密码学理论03:计算安全性(Computational Security)

真实世界的密码方案目标:cannot be broken with reasonable computing power with reasonable probability.——不能用合理的计算能力合理的概率破解。


计算性安全

  1. 仅针对计算有限的对手的安全性。
  2. 安全性可能以非常小的可能性失败。

两种方法: 

  1. 具体方法:用于讨论具体实例化的安全性。它通过明确限制任何(随机化的)攻击者在指定时间内运行的最大成功概率来量化密码方案的安全性。具体做法在实践中很重要,但很难提供准确的具体保证,甚至一些具体的安全声明在未来也会失败。
  2. 渐近方法:借鉴计算复杂性理论的思想。使用渐近线,就像在复杂性理论中一样。密码学理论03:计算安全性(Computational Security)_第1张图片

计算复杂性

固定计算模型(如图灵机)并专注于在每个输入上停止的算法,算法(或机器)的时间复杂度定义为算法对每个可能输入上的步骤数(即计算规则的应用)。 

 高效算法:多项式时间算法——具有多项式时间复杂度O(p)

算法(或任务)“复杂性”的另一个自然度量是计算消耗的内存量,它指的是用于存储计算的一些中间结果的内存。


渐近方法

根植于计算复杂性理论密码学理论03:计算安全性(Computational Security)_第2张图片

函数可忽略性的定义:密码学理论03:计算安全性(Computational Security)_第3张图片 定理(可类比无穷小):密码学理论03:计算安全性(Computational Security)_第4张图片

 通用渐近安全声明:

如果任何 PPT 敌手以至多可忽略的概率成功破解该方案,则该方案是安全的。

诚实的一方在一些固定的(通常很小的)多项式时间(例如,n·log(n) 或 n2)内运行,而安全性必须适用于所有多项式时间对手。

基本原理:当我们增加 n 时,对手的成功概率会快速下降(超聚),而诚实方的运行时间只会适度(通常很小)多项式增长。所以我们可以通过选择足够大的 n 来获得强大的安全性

计算模型的选取

密码学理论03:计算安全性(Computational Security)_第5张图片

——所有“合理”的计算模型都是多项式等价的。

对于“efficient”和“secure”的渐近定义有闭包属性:

  • 调用高效子过程的高效(即多步)算法是高效的
  • 多次使用安全方案仍然是安全的

渐近安全的定义

如果对于每个 PPT 对手 A 执行某种正式指定类型的攻击,并且对于每个正多项式 p,存在一个整数 N,使得当 n > N 时,A 攻击成功的概率小于1/p(n),则该方案是安全的。

典型的渐近安全声明:

如果某些潜在假设构建块 π 【困难问题或密码学源语】是安全的,则构造 Π 是安全的。

密码学理论03:计算安全性(Computational Security)_第6张图片

(互为逆否命题)


可计算安全加密

密码学理论03:计算安全性(Computational Security)_第7张图片

定义一个完美保密的可计算变体:

  •  我们只需要针对计算有限的对手的安全性。
  • 我们承认微小的(即可以忽略不计的)优势,而不是“完美”的保密性。
  • 加密消息可以任意长!香农界不适用于计算设置。
  • 保留加密密钥只能使用一次的要求。(保留第二条限定)

密码学理论03:计算安全性(Computational Security)_第8张图片 (不会比1/2具有显著优势)

密码学理论03:计算安全性(Computational Security)_第9张图片

语义安全

密码学理论03:计算安全性(Computational Security)_第10张图片

 (密文除泄露明文长度外不泄露任何信息)

对于任何有效的可采样消息分布 m ← M,如果一个有效的对手 A 可以在给定辅助信息 h(m) 和 m 的加密 Enck(m) 的情况下以某个概率 p 计算一些谓词 f(m),则存在另一个有效算法仅在消息长度为 |m| 的情况下,它的表现几乎一样好。

定理:语义安全与不可区分性等价。


伪随机性

如果无法有效地区分伪随机生成样本与来自均匀随机样本的样本,则该分布是伪随机分布。

密码学理论03:计算安全性(Computational Security)_第11张图片

伪随机生成器 

密码学理论03:计算安全性(Computational Security)_第12张图片

  • 扩张性
  • 伪随机性 

使用experiment(game)表示:

密码学理论03:计算安全性(Computational Security)_第13张图片

特点:

  • 可被蛮力破解(概率≥1-2^(n-l(n))),但存储空间是指数级增加的,故仍具有安全性。
  • 非满射——伪随机序列输出不是均匀的
  • 当且仅当单向函数存在时,PRG存在 

加密方案构建:

密码学理论03:计算安全性(Computational Security)_第14张图片

如果 G 是伪随机生成器,则构造 3.17 是固定长度的对称加密方案,在存在窃听者的情况下具有不可区分(可计算安全)的加密。

——使用归约性证明


更强的安全概念

考虑:

  • 密钥可复用
  • 已知/选择明文攻击:
  1. 非自适应 CPA 安全:所有待加密的消息必须由对手一次性选择(在最初时)
  2. 自适应 CPA 安全:可以自适应地(随时)选择消息

针对选择明文攻击的安全性:IND-CPA

1. 非自适应CPA安全:

密码学理论03:计算安全性(Computational Security)_第15张图片

(此处的experiment复用同一个k)

 2. 自适应CPA安全:

密码学理论03:计算安全性(Computational Security)_第16张图片

(注:可发送的明文的数量与安全参数n具有多项式关系;选择阶段的m可与挑战明文相同)

密码学理论03:计算安全性(Computational Security)_第17张图片

确定性加密方案无法达到此目标】 

3. Left-or-Right CPA安全:

密码学理论03:计算安全性(Computational Security)_第18张图片

(b始终确定) 

密码学理论03:计算安全性(Computational Security)_第19张图片

定理:任何 CPA 安全的对称加密方案对于多重加密也是 CPA 安全的。

已知明文/选择明文安全是密码方案安全的最低保障。 

你可能感兴趣的:(密码学,安全)