目录
PCA不可区分实验
DEFINITION 3.21 PCA安全的加密方案
LR预言机实验
DEFINITION 3.22 多明文PCA安全的加密方案
THEOREM 3.23 定义3.21和定义3.22等价
PCA不可区分实验
- 通过运行G(1^n)获得密钥k
- 敌手A被给定输入1^n并拥有访问预言机Enck(·)的权利,敌手A输出一对等长的密文m0和m1
- 随机均匀选取比特b∈{0, 1},将挑战密文c ← Enck(mb)返回给敌手A
- 此时敌手A仍拥有访问预言机Enck(·)的权利。敌手A输出一个比特b’
- 如果b'=b,则该实验的输出为1,否则为0
DEFINITION 3.21 PCA安全的加密方案
私钥加密方案Π=(Gen,Enc,Dec)如果对于所有PPT敌手A,有一个可忽略函数negl使得
那么我们就称此方案是选择明文攻击下不可区分的加密,即此方案是PCA安全的
LR预言机实验
- 通过运行G(1^n)获得密钥k
- 随机均匀选择一个比特 b∈{0,1}
- 敌手A被给定输入1^n并拥有访问预言机的权利,预言机为:
- 对手A输出b’
- 如果b'=b,则该实验的输出为1,否则为0
DEFINITION 3.22 多明文PCA安全的加密方案
私钥加密方案Π如果对于任何PPT敌手A,有一个可忽略函数negl,使得
那么我们称该方案是选择明文攻击下不可区分的多明文加密,即此方案是多明文PCA安全的
THEOREM 3.23 定义3.21和定义3.22等价
Any private-key encryption scheme that is CPA-secure is also CPA-secure for multiple encryptions.
任何PCA安全的方案同时也是多明文PCA安全的
那么,多明文PCA安全的方案是不是PCA安全的呢?这是当然的
事实上,我们在LR预言机实验中,向预言机询问(m,m),即
LR预言机返回的结果就是m加密后的密文
相当于我们用LR预言机模拟了Enck(·)
鉴于这一观察结果,如果某方案是多明文PCA安全的,那么它也是cpa安全的
综上,我们得到定义3.21和定义3.22是等价的。
即一个方案是PCA安全的等价于这个方案是多明文PCA安全的
我们在将PCA安全推广到多明文时,发现两种情况是等价的。我们在之前也进行过类似的推广,即将不可区分性推广到多明文不可区分性,但是推广之后的定义要比推广前的定义要强,即,一个满足单明文加密下的不可区分性的方案,不一定不满足多明文加密下的不可区分性。一个简单的例子就是一次性密码本。详见
现代密码学导论-15-多明文加密_南鸢北折的博客-CSDN博客
PROPOSITION 3.19 定义3.18强于定义3.8的事实证明
