密码学理论03：计算安全性（Computational Security）

真实世界的密码方案目标：cannot be broken with reasonable computing power with reasonable probability.——不能用合理的计算能力以合理的概率破解。

---

计算性安全

1. 仅针对计算有限的对手的安全性。
2. 安全性可能以非常小的可能性失败。

两种方法： 

1. 具体方法：用于讨论具体实例化的安全性。它通过明确限制任何（随机化的）攻击者在指定时间内运行的最大成功概率来量化密码方案的安全性。具体做法在实践中很重要，但很难提供准确的具体保证，甚至一些具体的安全声明在未来也会失败。
2. 渐近方法：借鉴计算复杂性理论的思想。使用渐近线，就像在复杂性理论中一样。

---

计算复杂性

固定计算模型（如图灵机）并专注于在每个输入上停止的算法，算法（或机器）的时间复杂度定义为算法对每个可能输入上的步骤数（即计算规则的应用）。 

 高效算法：多项式时间算法——具有多项式时间复杂度O(p)

算法（或任务）“复杂性”的另一个自然度量是计算消耗的内存量，它指的是用于存储计算的一些中间结果的内存。

---

渐近方法

根植于计算复杂性理论

函数可忽略性的定义： 定理（可类比无穷小）：

 通用渐近安全声明：

如果任何 PPT 敌手以至多可忽略的概率成功破解该方案，则该方案是安全的。

诚实的一方在一些固定的（通常很小的）多项式时间（例如，n·log(n) 或 n2）内运行，而安全性必须适用于所有多项式时间对手。

基本原理：当我们增加 n 时，对手的成功概率会快速下降（超聚），而诚实方的运行时间只会适度（通常很小）多项式增长。所以我们可以通过选择足够大的 n 来获得强大的安全性。

计算模型的选取

——所有“合理”的计算模型都是多项式等价的。

对于“efficient”和“secure”的渐近定义有闭包属性：

• 调用高效子过程的高效（即多步）算法是高效的
• 多次使用安全方案仍然是安全的

渐近安全的定义

如果对于每个 PPT 对手 A 执行某种正式指定类型的攻击，并且对于每个正多项式 p，存在一个整数 N，使得当 n > N 时，A 攻击成功的概率小于1/p(n)，则该方案是安全的。

典型的渐近安全声明：

如果某些潜在假设或构建块 π 【困难问题或密码学源语】是安全的，则构造 Π 是安全的。

（互为逆否命题）

---

可计算安全加密

定义一个完美保密的可计算变体：

•  我们只需要针对计算有限的对手的安全性。
• 我们承认微小的（即可以忽略不计的）优势，而不是“完美”的保密性。
• 加密消息可以任意长！香农界不适用于计算设置。
• 保留加密密钥只能使用一次的要求。（保留第二条限定）

 （不会比1/2具有显著优势）

语义安全

 （密文除泄露明文长度外不泄露任何信息）

对于任何有效的可采样消息分布 m ← M，如果一个有效的对手 A 可以在给定辅助信息 h(m) 和 m 的加密 Enck(m) 的情况下以某个概率 p 计算一些谓词 f(m)，则存在另一个有效算法仅在消息长度为 |m| 的情况下，它的表现几乎一样好。

定理：语义安全与不可区分性等价。

---

伪随机性

如果无法有效地区分伪随机生成样本与来自均匀随机样本的样本，则该分布是伪随机分布。

伪随机生成器 

• 扩张性
• 伪随机性 

使用experiment（game）表示：

特点：

• 可被蛮力破解（概率≥1-2^(n-l(n))），但存储空间是指数级增加的，故仍具有安全性。
• 非满射——伪随机序列输出不是均匀的
• 当且仅当单向函数存在时，PRG存在 

加密方案构建：

如果 G 是伪随机生成器，则构造 3.17 是固定长度的对称加密方案，在存在窃听者的情况下具有不可区分（可计算安全）的加密。

——使用归约性证明。

---

更强的安全概念

考虑：

• 密钥可复用
• 已知/选择明文攻击：

1. 非自适应 CPA 安全：所有待加密的消息必须由对手一次性选择（在最初时）
2. 自适应 CPA 安全：可以自适应地（随时）选择消息

针对选择明文攻击的安全性：IND-CPA

1. 非自适应CPA安全：

（此处的experiment复用同一个k）

 2. 自适应CPA安全：

（注：可发送的明文的数量与安全参数n具有多项式关系；选择阶段的m可与挑战明文相同）

【确定性加密方案无法达到此目标】 

3. Left-or-Right CPA安全：

（b始终确定） 

定理：任何 CPA 安全的对称加密方案对于多重加密也是 CPA 安全的。

已知明文/选择明文安全是密码方案安全的最低保障。