Рейтинг:1

Докажите безопасность CPA

флаг eg

Предполагать $(Gen, Enc, Dec)$ представляет собой схему шифрования с открытым ключом с пространством сообщений M, которое является CPA-защищенным. Докажите, что схема шифрования $(Бытие^2, Энк^2, Декабрь^2)$ является CPA-безопасным.

$Gen^2=(pk_0, sk_0) \leftarrow Gen, (pk_1, sk_1)\leftarrow Gen$ вывод: $пк=(пк_0,пк_1)$ и $sk=(sk_0,sk_1)$

$Enc^2(pk, (m_0,m_1))=(Enc(pk_0,m_0),Enc(pk_1,m_1))$

$ Dec ^ 2 (sk, (c_0, c_1)) = ( Dec (sk_0, c_0), Dec (sk_1, c_1)) $

Я изучил «Введение в современную криптографию» и некоторые другие книги, но не знаю, с чего начать, чтобы доказать это. Может ли кто-нибудь дать мне подсказку?

kelalaka avatar
флаг in
Обычный подход таков; предположим, что противник $A$ имеет существенное преимущество в CPA-безопасности второй схемы, затем покажем, что первая схема также не может быть CPA-безопасна, и получим противоречие.
kelalaka avatar
флаг in
Чтобы потерять безопасность CPA, вы можете предположить, что одно из шифрования не работает или оба.
Рейтинг:1
флаг cn

Для удобства чтения несколько скорректируем обозначения. Позволять $\Pi=(Gen,Enc,Dec)$ быть $\mathsf{Цена за конверсию}$-безопасная схема шифрования с открытым ключом с пространством для сообщений $\mathcal{M}$. Мы хотим доказать, что $\Pi^2=(Общество^2,Enc^2,Декабрь^2)$, с местом для сообщения $\mathcal{M}\times\mathcal{M}$ это также $\mathsf{Цена за конверсию}$- безопасно, где

$\underline{(pk,sk)\gets Gen^2(1^n)}$:

  • $(pk_\alpha,sk_\alpha)\получает Gen(1^n)$
  • $(pk_\beta,sk_\beta)\получает Gen(1^n)$
  • $(pk,sk):= \big((pk_\alpha,pk_\beta),(sk_\alpha,sk_\beta)\big)$

$\underline{c\getsEnc^2(pk,m)}$:

  • $(пк_\альфа,пк_\бета) := пк$
  • $(м_\альфа,м_\бета):= м$
  • $c_\alpha \gets Enc(pk_\alpha,m_\alpha)$
  • $c_\beta \gets Enc(pk_b,m_\beta)$
  • $с:=(с_\альфа,с_\бета)$

$\underline{m:= Dec^2(sk,c)}$:

  • $(sk_\альфа,sk_\бета) := sk$
  • $(с_\альфа,с_\бета):= с$
  • $m_\alpha := Dec(sk_\alpha, c_\alpha)$
  • $m_\beta := Dec(sk_\beta, c_\beta)$
  • $м := (м_\альфа,м_\бета)$.

Мы можем доказать следующее утверждение, доказав противоположное, т.е.

$\underline{Претензия:}$ \начать{выравнивать*} &\Pi\text{ является $\mathsf{CPA}$-безопасным}\implies\Pi^2\text{ является $\mathsf{CPA}$-безопасным} \ \iff &\Pi^2\text{ является $\lnot\mathsf{CPA}$-безопасным}\implies\Pi\text{ является $\lnot\mathsf{CPA}$-безопасным}. \конец{выравнивание*}

$\underline{Доказательство:}$

Чтобы доказать обратное, предположим, что существует противник. $\mathcal{А}^2$ против $\П^2$, такой, что $$\Pr[\mathsf{PubK}^{\mathsf{CPA}}_{\mathcal{A}^2,\Pi^2}(n)=1]>\frac{1}{2}+\ mathsf{negl}(n).$$ Другими словами, $\mathcal{А}^2$ может победить $\П^2$ в $\mathsf{Цена за конверсию}$ игра с незначительным преимуществом.

Теперь мы будем использовать $\mathcal{А}^2$ создать противника $\mathcal{А}$ против $\Пи$ в $\mathsf{Цена за конверсию}$ игра.

$\mathsf{Цена за конверсию}$ игра проходит следующим образом:

  1. $ Поколение (1 ^ п) $ выполняется для получения ключей $(пк_\альфа, ск_\альфа)$.
  2. противник $\mathcal{А}$ дано $пк_\альфа$ а также доступ оракула к $Enc(pk_\alpha,\cdot)$. Следующий, $\mathcal{А}$ работает $ Поколение (1 ^ п) $ чтобы получить $(pk_\beta, sk_\beta)$.
  3. противник $\mathcal{А}^2$ дано $пк:=(пк_\альфа,пк_\бета)$ а также доступ оракула к $Enc^2(pk,\cdot)$.
  4. $\mathcal{А}^2$ выводит пару разных сообщений $m_0:=(m_{0_\alpha},m_{0_\beta}), m_1:=(m_{1_\alpha},m_{1_\beta}) \in\mathcal{M}\times\mathcal{ М} $ с $m_{0_\бета} = m_{1_\бета}$ и $|m_0|=|m_1|$. Другими словами, сообщения $m_0$, $m_1$ разные, а вторая половина одна и та же.
  5. После получения $m_0$ и $m_1$ от $\mathcal{А}^2$, противник $\mathcal{А}$ пересылаю только первые части $м_{0_\альфа}$,$m_{1_\alpha}$ к $\mathsf{Цена за конверсию}$ игра.
  6. Игра выбирает случайный бит $b \in \{0, 1\}$, и зашифрованный текст вызова $c_\alpha \gets Enc(pk_\alpha, m_{b_\alpha})$ вычисляется и передается $\mathcal{А}$. $\mathcal{А}$ продолжает иметь доступ к $Enc(pk_\alpha,\cdot)$.
  7. В настоящее время $\mathcal{А}$ вычисляет вторую половину зашифрованного текста вызова как $c_\beta \gets Enc(pk_\beta, m_{0_\beta}=m_{1_\beta})$. Обратите внимание, что $\mathcal{А}$ не нужно знать бит вызова $b$. Затем, $\mathcal{А}$ отправляет зашифрованный текст вызова \begin{align*} c&:=(c_\alpha,c_\beta)\&:=\big(Enc(pk_\alpha, m_{b_\alpha}),Enc(pk_\beta, m_{0_\ бета}=m_{1_\beta})\big)\end{выравнивание*} к $\mathcal{А}^2$. $\mathcal{А}^2$ продолжает иметь доступ к $Enc^2(pk,\cdot)$.
  8. $\mathcal{А}^2$ возвращает бит предположения $b''$ к $\mathcal{А}$.
  9. $\mathcal{А}$ устанавливает собственный бит предположения $b':=b''$, и возвращается $b'$ к $\mathsf{Цена за конверсию}$ игра.
  10. Результат игры определяется как $1$ если $б'= б$, и $0$ в противном случае.

Из сокращения следует, что \begin{align*} \Pr[\mathsf{PubK}^{\mathsf{CPA}}_{\mathcal{A},\Pi}(n)=1]&=\Pr[\mathsf{PubK}^ {\mathsf{CPA}}_{\mathcal{A}^2,\Pi^2}(n)=1] \&>\frac{1}{2}+\mathsf{negl}(n). \конец{выравнивание*} Здесь последнее неравенство следует из наших предположений, что $\mathcal{А}^2$ может победить $\П^2$ в $\mathsf{Цена за конверсию}$ игра с незначительным преимуществом.
Наконец, это доказывает первоначальное утверждение о том, что $\Pi\text{ является $\mathsf{CPA}$-безопасным}\implies\Pi^2\text{ является $\mathsf{CPA}$-безопасным}$. $\;\черный квадрат$

kelalaka avatar
флаг in
Мы не отвечаем на вопросы HW как [наша текущая политика домашних заданий] (https://crypto.meta.stackexchange.com/a/1117). Мы лишь даем им подсказки в комментариях. Лучше удалить.
kelalaka avatar
флаг in
Не как спойлер, удалять.
Maarten Bodewes avatar
флаг in
В качестве исключения мы оставили ответ в силе, так как он, вероятно, был опубликован без знания нашей политики домашних заданий, но обратите внимание, что это исключение, а не норма. Спасибо за попытку :)
kelalaka avatar
флаг in
@MaartenBodewes Не могли бы вы выступить за удаление? P4i11ip, вы можете внести свой вклад, однако это сообщество и некоторые соглашения сообщества о [мета]. Если вы не согласны с этим, вы можете проголосовать против [мета], не потеряв ни единого балла.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.