Tham gia Đăng nhập
Điểm:2
paul lacher avatar Crypto

Enc và Dec có cần phải là hàm giả ngẫu nhiên để lược đồ được bảo mật CPA không?

lá cờ br
paul lacher

Tôi hiện đang xem các câu hỏi của các trận chung kết trước đây dưới dạng bài tập cho bài kiểm tra của mình và không có lời giải nào được cung cấp.

Câu hỏi tôi hiện đang làm là:

Giả sử â = (Enc, Dec, Gen) là Lược đồ mã hóa bảo mật CPA. Chứng minh hoặc bác bỏ hai phát biểu sau: a) Enc phải là hàm giả ngẫu nhiên. b) Dec phải là hàm giả ngẫu nhiên.

Đối với a), bằng trực giác, tôi biết nó phải là giả ngẫu nhiên nhưng tôi không chắc làm thế nào để chứng minh nó một cách chính thức. Vì kẻ thù có quyền truy cập vào một tiên tri mã hóa, nên chúng tôi muốn đảm bảo rằng họ không thể phân biệt giữa các thông báo khác nhau và không tìm hiểu bất kỳ thông tin hữu ích nào về âm mưu này. Và vì giả ngẫu nhiên không thể phân biệt được với ngẫu nhiên, nên nó có cần thiết không?

Đối với b), tôi không nghĩ điều đó là đúng, chỉ vì trên cơ sở các cuộc tấn công CPA, chúng không thực sự liên quan đến việc giải mã, vì vậy không có ích gì khi nó là một chức năng giả ngẫu nhiên. Tuy nhiên, nếu Enc là giả ngẫu nhiên, thì nó có cần chức năng giả ngẫu nhiên để giải mã không?

Ai đó có thể cho tôi biết nếu suy nghĩ này đang đi đúng hướng không, nếu không, bạn có thể vui lòng đưa ra lời giải thích không?

Cảm ơn bạn.

61
0 + 0
Morrolan avatar
lá cờ ng
Morrolan
Trực giác của bạn cho a) là khá chính xác. Tôi cho rằng bạn đã chính thức hóa bảo mật IND-CPA bằng một 'trò chơi' do đối thủ chơi? Nếu vậy - hãy coi chức năng mã hóa của lược đồ của bạn là hoàn toàn xác định, nghĩa là $Enc_{k}(m)$ (bằng tiên tri mã hóa) sẽ luôn mang lại kết quả tương tự cho khóa cố định $k$ và thông báo $m$. Sau đó, bạn có thể xác định một đối thủ $A$ có lợi thế không đáng kể trong việc giành chiến thắng trong trò chơi không?
0
Hồi đáp
Morrolan avatar
lá cờ ng
Morrolan
Đối với câu b), hãy xem xét điều gì sẽ xảy ra nếu chức năng giải mã của lược đồ là không xác định. Nghĩa là, $Dec_k(c)$ không phải lúc nào cũng mang lại kết quả giống nhau cho khóa cố định $k$ và bản mã $c$. Một kế hoạch như vậy sẽ hữu ích? Cụ thể, nó sẽ ảnh hưởng như thế nào, v.d. thuộc tính đúng đắn của sơ đồ?
0
Hồi đáp
paul lacher avatar
lá cờ br
paul lacher
@Morrolan Chúng tôi định nghĩa nó là P(success)
0
Hồi đáp
paul lacher avatar
lá cờ br
paul lacher
@Morrolan Ohh, có ý nghĩa với b), cảm ơn bạn!
0
Hồi đáp
paul lacher avatar
lá cờ br
paul lacher
@Morrolan Điều tương tự có áp dụng cho bảo mật IND-CCA không? Tôi không chắc vì đối với CCA, đối thủ có quyền truy cập vào một tiên tri giải mã, liệu Dec có cần phải là PRF hay không nhưng điều đó thực sự không có ý nghĩa vì chúng tôi không muốn nhận được một thông báo bị trộn lẫn. Vì vậy, Enc sẽ vẫn cần PRF vì trong bối cảnh bảo mật CCA, chúng tôi đã thấy nó trong cài đặt Khóa chung và nếu không có tính ngẫu nhiên, thì nó sẽ trở thành xác định.
0
Hồi đáp
Morrolan avatar
lá cờ ng
Morrolan
"Nếu nó là xác định thì [...] có hơn 1/2 cơ hội để kẻ thù phân biệt các bản rõ khác nhau." Vâng, khá nhiều. :) Đối với bài kiểm tra, bạn có thể muốn mô tả chính xác các bước mà đối thủ $A$ thực hiện, ví dụ: $A$ gọi tiên tri mã hóa theo cách nào và cách họ sử dụng đầu ra đó để phân biệt xem bản mã $c$ mà họ nhận được có phải là bản mã hóa của $m_0$ hoặc $m_1$ mà họ đã cung cấp hay không. Làm xong việc đó, bạn cũng có thể dễ dàng xác định cơ hội chính xác mà $A$ có trong việc phân biệt chính xác điều này.
0
Hồi đáp
Morrolan avatar
lá cờ ng
Morrolan
Đối với bảo mật IND-CCA, bạn có thể lập luận giống như cách bạn đã làm đối với IND-CPA.
0
Hồi đáp
paul lacher avatar
lá cờ br
paul lacher
@Morrolan Cảm ơn bạn! Nó thực sự đã giúp làm sáng tỏ mọi thứ cho tôi.
0
Hồi đáp
Điểm:1
Chris Peikert avatar Crypto
lá cờ in
Chris Peikert

Một số gợi ý:

Một hàm giả ngẫu nhiên phải là một xác định chức năng từ khóa của nó và đầu vào đến đầu ra của nó. Hơn nữa, đầu ra phải âxuất hiện ngẫu nhiên và độc lập khi khóa được chọn ngẫu nhiên (và cố định) và đầu vào được chọn bởi kẻ tấn công.

Đối với (a): trong lược đồ mã hóa bảo mật CPA, Enc có thể xác định theo cách này không? Tại sao hay tại sao không?

Đối với (b): trong sơ đồ mã hóa bảo mật CPA với một ngẫu nhiên $sk$, phải đầu ra của $\text{Dec}_{sk}(\cdot)$ xuất hiện ngẫu nhiên và độc lập khi kẻ tấn công thay đổi đầu vào? Tại sao hay tại sao không?

0 + 0
paul lacher avatar
lá cờ br
paul lacher
ồ, được rồi, cảm ơn bạn!
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.