伪随机函数及基于伪随机函数的CPA不可区分私钥加密方案

CPA不可区分实验$Priv{K}_{\mathrm{A},\Pi }^{cpa}(n)$

• 定义

  1. 生成密钥$k\leftarrow Gen(1^n)$
  2. 输入$1^n$给$\mathrm{A}$，$\mathrm{A}$可以访问$En{c}_k(\cdot )$预言机(即它可以加密任何它选择的消息)，输出一对等长的消息$m_0,m_1$
  3. 选择一个随机比特$b\leftarrow \{0,1\}$，计算密文$c\leftarrow En{c}_k(m_b)$，交给$\mathrm{A}$
  4. $\mathrm{A}$依然可以访问$En{c}_k(\cdot )$预言机，(在多项式时间内)加密任何它选择的消息，输出一个比特$$\begin{gathered} b^{{ \\ }^{\prime }} \end{gathered}$$
  5. 如果$$\begin{gathered} b^{{ \\ }^{\prime }}=b \end{gathered}$$，实验输出$1$，否则输出$0$。如果$Priv{K}_{\mathrm{A},\Pi }^{cpa}(n)=1$，则$\mathrm{A}$成功

• 理解

  在这个实验中，$\mathrm{A}$被赋予了更强的能力：它可以加密任何它希望的明文

  注意到生成密钥是本实验的第一步，这也是为$\mathrm{A}$提供的，它可以根据${\mathrm{A}}^{En{c}_k(\cdot )}$来选择它输出的消息$m_0,m_1$

  显然，任何确定性加密无法通过本实验，它只需要通过访问预言机就可以知道哪条消息被加密了

CPA不可区分性

• 定义

  对称密钥加密方案$\Pi =(Gen,Enc,Dec)$，如果对所有概率多项式敌手$\mathrm{A}$，存在一个可忽略函数$negl$，使得
  $$Pr[Priv{K}_{\mathrm{A},\Pi }^{cpa}(n)=1]\le \frac{1}{2}+negl$$
  则称$\Pi$具备CPA条件下的不可区分性

伪随机函数

• 定义

  令$F:\{0,1{\}}^{\ast }\times \{0,1{\}}^{\ast }\to \{0,1{\}}^{\ast }$是有效的、长度保留的、带密钥的函数。如果对所有多项式时间区分器$D$，存在一个可忽略的函数$negl$，满足
  $$|Pr[D^{F_k(\cdot )}(1^n)=1]-Pr[D^{f(\cdot )}(1^n)=1]|\le negl(n)$$
  则称$F$是一个伪随机函数，其中$k\leftarrow \{0,1{\}}^n$是均匀随机选择的，$f$是真随机选择函数

• 理解

  有效的：其计算在多项式时间内完成

  长度保留：密钥、输入、输出等长

  带密钥：顾名思义

  也就是说，任何多项式$D$无法分辨出$F$和真随机函数

基于伪随机函数的CPA安全加密

• 构造

  令$F$是伪随机函数，定义一个消息长度为$n$的对称密钥加密方案$\Pi$

  • $Gen$：输入$1^n$，生成随机密钥$k\leftarrow \{0,1{\}}^n$并输出

  • $Enc$：输入密钥$k\in \{0,1{\}}^n$，消息$m\in \{0,1{\}}^n$，均匀随机的选择$r\leftarrow \{0,1{\}}^n$，并输出密文
    $$c:=⟨r,F_k(r)\oplus m⟩$$

  • $Dec$：输入密钥$k\in \{0,1{\}}^n$，密文$c=⟨r,s⟩$，输出明文消息
    $$m:=F_k(r)\oplus s$$

• 理解

  在确定密钥的情况下，$r$为密文的生成提供了额外的随机性，因此同样的明文会被加密为不同的密文

  $r$是作为密文的一部分发送出去的，因为$r$本身也是随机的，所以不会泄露任何信息

• 证明

  若$F$是伪随机函数，则$\Pi$是CPA不可区分的

  区分器$D$被指定输入$1^n$，以及随时访问预言机$\mathrm{O}:\{0,1{\}}^n\to \{0,1{\}}^n$

  1. 运行$\mathrm{A}(1^n)$，无论何时$\mathrm{A}$向其加密预言机询问消息$m$，按以下方式回答：

     $(a)$ 均匀随机选择$r\leftarrow \{0,1{\}}^n$

     $(b)$ 询问$\mathrm{O}(r)$，获得$$\begin{gathered} s^{{ \\ }^{\prime }} \end{gathered}$$

     $(c)$ 返回密文$$\begin{gathered} ⟨r,s^{{ \\ }^{\prime }}\oplus m_b⟩ \end{gathered}$$给$\mathrm{A}$

  2. 当$\mathrm{A}$输出消息$m_0,m_1\in \{0,1{\}}^n$时，随机选择一个比特$b\leftarrow \{0,1\}$，之后：

     $(a)$ 均匀随机选择$r\leftarrow \{0,1{\}}^n$

     $(b)$ 询问$\mathrm{O}(r)$，获得$$\begin{gathered} s^{{ \\ }^{\prime }} \end{gathered}$$

     $(c)$ 返回挑战密文$$\begin{gathered} ⟨r,s^{{ \\ }^{\prime }}\oplus m_b⟩ \end{gathered}$$给$\mathrm{A}$

  3. 对最终$\mathrm{A}$的输出$$\begin{gathered} b^{{ \\ }^{\prime }} \end{gathered}$$，如果$$\begin{gathered} b^{{ \\ }^{\prime }}=b \end{gathered}$$，$D$输出$1$，否则输出$0$

     如果$D$面对的是一个真随机函数，那么$A$面对的是$\tilde{\Pi }$
     $$Pr[D^{f(\cdot )}(n)=1]=Pr[Priv{K}_{\mathrm{A},\tilde{\Pi }}^{cpa}(n)=1]\le \frac{1}{2}+\frac{q(n)}{2^n}$$
     如果$D$面对的是一个伪随机函数，那么$\mathrm{A}$面对的是$\Pi$
     $$Pr[D^{F_k(\cdot )}(n)=1]=Pr[Priv{K}_{\mathrm{A},\Pi }^{cpa}(n)=1]=\frac{1}{2}+\epsilon (n)$$
     因此
     $$Pr[D^{F_k(\cdot )}(n)=1]-Pr[D^{f(\cdot )}(n)=1]\ge \epsilon (n)-\frac{q(n)}{2^n}$$
     由于
     $$negl\ge Pr[D^{F_k(\cdot )}(n)=1]-Pr[D^{f(\cdot )}(n)=1]$$
     则
     $$\epsilon (n)\le negl+\frac{q(n)}{2^n}$$
     所以$\epsilon (n)$可忽略，$\Pi$是CPA不可区分的

一个通俗的规约证明

1. $D$接受一个输入$h$，判断其是真随机函数，还是伪随机函数，并可以访问随机预言机

2. $\mathrm{A}$可以通过访问$D$($D$再访问随机预言机)得到它选择的任何明文的密文，运行${\mathrm{A}}^{1^n}$输出$m_0,m_1$，交给$D$

3. 随机选择$b\leftarrow \{0,1\}$，计算$c:=h(m_b)$，交给$\mathrm{A}$

4. $\mathrm{A}$可以继续访问$D$，输出$$\begin{gathered} b^{{ \\ }^{\prime }} \end{gathered}$$

5. 如果$$\begin{gathered} b^{{ \\ }^{\prime }}=b \end{gathered}$$，$D$输出$1$，否则$D$输出$0$

   若$h$为真随机函数，
   $$Pr[D^{f(\cdot )}(1^n)=1]=Pr[Priv{K}_{\mathrm{A},\stackrel{\sim }{\Pi }}^{cpa}(n)=1]\le \frac{1}{2}+\frac{q(n)}{2^n}$$
   若$h$为伪随机函数，
   $$Pr[D^{F_k(\cdot )}(1^n)=1]=Pr[Priv{K}_{\mathrm{A},\Pi }^{cpa}(n)=1]=\frac{1}{2}+\epsilon (n)$$
   因此，
   $$Pr[D^{F_k(\cdot )}(1^n)=1]-Pr[D^{F_k(\cdot )}(1^n)=1]\ge \epsilon (n)-\frac{q(n)}{2^n}$$
   因为$F_k(\cdot )$为伪随机函数，所以
   $$\epsilon (n)\le negl(n)+\frac{q(n)}{2^n}$$
   则$\epsilon (n)$可忽略