密码学系列2-安全模型(CPA,CCA,selective,adaptive)

2024-04-22 21:28

本文主要是介绍密码学系列2-安全模型(CPA,CCA,selective,adaptive),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本章介绍了安全模型中的CPA,selective/adaptive CCA, EUF-CMA

加密的安全性模型定义:

一、选择明文攻击下的不可区分性(IND-CPA

初始化:挑战者 C \mathcal{C} C运行初始化算法算法来获取系统参数。

阶段1:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。

挑战:对手将输出两条相同长度的消息 m 0 m_0 m0 m 1 m_1 m1

挑战者 C \mathcal{C} C随机选择比特 b ∈ { 0 , 1 } b\in \{0,1\} b{0,1},并加密消息 m b m_b mb以获得挑战密文。然后, C \mathcal{C} C将挑战密文发送给对手。

猜测:最后, A \mathcal{A} A输出一个猜测 b ′ ∈ { 0 , 1 } b'\in \{0,1\} b{0,1}

如果 b = b ′ b=b' b=b A \mathcal{A} A赢得游戏,优势定义为:

A d v A = ∣ P r ( b ′ = b ) − 1 / 2 ∣ Adv_{\mathcal{A}}=|Pr(b'=b)-1/2| AdvA=Pr(b=b)1/2∣

思考:阶段一敌手需要和挑战者交互吗?

概率和优势的区别:比如有一个丢一枚硬币的赌局。我们猜测正面朝上,那么我们猜测正确的概率为 1 / 2 1/2 1/2。如果我们知道硬币密度,丢硬币的方式会对结果有影响。那么丢一次硬币后,经过我们精密的分析,我们猜对的概率可能就是 1 / 2 + r 1/2+r 1/2+r,那么此时就说我们有 r r r的优势来正确猜硬币。
如果这个优势不可忽略,比如等于 r = 1 / 2 r=1/2 r=1/2,那么我们猜对的概率就是1!!如果这个概率无敌小到可以忽略,比如 r = 1 / 2 1 亿 r=1/2^{1亿} r=1/21亿,那么我们知道硬币密度,丢硬币的方式会对结果几乎没有影响。那么我们的能力对猜硬币的赌局没有任何作用。

二、适应性选择密文攻击下的不可区分性(adaptive IND-CCA2

初始化:挑战者 C \mathcal{C} C运行初始化算法算法来获取系统参数。

阶段1:

1.加密问询:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。
2.解密问询:敌手 A \mathcal{A} A产生密文,挑战者解密后,将解密得到的明文返给敌手(多项式有界次数)。

挑战:对手将输出两条相同长度的消息 m 0 m_0 m0 m 1 m_1 m1

挑战者 C \mathcal{C} C随机选择比特 b ∈ { 0 , 1 } b\in \{0,1\} b{0,1},并加密消息 m b m_b mb以获得挑战密文。然后, C \mathcal{C} C将挑战密文发送给对手。

阶段2:

1.加密问询:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。
2.解密问询:敌手 A \mathcal{A} A产生密文,挑战者解密后,将解密得到的明文返给敌手(多项式有界次数,且敌手不能对挑战密文进行解密问询)。

猜测:最后, A \mathcal{A} A输出一个猜测 b ′ ∈ { 0 , 1 } b'\in \{0,1\} b{0,1}

如果 b = b ′ b=b' b=b A \mathcal{A} A赢得游戏,优势定义为:

A d v A = ∣ P r ( b ′ = b ) − 1 / 2 ∣ Adv_{\mathcal{A}}=|Pr(b'=b)-1/2| AdvA=Pr(b=b)1/2∣

三、选择性选择密文攻击下的不可区分性(selective IND-CCA2

对手将输出两条相同长度的消息 m 0 m_0 m0 m 1 m_1 m1并发送给挑战者。

初始化:挑战者 C \mathcal{C} C运行初始化算法算法来获取系统参数。

阶段1:

1.加密问询:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。
2.解密问询:敌手 A \mathcal{A} A产生密文,挑战者解密后,将解密得到的明文返给敌手(多项式有界次数)。

挑战者 C \mathcal{C} C随机选择比特 b ∈ { 0 , 1 } b\in \{0,1\} b{0,1},并加密消息 m b m_b mb以获得挑战密文。然后, C \mathcal{C} C将挑战密文发送给对手。

阶段2:

1.加密问询:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。
2.解密问询:敌手 A \mathcal{A} A产生密文,挑战者解密后,将解密得到的明文返给敌手(多项式有界次数,且敌手不能对挑战密文进行解密问询)。

猜测:最后, A \mathcal{A} A输出一个猜测 b ′ ∈ { 0 , 1 } b'\in \{0,1\} b{0,1}

如果 b = b ′ b=b' b=b A \mathcal{A} A赢得游戏,优势定义为:

A d v A = ∣ P r ( b ′ = b ) − 1 / 2 ∣ Adv_{\mathcal{A}}=|Pr(b'=b)-1/2| AdvA=Pr(b=b)1/2∣

selective是在系统生成前产生挑战密文,再系统初始化时,挑战者可能会根据挑战密文生成相应的系统参数。
思考:selective和adaptive哪个安全性更强

四、(非自适应)选择密文攻击下的不可区分性(IND-CCA1

初始化:挑战者 C \mathcal{C} C运行初始化算法算法来获取系统参数。

阶段1:
1.加密问询:敌手 A \mathcal{A} A产生明文,加密的到对应的密文(多项式有界次数)。
2.解密问询:敌手 A \mathcal{A} A产生密文,挑战者解密后,将解密得到的明文返给敌手(多项式有界次数)。

挑战:对手将输出两条相同长度的消息 m 0 m_0 m0 m 1 m_1 m1

挑战者 C \mathcal{C} C随机选择比特 b ∈ { 0 , 1 } b\in \{0,1\} b{0,1},并加密消息 m b m_b mb以获得挑战密文。然后, C \mathcal{C} C将挑战密文发送给对手。

猜测:最后, A \mathcal{A} A输出一个猜测 b ′ ∈ { 0 , 1 } b'\in \{0,1\} b{0,1}

如果 b = b ′ b=b' b=b A \mathcal{A} A赢得游戏,优势定义为:

A d v A = ∣ P r ( b ′ = b ) − 1 / 2 ∣ Adv_{\mathcal{A}}=|Pr(b'=b)-1/2| AdvA=Pr(b=b)1/2∣

现在论文中定义的IND-CCA即指IND-CCA2,CCA1很少见了。
CCA1即在敌手获得挑战密文前可以进行解密问询。敌手获得挑战密文后,便不能再根据挑战密文生成其他密文来进行解密问询了。

签名安全性模型:

五、适应性选择消息的存在不可伪造性(EUF-CMA)

初始化:挑战者 C \mathcal{C} C运行初始化算法算法来获取系统参数。

阶段1:
1.签名问询:敌手 F \mathcal{F} F产生消息,敌手为消息产生签名并返回给敌手(多项式有界次数)。

伪造:敌手 F \mathcal{F} F伪造出一个签名。

如果伪造的签名满足以下条件,则敌手赢得这个游戏:
1.这个签名不是签名问询产生的。
2.签名能通过验证算法。

上面的五个模型都是最基础的定义,不同的方案会由不同的变化。后续文章将给出实例化安全性证明。

这篇关于密码学系列2-安全模型(CPA,CCA,selective,adaptive)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/926899

相关文章

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

Python从零打造高安全密码管理器

《Python从零打造高安全密码管理器》在数字化时代,每人平均需要管理近百个账号密码,本文将带大家深入剖析一个基于Python的高安全性密码管理器实现方案,感兴趣的小伙伴可以参考一下... 目录一、前言:为什么我们需要专属密码管理器二、系统架构设计2.1 安全加密体系2.2 密码强度策略三、核心功能实现详解

Spring Security基于数据库的ABAC属性权限模型实战开发教程

《SpringSecurity基于数据库的ABAC属性权限模型实战开发教程》:本文主要介绍SpringSecurity基于数据库的ABAC属性权限模型实战开发教程,本文给大家介绍的非常详细,对大... 目录1. 前言2. 权限决策依据RBACABAC综合对比3. 数据库表结构说明4. 实战开始5. MyBA

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

《C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)》本文主要介绍了C#集成DeepSeek模型实现AI私有化的方法,包括搭建基础环境,如安装Ollama和下载DeepS... 目录前言搭建基础环境1、安装 Ollama2、下载 DeepSeek R1 模型客户端 ChatBo

SpringBoot快速接入OpenAI大模型的方法(JDK8)

《SpringBoot快速接入OpenAI大模型的方法(JDK8)》本文介绍了如何使用AI4J快速接入OpenAI大模型,并展示了如何实现流式与非流式的输出,以及对函数调用的使用,AI4J支持JDK8... 目录使用AI4J快速接入OpenAI大模型介绍AI4J-github快速使用创建SpringBoot

0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型的操作流程

《0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeekR1模型的操作流程》DeepSeekR1模型凭借其强大的自然语言处理能力,在未来具有广阔的应用前景,有望在多个领域发... 目录0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型,3步搞定一个应

Deepseek R1模型本地化部署+API接口调用详细教程(释放AI生产力)

《DeepseekR1模型本地化部署+API接口调用详细教程(释放AI生产力)》本文介绍了本地部署DeepSeekR1模型和通过API调用将其集成到VSCode中的过程,作者详细步骤展示了如何下载和... 目录前言一、deepseek R1模型与chatGPT o1系列模型对比二、本地部署步骤1.安装oll