基于陷门置换的语义安全的公钥加密方案构造-Toy模板网

这篇具有很好参考价值的文章主要介绍了基于陷门置换的语义安全的公钥加密方案构造。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

语义安全

后续补充。

陷门置换

参考博客单陷门置换。

方案构造

直接采用单陷门定义构造如下：

密钥生成：运行 $G e n$ ，得到 $f,f^{-1})$ 。令 $pk=f,sk=f^{-1}$ 。
加密算法： $E(\cdot)=f(\cdot)$
解密算法： $D_{f^-1}(\cdot)=f^{-1}(\cdot)$
由于 $f(\cdot)$ 是确定性的，例如RSA算法对于输入 $x$ 得到的 $E (x)$ 是确定的，因此其不能用于构造出语义安全的公钥加密方案。我们需要对其进行“随机化”，引入随机比特。
令 $H=\{h_{\mathcal{K}}:\{ 0,1 \}^{\mathcal{K}} \rightarrow \{ 0,1 \}\}_{\mathcal{K} \geq 1}$ ， $F$ 是一个陷门置换。 $H$ 是 $F$ 的一个随机比特，如果对于所有的PPT敌手 $\mathcal{A}$ ，存在一个可忽略的函数 $\varepsilon(\mathcal{K})$ ，使得 $\mathcal{A}$ 在下面的对抗中，优势 ${Adv}_{\mathcal{A}}(\mathcal{K}) \leq \varepsilon(\mathcal{K})$ ：
${Function}_{\mathcal{A}}(\mathcal{K}):$
$(f,f^{-1}) \leftarrow Gen(\mathcal{K})$ ；
$\leftarrow _{R}\{ 0,1 \}^{\mathcal{K}}$ ；
$y = f (x)$ ；
返回 $A (f, y)$
$\mathcal{A}$ 的优势定义为： ${Adv}_{\mathcal{A}}(\mathcal{K})=\lvert Pr[{Function}_{\mathcal{A}}(\mathcal{K})=h_{\mathcal{K}}(x)] - \frac{1}{2} \rvert$ 。因为猜对随机比特的概率为 $\frac{1}{2}$ ，所以在这里可以减去 $\frac{1}{2}$ 当做 $\mathcal{A}$ 的优势。
下面构造随机比特：
设 $h_{\mathcal{K}}^{\prime}(x|r)=x \cdot r$ ， $f:\{ 0,1 \}^{\mathcal{K}} \rightarrow \{ 0,1 \}^{\mathcal{K}}$ 。定义一个新的置换 $f^{\prime}$ , $f^{\prime} : \{ 0,1 \}^{\mathcal{K}} \rightarrow \{ 0,1 \}^{\mathcal{K}}$ 定义为 $f^{\prime}(x|r)=f(x)\oplus h^{\prime}$ ，其中 $h^{\prime}$ 为随机比特。
其中运算“ $\cdot$ ”表示二元点乘。若 $x=x_1x_2 \cdots x_{\mathcal{K}} \in \{ 0,1 \}^{\mathcal{K}},r=r_1r_2 \cdots r_{\mathcal{K}} \in \{ 0,1 \}^{\mathcal{K}}$ ，则 $\cdot r=x_1r_1 \oplus x_2r_2 \oplus \cdots \oplus r_{\mathcal{K}}x_{\mathcal{K}}$ 。
引入随机比特后的方案：
密钥产生过程：
$GenKey(\mathcal{K}):$
$(f,f^{-1})\leftarrow Gen(\mathcal{K})$
$\leftarrow _{R}\{ 0,1 \}^{\mathcal{K}}$
$pk=(f,r),sk=f^{-1}$
加密过程（ $M$ 为待加密消息， $\in \{ 0,1 \}$ ）：
$E_{pk}(M):$
$\leftarrow _{R}\{ 0,1 \}^{\mathcal{K}}$
$y = f (x)$
$h^{\prime}=x \cdot r$
输出 $(y,h^{\prime}\oplus M)$
解密过程（ $b$ 为 $h^{\prime}\oplus M$ ）：
$D_{sk}(y,b)$
输出 $\oplus (f^{-1}(y) \cdot r)$
$\oplus (f^{-1}(y) \cdot r)=(h^{\prime}\oplus M) \oplus (x \cdot r)=((x \cdot r)\oplus M) \oplus (x \cdot r)=(x \cdot r) \oplus M \oplus (x \cdot r)=M$

案例

$r=011,f(111)=100,f^{-1}(100)=111,x=111,M=1$ ，则有 $y=f(x)=100,h^{\prime}=(0*1) \oplus (1*1) \oplus (1*1)=0,b=0 \oplus 1 = 1$ 。综上 $\oplus (111 \cdot 011) = 1 \oplus (0 \oplus 1 \oplus 1)=1$ 。文章来源地址https://www.toymoban.com/news/detail-430646.html