為什麼安全級別定義為日誌2inf{噸一世/e一世∣i∈I}日誌2⁡資訊{噸一世/e一世∣一世∈我}log {2} inf { t{i}/varepsilon_{i} mid i in I }

在公鑰密碼學中，安全級別表示攻擊者破壞方案或解決問題的強度，可以看作是破壞方案或解決問題的時間成本。生成帶有安全參數的方案 $ k $ 並不意味著這個方案有 $ k $ 位安全。真正的安全級別取決於數學原語和方案構造。

假設已經發現所有可能破壞所提出方案的攻擊算法，具有以下明顯的時間成本和優勢

$$ { (t_{i},\varepsilon_{i}) \mid i \in I } $$

讓

$$ 2^{k^*} = \inf { t_{i}/\varepsilon_{i} \mid i \in I } $$

然後我們坐在這個方案是 $ k^* $ 位安全。

我的問題是為什麼表格是 $ t_{i}/\varepsilon_{i} $ ?

當然安全級別取決於時間成本 $ t $ 和優勢 $ \varepsilon $ . 我假設

$$ 2^{k^*} = \inf { f(t_{i}, \varepsilon_{i}) \mid i \in I } $$

因此，有一些基本屬性 $ f $ .

P1。為了 $ t_{2} > t_{1} $ 和 $ \varepsilon_{2} > \varepsilon_{1} $ , $ f(t_{2}, \varepsilon_{1}) > f(t_{1}, \varepsilon_{1}) > f(t_{1}, \varepsilon_{2}) $ . 如果我們假設 $ f $ 是光滑的，那麼我們可以讓 $ df/dt > 0 $ 和 $ df/d\varepsilon < 0 $ .

P2。對於每種攻擊算法， $ f(t, \varepsilon) \leq 2^k $ .

如果我們讓 P1 和 P2 成立 $ f(t,\varepsilon) = t / \varepsilon $ .

但是，有許多功能可以滿足這些特性。而且我認為 $ f $ 還應該滿足更多的性質。

例如，給定一個攻擊算法 $ A $ , 對於簡單的修改 $ A $ ， 的價值 $ f $ 應該是一樣的。讓 $ A_{n} $ 是一個呼叫的算法 $ A $ 為了 $ n $ 次， $ A_{n}(x) = 1 $ 當且僅當有超過 $ n/2 $ 次 $ A(x) = 1 $ . 我們知道 $$ \frac{t_{A_{3}}}{\varepsilon_{A_{3}}} = \frac{3 t_{A}} {3\varepsilon_{A}/2} \neq \frac{t_{A}} {\varepsilon_{A}} $$

我試圖更清楚地解釋“微不足道的修改”。如果有預言機 $ M $ 這與方案無關，那麼我認為 $ M^{A} $ 應該是一個“微不足道的修改” $ A $ . 我相信，力量 $ M^{A} $ 不應該強於 $ A $ . 但是，我不知道如何定義oracle機器 $ M $ 以正式的方式。所以，我舉上面的例子 $ M $ 這樣 $ M $ 問神諭 $ A $ 為了 $ n $ 時間和輸出 $ M^{A} $ 只取決於這些 $ n $ 答案。我們不關心具體的攻擊算法 $ A $ 是（以及是否 $ A $ 可以訪問一些神諭。）

價值 $ t/\epsilon $ 是攻擊者“獲勝”所需的預期時間。例如，如果他有 50% $ (\epsilon = 0.5) $ 猜到一個鍵的機率 $ t = 10 $ 秒，那麼他猜測密鑰的預期時間長度是 $ t/\epsilon = 10s/0.5 = 20s $

您提供的範例有點未指定，我不清楚 $ A_3 $ 是一個“微不足道的修改” $ A $ ，“微不足道的修改”是什麼意思，或者為什麼我們期望“微不足道的修改”來保留原件的安全性。

更具體地考慮兩個例子：

首先，一個塊密碼 $ E $ 具有 128 位安全性（為簡單起見，128 位密鑰和 128 位塊）。然後 $ E’{k1,k2}(x) = E{k1}(E_{k2}(x)) $ 可以被認為是“微不足道的修改” $ E $ 並且正如您所說，具有幾乎相同的安全級別——在這種情況下，由於中間相遇攻擊，129 位。

另一方面，如果您查看塊密碼 $ E $ 作為 PRF，然後是“微不足道的修改” $ E’{k1,k2}(x) = E{k1}(x) \oplus E_{k2}(x) $ 具有更高的安全性——我們已經從大約 64 位安全性（一般的生日綁定攻擊）增加到大約 85 位安全性（參見 Stefan Lucks 的“PRP 的總和是一個安全的 PRF”）。

因此，在沒有關於您的更具體資訊的情況下 $ A_3 $ , 這是完全合理的 $ A_3 $ 可能具有與 $ A $ .

最後一點我不知道您的定義來自什麼文本，但是儘管它是“安全位”的完全合理的定義——一個經常非正式使用的術語——它有點不完整，因為它沒有解釋可能限制攻擊者可以進行的查詢數量，或者他在獲得預言機訪問之前可以執行的預計算量。

最近有一些論文提出了比特安全的替代措施（大致意思是替代 $ f(\cdot) $ )，至少在不可區分遊戲中。我認識的兩個是

• Miccincio 和 Walter論密碼原語的比特安全性，以及
• 比特安全作為贏得高機率遊戲的計算成本，Watanabe1 和 Yasunaga

兩篇論文在搜尋遊戲中都有相同的定義，其中（至少在您“找到正確的東西”時可以公開驗證的地方）

我不相信他們會回答你的問題，這似乎是在試圖確定 $ f(\cdot) $ “從第一原則”。上述論文的激勵因素確實解決了關於 PRG 的位安全概念的某種“悖論”，我建議您只需閱讀 Miccincio Walter 論文的介紹即可了解詳細資訊。

引用自：https://crypto.stackexchange.com/questions/67735