Pseudo-Random-Function
CCA/CPA 安全與 PRF 之間的關係
我對 CCA/CPA 安全性和 PRF 之間的關係有點困惑,尤其是我們何時將加密和解密視為 PRF。假設我們有一個加密方案 $ \Pi = (Enc, Dec, Gen) $ 成為註冊會計師安全的。我們可以這樣說:
- $ Enc $ 必須是PRF?
- $ Dec $ 必須是PRF?
什麼情況下 $ \Pi $ CCA 安全嗎?
我的直覺是我們可以擁有 $ Dec $ 成為這兩種情況的 PRF,因為它是確定性的,但不確定這是否真的需要?
為了 $ Enc $ ,它不能是 PRF,否則, $ \Pi $ 不會是 CPA 安全的。
謝謝!
IND-CPA/CCA 加密方案確實隱含 PRF:IND-CPA 是否隱含 PRF?
但上述結果並不意味著 Enc 或 Dec 一定是 PRF。從它的定義來看,PRF 與多項式時間攻擊者的隨機函式沒有區別。我們可以輕鬆地使 Enc 看起來非隨機但仍然安全。例如,您可以將一些 0 位附加到密文的末尾。至於Dec,它的域名並不容易獲得。如果加密方案滿足密文的完整性 (INT-CTXT),那麼您甚至無法找到有效的密文,並且幾乎總是從 12 月開始什麼也得不到。
順便說一句,正如您所注意到的,PRF 是確定性的,因此在比較它們時應該考慮 Enc 內部的“隨機磁帶”。