證明安全性圓周率′=和ķ(和ķ(米))圓周率′=和ķ(和ķ(米))Pi’ = E_k(E_k(m))會心Π=和ķ(米)圓周率=和ķ(米)Pi = E_k(m)是安全的
我最近開始學習密碼學,但我不確定我是否完全理解減少證明的概念。我試圖解決的問題如下:
認為 $ \Pi $ 是一種對稱加密方案 $ C \subseteq M $ ( $ M $ 是消息空間和 $ C $ 是密文空間)。那麼我們有 $ \Pi’ $ 具有相同的密鑰生成和解密算法 $ \Pi $ ( $ K’ = K , D’ = D $ ) 加密算法如下
$$ E_k’(m) = E_k(E_k(m)). $$ 我試圖證明或拒絕:
**a )**如果 $ \Pi $ 在存在竊聽者的情況下無法區分(最簡單的情況是攻擊者只能看到密文)然後 $ \Pi’ $ 是無法區分的。
**b)**如果 $ \Pi $ 那麼是 CPA 安全的 $ \Pi’ $ 是 CPA 安全的。
對於通過減少使用證明的情況,我想出了解決方案
$ C \subseteq M $ 意味著之間的雙射 $ M $ 和 $ C $ 所以無論何時 $ A’ $ 正確猜測所選位 $ A $ 也會這樣做,所以我們有
$$ Advantage: of: A \geq Advantage: of: A’ $$
因此,如果 $ A’ $ 成為具有不可忽視優勢的攻擊者 $ A $ 也會如此a是真的。
我是否正確使用減少?b部分呢?我們是否可以使用幾乎相同的推理,或者這種情況下存在攻擊者來證明 $ \Pi’ $ 不是 CPA 安全嗎?
編輯: 關於一次性墊的@Ievgeni答案是一個反例,關於@Mikero評論,我認為b部分的減少可能如下所示
結論:
第一部分**:**錯。一個時間墊是一個反例,第一張圖片是完全錯誤的。
b部分:對。證明是通過減少(圖二)。對於這種減少,我們有
$$ Advantage: of: A = Advantage: of: A’ $$
所以如果利用 $ A’ $ 是不可忽視的優勢 $ A $ 也會。
正如 Mikero 所注意到的,你的第一個證明中的問題是你不能假設 $ \mathcal{A} $ 知道秘密 $ k $ ,因此它不能加密挑戰。
如果你不加密挑戰,那麼輸入不是預期的 $ A’ $ . $ A’ $ 在等待 $ Enc^2_k(m) $ 或者 $ Enc^2_k(m’) $ 作為挑戰不 $ Enc_k(m) $ 或者 $ Enc_k(m’) $ .
當你在做基於遊戲的證明時,一個重要的概念是不可區分的概念。例如,如果您使用的是算法 $ \mathcal{A} $ 作為神諭。如果你想使用一些關於輸出的屬性 $ \mathcal{A} $ ,重要的是檢查輸入 $ \mathcal{A} $ 遵循屬性中提到的分佈。
在你的例子中,你正在給對手 $ Enc(m) $ 並不是 $ Enc(Enc(m)) $ ,在一般情況下完全不同。
讓我們考慮異或加密 $ Enc_k(m)= k\oplus m $ .
建構一個攻擊者(假設是一個無需密鑰就可以解密密文的強大攻擊者)真的很容易 $ Enc^2 $ ,這只是恆等函式(因為 $ Dec_k^2=Enc^2_k $ 是所有人的恆等函式 $ k $ .)
然後甚至 $ Enc $ 在語義上是安全的,那麼 $ Enc^2 $ 不可能。所以 a) 是錯誤的。
但是你關於(b)的證明對我來說似乎是正確的。