加密方案的安全概念和RO模型基础.pptxVIP

加密方案的安全概念和RO模型基础刘亚敏

大纲安全概念安全目标攻击模型RO模型发展性质问题

安全概念

单向陷门函数：RSA，带陷门的LWE，…奉天承运皇帝诏曰奉天承运皇帝诏曰En全目标

基本：单向性(onewayness,OW)

01[GM84]S.Goldwasser,S.Micali.ProbabilisticEncryption.02奉天承运皇帝诏曰03Enc安全目标

进阶：语义安全（semanticsecurity,SS）

010203040506朕就是这样汉子EncEnc奉天承运皇帝诏曰[GM84]S.Goldwasser,S.Micali.ProbabilisticEncryption.安全目标

进阶：不可区分性(indistinguishability,IND)

安全目标

进阶：不可延展性(non-malleability,NM)[DDN91]D.Dolev,C.Dwork,andM.Naor.Non-malleableCryptography.赏黄金千两Enc赏黄金千两赏黄金万两ModifyDec赏黄金万两????

01Challenger02此定义形式不一定正确，待理解安全目标

进阶：不可延展性(non-malleability,NM)

安全目标：强弱

攻击模型：被动敌手(passiveadversary)Wire-tapping

Challenger1[GM84]S.Goldwasser,S.Micali.ProbabilisticEncryption.2CPA在公钥中是平凡的。3攻击模型：选择明文攻击

(chosenplaintextattacks,CPA)

Challenger[GM84]S.Goldwasser,S.Micali.ProbabilisticEncryption.安全概念：IND-CPA

攻击模型：非自适应选择密文攻击

(non-adaptivechosenciphertextattacks,CCA1)Challenger[NY90]M.Naor,M.Yung.Public-KeyCryptosystemProvablySecureagainstChosenCiphertextAttacks.安全概念：IND-CCA1

Challenger1安全概念：NM-CCA12攻击模型：非自适应选择密文攻击

(non-adaptivechosenciphertextattacks,CCA1)

攻击模型：自适应选择密文攻击

(adaptivechosenciphertextattacks,CCA2)Challenger[RS91]C.Rackoff,D.R.Simon.Non-InteractiveZero-KnowledgeProofofKnowledgeandChosenCiphertextAttack.安全概念：IND-CCA2

01Challenger02安全概念：NM-CCA2攻击模型：自适应选择密文攻击

(adaptivechosenciphertextattacks,CCA2)

六种安全概念之间的关系[BDPR98]M.Bellare,A.Desai,D.Pointcheval,andP.Rogaway.RelationsAmongNotionsofSecurityforPublic-KeyEncryptionSchemes.

IND-CCA2成为公钥加密的标准安全性强度够，易处理上层协议需求：如基于口令的密钥交换（PAKE）协议现实攻击Bleichenbacher对PKCS#1V1.5的攻击：实际上还没有发挥出CCA2的全部威力Manger对PKCS#1V2.0(RSA-OAEP)的攻击：方案已经是CCA2安全，写成标准后引入了漏洞……[Ble98]D.Bleichenbacher.ChosenCiphertextAttacksagainstProtocolsBasedontheRSAEncryptionStandardPKCS#1.[Man01]J.Manger.AChosenCiphertextAttackonRSAOptimalAsymmetricEncryptionPadding(OAEP)asStandardizedinPKCS#1v2.0.

IND-CCA2是最强的吗？非也明文知晓性质(PlaintextAwareness,PA