LOR 意味著不可預測性?
某些操作模式的經典 LOR(左或右)不可區分性意味著不可預測性,這應該是真的。但是,我一直堅持這一事實的證明。
LOR-某種操作模式的不可區分性 E 意味著以下內容:對手可以訪問預言機,她可以向預言機查詢對 (m1, m2);預言機將通過加密左側消息 (m1) 或右側消息 (m2) 來響應。模式 E 是 LOR 不可區分的,當且僅當對手很難猜測該對的左側消息是加密的還是右側的消息。
我所說的不可預測性是指以下內容。攻擊者被允許詢問類型 M 的查詢並獲得響應 E(M)。目標是找到一條從未被查詢過的消息 M* 以及相應的密文 E(M*)。
直覺是,如果敵手 A 能夠以“高”機率預測預言機的輸出,那麼該模式會洩露一些資訊,而這個敵手可以用來構造 LOR-敵手 B。
這個想法很簡單:如果我們有一些預言(左/右),那麼我們取 M(由 A 詢問),我們取與 M 相同長度的完全隨機 r,並將這對 (M,r) 給我們的(LOR)神諭。答案是直接去A。
如果 A 將連續預測新消息,那麼我們打賭預言機是 LEFT,否則它是 RIGHT。
在 LEFT 宇宙中,正確預測的機率是 A 在現實世界中成功的機率。
但是,我被困在如何限制正確世界中“誤報”的機率。對手 A 有一些“垃圾”值 E(r) 而不是他被要求的 E(M)。它對他正確預測某個 M* 的 E(M*) 有多大幫助?
減少將不起作用。原因是任何 $ E $ 也就是說,無法區分的 LoR 必須是隨機的。但是,對手的輸出可能與預言機的結果不同,即使它評估的是正確的 $ x $ (對手選擇的那個)。
其實有一個家庭 $ E $ 這是可以預測的,但 LoR 仍然無法區分。例如,考慮一個 LoR 不可區分的公鑰加密方案,並讓 $ E(x)=(\mathit{Enc}(\mathit{pk},x),\mathit{pk}) $ . 然後也 $ E $ 是 LoR 無法區分的。但是,您可以輕鬆找到對 $ (x,E(x)) $ 因為只需一個查詢,您就可以檢索公鑰。
嗯,你能設計一個人造的嗎? $ E $ 這是 LOR 不可預測的,但你仍然可以生成一個已知的 $ M^, E(M^) $ 一對?提示:如果 $ E $ 是不確定的,那麼查詢 $ E(M^) $ oracle 可能不會給你相同的結果 $ E(M^) $ 已知對中的值。