现代密码学导论-19-基于伪随机函数的CPA安全-创新互联

目录

10年专注成都网站制作，成都企业网站建设，个人网站制作服务，为大家分享网站制作知识、方案，网站设计流程、步骤,成功服务上千家企业。为您提供网站建设,网站制作,网页设计及定制高端网站建设服务,专注于成都企业网站建设,高端网页制作,对成都人造雾等多个领域，拥有多年的营销推广经验。

3.5.2 基于伪随机函数的CPA安全

基于伪随机函数的加密示意图

CONSTRUCTION 3.28 构造基于伪随机函数的CPA安全的加密方案

THEOREM 3.29 方案3.28是CPA安全的

THEOREM 3.29 的证明

---

3.5.2 基于伪随机函数的CPA安全 基于伪随机函数的加密示意图

---

CONSTRUCTION 3.28 构造基于伪随机函数的CPA安全的加密方案

设F是一个伪随机函数，则定义一个对于明文长度为 n 的私钥加密方案如下：

Gen：对于输入1^n，随机均匀选择 k ∈ {0, 1}^n 并输出

Enc：对于输入的 k ∈ {0, 1}^n以及明文 m ∈ {0, 1}^n，随机均匀选择 r∈{0, 1}^n，然后输出密文c :=，其中 s=Fk(r)⊕m

Dec：对于输入的 k ∈ {0, 1}^n以及密文 c =，输出明文 m := Fk(r)⊕s

---

THEOREM 3.29 方案3.28是CPA安全的

如果F是一个伪随机函数，则由方案3.28构造的对于明文长度为 n 的私钥加密方案是CPA安全的

---

THEOREM 3.29 的证明

记方案3.28为Π= (Gen, Enc, Dec)

我们再构建一个新方案。这个新方案除了用真随机函数代替3.28中的伪随机函数，其他均相同。我们记为

有一个PPT敌手A，设q(n)为敌手 A 在安全参数为n的CPA窃听实验中询问预言机的次数上限，q必须存在某个多项式的上界。

我们用A来构造伪随机函数F的一个区分器D。区分器D的输入是函数O的预言机，区分器的目标是判断该预言机对应的函数O是否为伪随机函数

Distinguisher D：

D被给定1^n和预言机O，其中O满足

1. 运行A(1^n)，当敌手A用消息m∈{0, 1}^n询问预言机时，D随机均匀选择一个r∈{0, 1}^n并用r询问预言机，得到结果y=O(r)，将密文c=计算并返回给A
2. 当A输出消息m0，m1∈{0,1}^ n时，D随机均匀选择b∈{0, 1}，并且均匀选择一个r∈{0, 1}^n并用r询问预言机，得到结果y=O(r)，将密文c=计算并返回给A
3. A仍保持步骤1.中询问预言机的权利，直到A输出b’。D获取敌手A输出的b'，如果 b = b'，则D输出 1；否则D输出0

重点如下：

如果区分器D的预言机对应于伪随机函数，那么当A作为D的子程序运行时，以A的视角来看，A就相当于在做实验

因此，得到A式

如果区分器D的预言机对应于真随机函数，那么当A作为D的子程序运行时，以A的视角来看，A就相当于在做实验

因此，得到B式

由于F是一个伪随机函数，根据伪随机函数的定义，

现代密码学导论-17-伪随机函数_南鸢北折的博客-博客

DEFINITION 3.24 伪随机函数的正式定义

存在一个可以忽略的函数negl，满足C式 

联立A、B、C式，得到D式

这个式子的形式非常像EAV-安全的第二个等价定义。但是对于CPA安全，我们还没有考虑过。

考虑实验

请注意，每次消息m被加密时，即询问预言机或当挑战密文被计算时，会随机均匀选择一个r∈{0, 1}^n，并计算c=。我们设r*表示在生成挑战密文时使用的随机字符串。有两种可能性：

1. 如果r*在预言机对A的回答中没有出现过，由于f是真随机函数，A与预言机的交互中不能获得关于f(r*)的任何信息，那么A输出的b'=b的概率就是1/2
2. 如果r*在预言机对A的回答中出现过，也就是说 A 获取了，那么其可以通过计算 f(r*)=f(r*)⊕m⊕m 就能得出f(r*)，在得知了 f(r*) 的情况下，A输出的b'=b的概率就为1

但是，A最多只能对预言机查询q(n)次，因此，A最多获得q(n)个r。由于r*是从{0, 1}^n中随机均匀选取的，因此有2^n种可能。那么A获取的r中包含r*的可能性就为q(n)/(2^n)

把事件“r* 被A捕获” 记为事件Repeat，则Pr[Repeat] ≤ q(n)/(2^n)

我们得到

将上式带入D式，得到

由于p(n)是多项式函数，因此q(n)/(2^n)是可忽略的

我们设negl’(n)=q(n)/(2^n)+negl(n)，根据

现代密码学导论-8-计算安全性_南鸢北折的博客-博客

PROPOSITION 3.6 可忽略函数的性质中的性质一

两个可忽略函数的和仍然是可忽略函数。因此negl’(n)是可忽略函数，使得

这样，我们就证明了方案3.28是CPA安全的 

你是否还在寻找稳定的海外服务器提供商？创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源，准确流量调度确保服务器高可用性，企业级服务器适合批量采购，新人活动首月15元起，快前往官网查看详情吧

网站题目：现代密码学导论-19-基于伪随机函数的CPA安全-创新互联
网页链接：http://cdkjz.cn/article/eicic.html