Security-Definition

使用 PRP 加密是否意味著對竊聽者的加密無法區分?

  • November 7, 2018

我是一名通過閱讀“現代密碼學導論”學習密碼學的學生。我對使用 PRP(例如,AES)進行加密有些困惑。

簡而言之,鍵控確定性置換 $ F_{k} $ 如果沒有有效的對手(誰被授予 oracle 訪問 $ F_k $ 和 $ F_k^{-1} $ ) 可以區分是否正在與 $ F_k $ (對於製服 $ k $ ) 或者 $ f $ , 在哪裡 $ f $ 是從具有相同域和範圍的所有排列的集合中統一選擇的。

我認為上面的定義沒有說明 PRP 生成的兩個密文之間的關係。

現在,我考慮以下實驗 $ PrivK_{\mathcal{A},\Pi}^{eav}(n) $ 對於任何加密方案 $ \Pi= (Gen,Enc,Dec) $ .

  1. 對手 $ \mathcal{A} $ 給定輸入 $ 1^n $ ,並輸出一對消息 $ m_0 $ , $ m_1 $ , 和 $ |m_0| = |m_1| $ .
  2. 關鍵 $ k $ 是通過執行生成的 $ Gen(1^n) $ , 和一個統一的位 $ b \in {0,1}^n $ 被選中。密文 $ c \gets Enc_k(m_b) $ 被計算並給予 $ \mathcal{A} $ .
  3. $ \mathcal{A} $ 輸出一點 $ b^{’} $ .
  4. 實驗的輸出定義為 1,如果 $ b^{’}=b $ , 否則為 0。

如果對於所有 PPT 對手,在存在竊聽者的情況下,私鑰加密方案具有無法區分的加密 $ \mathcal{A} $ 有一個可以忽略的函式 $ negl $ 這樣,對於所有人 $ n $ , $ Pr[PrivK_{A,\Pi}^{eav}(n)] <= \frac{1}{2} + negl(n) $ .

如果存在竊聽者,加密方案是否具有無法區分的加密? $ Enc = F_k $ 和 $ Dec = F_k^{-1} $ , 在哪裡 $ F_k $ 是一個強大的PRP?

換句話說,當我使用 PRP 加密兩條消息時,由於 PRP 是確定性的,因此攻擊者可以判斷這兩條消息是否相同。但是,我能否確保對手無法從密文中了解任何有關明文的部分資訊?

PRP 加密方案在您的安全定義中是安全的,但這種安全性非常弱。它只實現了“一次性安全”,也弱於完全保密,即對手的優勢不完全是1/2。

我認為安全性可以更強(但仍然不能是 IND-CPA)。有了 PRP 安全,我們可以查看 $ F_k $ (因此 $ Enc_k,Dec_k $ ) 作為真正的隨機排列 $ f $ (除了可以忽略不計的 PRP 安全優勢)。然後,即使對手知道 $ p $ 消息密文對,仍然無法區分 $ m_0,m_1 $ 如果它們不屬於已知的 $ p $ 消息。

引用自:https://crypto.stackexchange.com/questions/63749