Điểm:2

CPA + chữ ký mạnh một lần -> CCA?

lá cờ cn

Việc kết hợp sơ đồ CPA PKE (mã hóa khóa công khai) với chữ ký mạnh dùng một lần có tạo nên sơ đồ CCA PKE không? Cụ thể hơn, hãy $(Enc,Dec)$ là một kế hoạch CPA PKE, và $(V,S)$ là chữ ký một lần, nghĩa là người ta không thể giả mạo chữ ký hợp lệ ngay cả đối với các tin nhắn được truy vấn một lần mà không có $S$.

Sau đó, xây dựng sơ đồ PKE mới:

$Enc'$ thuật toán trên $(pk,m,s)$: $$c1 = Enc(pk,m),$$ $$c2=Ký(s,c1),$$ $$return (c1,c2).$$$Dec'$ thuật toán trên $(sk,c,v)$: $$if \ Very(v,c2)=0,\ return \ False;$$ $$else \ return \ Dec(sk,c1).\ \ \ \ $$

Đây có phải là một kế hoạch CCA?

Mark avatar
lá cờ ng
Mặc dù điều này không bao gồm cấu trúc được đề xuất cụ thể của bạn, nhưng mọi người thường sử dụng phép biến đổi Fujisaki-Okomoto cho những gì bạn muốn, điều này rất giống nhau. Chuyển đổi cụ thể mà bạn đề cập có quan trọng hay bạn chỉ muốn các gợi ý chung để đạt được bảo mật CCA?
Huanhuan Chen avatar
lá cờ cn
Cảm ơn, Mark. Tôi nảy ra ý tưởng này khi đang đọc phép biến đổi Naor-Yung, trong đó NIZP + Chữ ký + CPA được sử dụng để xây dựng các lược đồ có bảo mật CCA. Tôi tự hỏi liệu NIZP có cần thiết trong kế hoạch này không, vì vậy tôi đã hỏi câu hỏi này.
lá cờ us
Làm thế nào để thuật toán giải mã có được khóa xác minh chữ ký?
Mark avatar
lá cờ ng
@Mikero đây là lời chỉ trích đúng về ý tưởng này, nhưng "ngược". Khóa xác minh chữ ký có thể được cung cấp công khai, vì vậy bạn có thể tự do đưa nó vào khóa bí mật của sơ đồ tổng thể. Khi nói "ngược", ý tôi là người ta không thể tính toán mã hóa một cách công khai, vì khóa ký phải được giữ bí mật để bảo mật, vì vậy nếu nó bị mắc kẹt trong khóa chung của $Enc'$ thì người ta không thể yêu cầu tính bảo mật của lược đồ chữ ký trong bất kỳ trường hợp nào. cách có ý nghĩa.
Huanhuan Chen avatar
lá cờ cn
Cảm ơn, Mark. Tôi đã có nó bây giờ.
Điểm:5
lá cờ us

Việc xây dựng không thể được thực hiện an toàn CCA

Thuật toán mà bạn đã viết không cho biết cách thuật toán giải mã lấy khóa xác minh chữ ký.

  • Nếu khóa xác minh là một phần của khóa chung, thì không ai có thể mã hóa vì không ai có quyền truy cập vào khóa ký (như Mark đã quan sát trong các nhận xét ở trên). Ngoài ra, điều này dường như không phù hợp với đề xuất sử dụng chữ ký một lần của bạn.

  • Nếu khóa xác minh được bao gồm trong bản mã (rõ ràng), thì điều này cũng không hoạt động. Bây giờ bản mã có dạng $$(c=\textsf{Enc}(pk,m), vk, \sigma=\textsf{Sign}(sk,c\|vk))$$ ở đâu $(sk,vk)$ là một cặp khóa chữ ký một lần. Tôi có thể lấy một bản mã ở dạng này, sửa đổi $c$ trong bất kỳ cách nào, và thay thế $vk,\sigma$ Với riêng tôi $vk',\sigma'$ mà tôi tạo ra. Điều này cho phép tôi trực tiếp thực hiện bất kỳ cuộc tấn công bản mã đã chọn nào chống lại $\textsf{Enc}$ trên sơ đồ mới này.

  • Nếu khóa xác minh nằm trong mã hóa, điều này sẽ tốt hơn nhưng vẫn không an toàn. Bây giờ bản mã có dạng $$(c=\textsf{Enc}(pk,m\|vk), \sigma=\textsf{Sign}(sk,c))$$ Mục tiêu là chương trình mới an toàn với CCA cho không tí nào lựa chọn bảo mật CPA $\textsf{Enc}$. Tuy nhiên, có thể xây dựng sơ đồ bảo mật CPA bệnh lý, trong đó có thể thay đổi $\textsf{Enc}(pk,m\|vk)$ vào trong $\textsf{Enc}(pk,m\|vk')$ bất cứ gì $vk'$ của sự lựa chọn của kẻ tấn công, và không có kiến ​​thức về $m$ hoặc $vk$. Vì vậy, một cuộc tấn công CCA vào sơ đồ mới liên quan đến việc thay đổi $c$ vào trong $c'$ theo cách này, với $vk'$ được lựa chọn bởi kẻ tấn công.Sau đó, kẻ tấn công có thể tạo chữ ký chính xác trên mới $c'$ và yêu cầu nó được giải mã để tiết lộ $m$.

Không có cấu trúc "đơn giản" biên dịch bảo mật CPA thành CCA

Có một vấn đề mở nổi tiếng trong mật mã học:

Có cấu trúc hộp đen của sơ đồ mã hóa khóa công khai bảo mật CCA từ sơ đồ mã hóa khóa công khai bảo mật CPA tùy ý, trong mô hình đơn giản không?

Có thể xây dựng lược đồ bảo mật CCA từ lược đồ bảo mật CPA nếu chúng ta thay đổi các tham số của bài toán mở này:

  • Nếu chúng ta rời khỏi mô hình đơn giản và cho phép các tiên tri ngẫu nhiên, thì phép biến đổi Fujisaki-Okamoto đạt được bảo mật CCA.

  • Nếu chúng tôi cho phép các cấu trúc không phải hộp đen, thì chúng tôi có thể đạt được bảo mật CCA bằng cách sử dụng phép biến đổi Naor-Yung. Không phải hộp đen có nghĩa là sơ đồ bảo mật CCA bằng cách nào đó sử dụng mã nguồn của chương trình bảo mật CPA. Trong trường hợp của Naor-Yung, bạn cần mã nguồn của sơ đồ bảo mật CPA để chứng minh tuyên bố không có kiến ​​thức về các bản mã.

Có một số tiến bộ một phần chứng minh vấn đề mở này -- đặc biệt, không thể có cấu trúc như vậy nếu thuật toán giải mã CCA không sử dụng thuật toán mã hóa CPA.

Các kỹ thuật bạn sử dụng trong câu hỏi này đều là hộp đen và do đó không có khả năng hữu ích trong việc xây dựng sơ đồ bảo mật CCA.

Các kỹ thuật tương tự hoạt động nếu kế hoạch CPA dựa trên danh tính

Công trình của bạn làm tôi nhớ đến Biến đổi Canetti-Halevi-Katz từ một CPA an toàn dựa trên danh tính lược đồ sang lược đồ bảo mật CCA (không dựa trên danh tính).

Để cho $\textsf{Enc}(pk,id,m)$ biểu thị mã hóa dựa trên danh tính (IBE) của $m$ để nhận dạng $id$, sử dụng các tham số toàn cục công khai $pk$. Khi đó công thức CHK là: $$ \textsf{Enc}^*(pk,m) = (vk, c = \textsf{Enc}(pk, vk, m), \sigma = \textsf{Sign}(sk,c)) $$ Nói cách khác, để mã hóa:

  1. tạo cặp khóa chữ ký một lần $(sk,vk)$.
  2. mã hóa bản rõ bằng IBE, sử dụng $vk$ như danh tính
  3. ký bản mã IBE với $sk$
  4. cho $vk$, bản mã IBE và chữ ký

Kết quả là bảo mật CCA và trực giác sơ bộ là IBE bảo mật CPA có thể dễ uốn đối với văn bản gốc, nhưng nó phải không dễ uốn đối với văn bản gốc. bản sắc.

Huanhuan Chen avatar
lá cờ cn
Cảm ơn, Mikero. Nó rất rõ ràng. Tôi hiểu.
Patriot avatar
lá cờ cn
@Huanhuan Chen Vui lòng cân nhắc bỏ phiếu cho câu trả lời mà bạn đã chấp nhận.
Huanhuan Chen avatar
lá cờ cn
Xin lỗi vì bỏ phiếu muộn. Tôi vừa nhận được đặc ân.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.