Рейтинг:1

Покажите, что блочный шифр с CTR — хороший PRNG

флаг br

Предположим, что схема блочного шифра $(KeyGen, Enc, Dec)$ является CPA-безопасным. Покажи это $CTR_{Enc_k(0^n)}$ хороший ГПСЧ.

Режим счетчика работает следующим образом:

$Y_i = Enc_k(IV + f(i))$

$C_i = Y_i \bigoplus P_i = Y_i \bigoplus \{0^k\}= Y_i$

Таким образом, вывод здесь просто $Enc_k(IV + f(i))$. Теперь, как хороший PRNG, я понимаю, что он должен быть неотличим от случайного источника. Предположим, что нет. Так что если $X_0$ наш источник и $R$ является действительно случайным источником, мы имеем $$|Pr[A(x)=0|x=X_0]-Pr[A(x)=0|x=R]|=\delta$$ и $\дельта$ не является незначительным. Поскольку мы можем различать выходные данные, блоки не являются независимыми друг от друга. Таким образом, существуют некоторые отношения между $Enc_k(IV+f(i))$. Здесь у меня нет идей, как поступить. Я предполагаю, что это как-то противоречит CPA-безопасности, но я не знаю, как это показать.

Maarten Bodewes avatar
флаг in
На самом деле, если у вас небольшой размер блока, мне интересно, насколько хорошим может быть PRNG, потому что у вас не будет возможности повторять блоки. Я бы точно не поставил на тот же выигрышный номер в этой лотерее. Если вы запускаете CTR для 8-байтового блочного шифра, то после $2^{32}$ блоков / 32 ГиБ данных один из $2^{32}$ блоков больше не может быть сгенерирован. Я бы не назвал это хорошим свойством для PRNG. Я видел это задание раньше, и лично я думаю, что это довольно глупо; они совсем забывают о меньших размерах входного/выходного множества перестановки.
Awerde avatar
флаг br
@MaartenBodewes, как вы выразились, это действительно очень глупо;) Я думаю, они просто забывают об этом, потому что это не главная проблема здесь ...
Maarten Bodewes avatar
флаг in
Я не против упрощений, но я против заданий или примеров, которые пытаются вас чему-то научить, но в то же время учат вас чему-то *неправильному*. Это попытка научить вас бегать, стоя на краю обрыва. Но достаточно сказано, я полагаю.
Awerde avatar
флаг br
@MaartenBodewes, ты сказал, что видел это задание раньше, может быть, у тебя есть какие-нибудь подсказки для меня?
Maarten Bodewes avatar
флаг in
Я не лучший человек, чтобы давать здесь подсказки, возможно, когда дело доходит до формальных доказательств. Я бы включил аргумент безопасности для режима CTR, если он безопасен, то из-за XOR поток ключей должен быть полностью рандомизирован. Конечно, вы все еще можете предположить, что в вашем аргументе все наоборот, и доказать, что это неправильно. Быстрый поиск показал [эту лекцию] (https://www.csa.iisc.ac.in/~arpita/Cryptography15/CT2.pdf) с подтверждением CPA для CTR.
флаг cn
@MaartenBodewes Является ли утверждение истинным, зависит от контекста, который нам не дали. В контексте определений асимптотической безопасности утверждение абсолютно верно. В контексте *конкретных* определений безопасности это зависит от конкретных параметров.
флаг cn
Концептуально самый простой способ понять доказательство — это imho через серию гибридных дистрибутивов.Начните с вашего распределения $X_0$ и последовательно примените определение безопасности псевдослучайной перестановки, лемму о переключении PRP/PRF и наблюдение, что для равномерно случайной функции $g : \{0,1\}^n \to \{0 ,1\}^n$, $g(0)\Vert\cdots\Vert g(N)$ распределена равномерно. Это, наконец, приведет вас к дистрибутиву $X_3=R$. Для каждого шага на этом пути вы можете доказать, что распределения неразличимы, а затем применить неравенство треугольника, чтобы получить желаемое утверждение.
Awerde avatar
флаг br
Спасибо вам обоим, я не уверен, что это тот путь, которым я должен следовать - доказательство кажется слишком сложным для такого рода задач, но все равно спасибо;)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.