基于陷门置换的语义安全的公钥加密方案构造

语义安全

  后续补充。

陷门置换

  参考博客单陷门置换。

方案构造

  直接采用单陷门定义构造如下：

• 密钥生成：运行$Gen$，得到$(f,f^{-1})$。令$pk=f,sk=f^{-1}$。
• 加密算法：$E(\cdot )=f(\cdot )$
• 解密算法：$D_{f^{-}1}(\cdot )=f^{-1}(\cdot )$
    由于$f(\cdot )$是确定性的，例如RSA算法对于输入$x$得到的$E(x)$是确定的，因此其不能用于构造出语义安全的公钥加密方案。我们需要对其进行“随机化”，引入随机比特。
    令$H=\{h_{\mathcal{K}}:\{0,1{\}}^{\mathcal{K}}\to \{0,1\}{\}}_{\mathcal{K}\ge 1}$，$F$是一个陷门置换。$H$是$F$的一个随机比特，如果对于所有的PPT敌手$\mathcal{A}$，存在一个可忽略的函数$\epsilon (\mathcal{K})$，使得$\mathcal{A}$在下面的对抗中，优势${Adv}_{\mathcal{A}}(\mathcal{K})\le \epsilon (\mathcal{K})$：
    ${Function}_{\mathcal{A}}(\mathcal{K}):$
    $(f,f^{-1})\leftarrow Gen(\mathcal{K})$；
    $x{\leftarrow }_R\{0,1{\}}^{\mathcal{K}}$；
    $y=f(x)$；
    返回$A(f,y)$
    $\mathcal{A}$的优势定义为：${Adv}_{\mathcal{A}}(\mathcal{K})=|Pr[{Function}_{\mathcal{A}}(\mathcal{K})=h_{\mathcal{K}}(x)]-\frac{1}{2}|$。因为猜对随机比特的概率为$\frac{1}{2}$，所以在这里可以减去$\frac{1}{2}$当做$\mathcal{A}$的优势。
    下面构造随机比特：
    设$h_{\mathcal{K}}^{\prime }(x|r)=x\cdot r$，$f:\{0,1{\}}^{\mathcal{K}}\to \{0,1{\}}^{\mathcal{K}}$。定义一个新的置换$f^{\prime }$,$f^{\prime }:\{0,1{\}}^{\mathcal{K}}\to \{0,1{\}}^{\mathcal{K}}$定义为$f^{\prime }(x|r)=f(x)\oplus h^{\prime }$，其中$h^{\prime }$为随机比特。
  其中运算“$\cdot$”表示二元点乘。若$x=x_1{x}_2\cdots x_{\mathcal{K}}\in \{0,1{\}}^{\mathcal{K}},r=r_1{r}_2\cdots r_{\mathcal{K}}\in \{0,1{\}}^{\mathcal{K}}$，则$x\cdot r=x_1{r}_1\oplus x_2{r}_2\oplus \cdots \oplus r_{\mathcal{K}}{x}_{\mathcal{K}}$。
  引入随机比特后的方案：
  密钥产生过程：
  $GenKey(\mathcal{K}):$
    $(f,f^{-1})\leftarrow Gen(\mathcal{K})$
    $r{\leftarrow }_R\{0,1{\}}^{\mathcal{K}}$
    $pk=(f,r),sk=f^{-1}$
  加密过程（$M$为待加密消息，$M\in \{0,1\}$）：
  $E_{pk}(M):$
    $x{\leftarrow }_R\{0,1{\}}^{\mathcal{K}}$
    $y=f(x)$
    $h^{\prime }=x\cdot r$
    输出$(y,h^{\prime }\oplus M)$
  解密过程（$b$为$h^{\prime }\oplus M$）：
  $D_{sk}(y,b)$
    输出$b\oplus (f^{-1}(y)\cdot r)$
  $b\oplus (f^{-1}(y)\cdot r)=(h^{\prime }\oplus M)\oplus (x\cdot r)=((x\cdot r)\oplus M)\oplus (x\cdot r)=(x\cdot r)\oplus M\oplus (x\cdot r)=M$

案例

  $r=011,f(111)=100,f^{-1}(100)=111,x=111,M=1$，则有$y=f(x)=100,h^{\prime }=(0\ast 1)\oplus (1\ast 1)\oplus (1\ast 1)=0,b=0\oplus 1=1$。综上$M=1\oplus (111\cdot 011)=1\oplus (0\oplus 1\oplus 1)=1$。