節中明確定義。
顯然,優勢的上限至少是 $ 2^{-H_\infty} $ , 或者 $ 1/!\left|\mathcal M_k\right| $ 在製服的情況下。
確實,OW-CPA(或一些作者稱之為“OW-Passive”,因為不涉及預言機)並不意味著 IND-CPA——例如,RSA 陷門置換 $ x \mapsto x^3 \bmod n $ 具有 OW-CPA 安全性,但沒有 IND-CPA 安全性。這就是為什麼,例如,RSAES-OAEP 存在:硬塞一個消息 $ m $ 從一些不均勻的分佈到一個幾乎均勻的隨機“消息代表” $ x $ .
(當然,更簡單的通用方法是選擇 $ x $ 均勻隨機然後使用 $ H(x) $ 作為對稱認證密碼的秘密密鑰,就像 RSA-KEM 所做的那樣,以及像 NIST PQC 送出的新密碼系統的現代範式一樣;這就是藤崎-岡本論文的內容。)
- 這是讀者的規則,而不是作者的規則。作者:如果你是這個意思,請說“制服”!