Điểm:2

Crypto

Tính ngẫu nhiên được chia sẻ giữa hai nguyên hàm mật mã có làm phức tạp thêm đối số lai về tính không thể phân biệt trong tính toán không?

X. G.

15:58, 21/07/2023

Để cho $(Enc, tháng 12)$ là một sơ đồ mã hóa an toàn IND-CPA, trong đó $Enc: \mathcal{K} \times \mathcal{M}_1 \rightarrow \mathcal{C}_1$, và $F: \mathcal{K} \times \mathcal{M}_2 \rightarrow \mathcal{C}_2$ là một hàm giả ngẫu nhiên.

Hãy xem xét một ví dụ đơn giản mà chúng ta có thể muốn chứng minh phân phối $(Enc_k(m_1), F_k(m_2))$ (có tính ngẫu nhiên đến từ chìa khóa chung $k \leftarrow \mathcal{K}$) không thể phân biệt về mặt tính toán với phân phối đồng đều trên $\mathcal{C}_1 \times \mathcal{C}_2$. Rõ ràng, chúng ta có thể chỉ ra rằng sự phân bố của $Enc_k(m_1)$ không thể phân biệt về mặt tính toán với phân phối đồng đều trên $\mathcal{C}_1$ thông qua việc giảm bảo mật IND-CPA. Bằng cách thay thế $Enc_k(m_1)$ có yếu tố ngẫu nhiên $r_1 \leftarrow \mathcal{C}_1$, chúng ta có thể thu được phép lai trung gian $(r_1, F_k(m_2))$. Câu hỏi của tôi là:

Sau đó chúng ta có thể áp dụng tính giả ngẫu nhiên của $F$ thay thế $F_k(m_2)$ với một yếu tố ngẫu nhiên khác $r_2 \leftarrow \mathcal{C}_2$, để chứng minh tính không thể phân biệt trên?

Theo quan điểm của tôi, hai biến ngẫu nhiên $Enc_k(m_1)$ và $F_k(m_2)$ là không phải độc lập vì chúng có cùng tính ngẫu nhiên $k$. Điều này gợi nhớ đến lý do tại sao chúng ta nên xem xét việc phân phối chung bộ dữ liệu chế độ xem-đầu ra của ai đó hơn là chế độ xem của nó trong tính toán an toàn. Vì vậy, tôi cho rằng tính ngẫu nhiên được chia sẻ ở đây sẽ ngăn cản một đối số kết hợp đơn giản đi qua. Kết luận này có đúng không? Cảm ơn nhiều.

107

0 + 0

tính toán nhiều bên

an ninh có thể chứng minh được

Marc Ilunga

16:54, 21/07/2023

Chúng ta có thể luôn đảm bảo rằng $\mathcal C_1 \times \mathcal C_2$ không thể phân biệt được với ngẫu nhiên không? Kẻ tấn công có dễ dàng phân biệt $\mathcal C_1$ nếu mã hóa là một số chế độ dựa trên bộ đếm không?

Hồi đáp

X. G.

01:56, 22/07/2023

@MarcIlunga, tôi nghĩ rằng bảo mật IND-CPA đảm bảo rằng đầu ra của $Enc$ phải là giả ngẫu nhiên miễn là không gian khóa $\mathcal{K}$ có đủ entropy, chẳng hạn như $\kappa$ bit.

Hồi đáp

Marc Ilunga

07:49, 22/07/2023

Ã không chắc chắn CPA có thể *luôn luôn* đưa ra sự đảm bảo đó. Một ví dụ bệnh lý: sửa đổi sơ đồ CPA để nối thêm $0$. tức là $ctxt = c|0$ . Điều này vẫn đảm bảo an toàn cho CPA nhưng có thể phân biệt được với ngẫu nhiên. Một ví dụ tốt hơn sẽ là chế độ CTR hoạt động với nonces. vì vậy $ctxt = n | c$. Tôi nghĩ cũng có thể phân biệt được với ngẫu nhiên nếu $n$ là bộ đếm và không được chọn ngẫu nhiên.

Hồi đáp

Marc Ilunga

07:50, 22/07/2023

Câu hỏi ban đầu về tính ngẫu nhiên được chia sẻ vẫn đang xen kẽ :)

Hồi đáp

X. G.

11:10, 22/07/2023

@MarcIlunga, cảm ơn bạn đã bình luận. Một định nghĩa chính thức về IND-CPA thực sự bị thiếu trong câu hỏi của tôi. Ở đây, tôi sử dụng thuật ngữ "IND-CPA" một cách không chính thức để chỉ thuộc tính mà một lược đồ mã hóa có thể dẫn đến các bản mã giả ngẫu nhiên trong $\mathcal{C}_1$.

Hồi đáp

Marc Ilunga

12:48, 22/07/2023

Tôi khuyên bạn nên thêm phiên bản CPA này vào câu hỏi một cách rõ ràng. Cần lưu ý rằng đây không phải là khái niệm CPA tiêu chuẩn và có vẻ như là một yêu cầu quá khắt khe.Ví dụ CTR có bằng chứng cho CPA tiêu chuẩn nhưng không thỏa mãn khái niệm CPA không tiêu chuẩn này

Hồi đáp

Điểm:1

Crypto

Mark

22:50, 23/07/2023

Vâng, bạn đúng.

Một định nghĩa chính thức về IND-CPA thực sự bị thiếu trong câu hỏi của tôi. Ở đây, tôi sử dụng thuật ngữ "IND-CPA" một cách không chính thức để chỉ thuộc tính mà một sơ đồ mã hóa có thể dẫn đến các bản mã giả ngẫu nhiên trong $\mathcal{C}_1$

Tất nhiên, đây là một giả định mạnh mẽ hơn so với IND-CPA, nhưng thật nhàm chán khi chỉ ra điều này. Thực sự, giả định này có thể được viết là

$\mathsf{Enc}_k$ là một gia đình PRF.

Có lẽ sẽ đơn giản hơn khi nghĩ về điều này dưới dạng PRF, vì vậy tôi sẽ nhanh chóng chỉ ra rằng nếu $F_k, G_k$ là (riêng lẻ) PRF, sau đó $(F_k, G_k)$ không cần thiết, ví dụ: chia sẻ khóa PRF có thể phá vỡ bảo mật. Điều này là do sự phụ thuộc giữa các thành phần bên trái và bên phải, như bạn đã đoán.

Để cho $F_k$ là một PRF, và để cho $G_k = F_k^{\circ 2}$, I E. $G_k(x) = F_k(F_k(x))$. Thật đơn giản để thấy rằng $G_k$ là (riêng lẻ) một PRF --- bất kỳ dấu hiệu phân biệt nào đối với nó đều ngụ ý dấu hiệu phân biệt đối với $F_k$, vì bạn có thể mô phỏng truy cập truy vấn một cách hiệu quả tới $G_k$ cấp truy vấn truy cập vào $F_k$.

Hiện nay, $(F_k, F_k^{\circ 2})$ không phải là một PRF. Điều này là do, đưa ra một lời tiên tri $\mathcal{O}(\cdot)$ đó là thực hoặc ngẫu nhiên, bạn có thể.

$(y_1, y_2)\gets \mathcal{O}(x)$,
$(z_1, z_2) \gets \mathcal{O}(y_1)$,
đoán THẬT nếu $y_2 = z_1$và NGẪU NHIÊN nếu không.

NẾU $\mathcal{O}(x) = (F_k(x), F_k^{\circ 2}(x))$ là PRF của bạn, sau đó $y_2 = F_k^{\circ 2}(x)$, và $z_1 = F_k(y_1)= F_k(F_k(x)) = F_k^{\circ 2}(x)$ va chạm. Trong trò chơi ngẫu nhiên, xác suất xảy ra xung đột của hai giá trị bất kỳ là khá nhỏ, vì vậy điều này ngay lập tức hàm ý một sự phân biệt khá tốt.

Có nhiều vấn đề ngay lập tức mặc dù. Một cách để xây dựng $\mathsf{Enc}_k(m)$ là bởi XORing $m$ với một PRF, ví dụ $\mathsf{Enc}_k(m) = (r, F_k(r)\oplus m)$. Đây đơn giản là chế độ bộ đếm ngẫu nhiên (trong đó các thông báo là một khối duy nhất). Trong bối cảnh này, việc xây dựng chung là $(m_1,m_2)\mapsto (r, F_k(r)\oplus m_1, F_k(m_2))$. Một lần nữa, bằng cách truy vấn trên $(m_1, m_2)$, và sau đó truy vấn $(m_3, r)$, người ta có thể có được một bộ phân biệt hiệu quả. Điều này có nghĩa là một công trình xây dựng tự nhiên (trong đó $\mathsf{Enc}$ là chế độ bộ đếm ngẫu nhiên) cũng không an toàn trong cài đặt của bạn.

0 + 0

X. G.

10:48, 24/07/2023

Cảm ơn bạn rất nhiều vì ví dụ chi tiết!

Hồi đáp

Mikero

22:43, 24/07/2023

hoặc đơn giản là $F=G$

Hồi đáp

Mark

23:10, 24/07/2023

@Mikero đó thực sự là một ví dụ thú vị hơn nhiều, vì nó cho thấy rằng $F, G$ là PRF riêng lẻ không đủ để chứng minh rằng $(F, G)$ thậm chí là "PRF yếu", nghĩa là đối thủ có thể phân biệt được $ (F_k(x), G_k(x))$ từ ngẫu nhiên ngay cả khi $x$ được chọn ngẫu nhiên, thay vì chọn đối thủ. Tôi không thể hiển thị điều này bằng các ví dụ trong câu trả lời của mình.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Does shared randomness between two cryptographic primitives complicate the hybrid argument for computational indistinguishability?

TH: การสุ่มที่ใช้ร่วมกันระหว่างการเข้ารหัสดั้งเดิมสองแบบทำให้อาร์กิวเมนต์ไฮบริดซับซ้อนสำหรับการคำนวณที่แยกไม่ออกหรือไม่

RO: Aleatoritatea partajată între două primitive criptografice complică argumentul hibrid pentru indistinguirea computațională?

RU: Усложняет ли общая случайность между двумя криптографическими примитивами гибридный аргумент в пользу вычислительной неразличимости?

VI: Tính ngẫu nhiên được chia sẻ giữa hai nguyên hàm mật mã có làm phức tạp thêm đối số lai về tính không thể phân biệt trong tính toán không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.