Lecture 1. PKE to TDP

一些简称

PT: Polynomial-Time.

PPT: Probabilistic, Polynomial-Time.

$\text{negl}(\kappa)$ : negligible，在安全参数 $\kappa$ 下是可忽略的。

单向函数 (One-Way Function, OWF)：“易计算，难求逆”。

f:\{0,1\}^*\rightarrow \{0,1\}^*

易计算：存在 PT 算法 $\text{EvalF}(x)$ 满足 $\forall \kappa, \forall x \in \{0,1\}^\kappa$ ，有 $\text{EvalF}(x)=f(x)$ ；

难求逆（单向性 (One-wayness) 实验）：对于任意 PPT 算法 $\mathcal{A}$ ：
$\text{Pr}[x\in\{0,1\}^\kappa;y:=f(x);x'\leftarrow \mathcal{A}(1^\kappa,y):f(x')=y]=\text{negl}(\kappa)$
注意：求逆得到的 $x'$ 和 $x$ 不一定要一样，只要函数值相同就认为正确。上述描述刻画了一个求逆实验 (experiments)：
1. 均匀随机选择原象 $x\in\{0,1\}^\kappa$ ；
1. 根据 OWF 得到象 $y:=f(x)$ ；
1. 调用 PPT 求逆算法 $x'\leftarrow \mathcal{A}(1^\kappa,y)$ ；
实验的结果：PPT 求逆算法得到的 $x'\in f^{-1}(y)$ 的概率是可忽略的。

单向函数族 (OWF Family). 一系列 OWF（根据加密级别选择使用的 OWF）。由 3 个 PPT 算法 $\text{GenF}, \text{SampleD}, \text{EvalF}$ 组成，其中：

$i\leftarrow\text{GenF}(1^\kappa)$ ：根据安全参数选择使用的 OWF，得到其 index；

$x \leftarrow \text{SampleD}(1^\kappa,i)$ ：在 $f_i$ 的定义域中均匀随机选择原象 $x\leftarrow \mathcal{D}(f_i)$ ；

$y \leftarrow \text{EvalF}(1^\kappa, i,x)$ ：输出 $y:=f_i(x)\in\mathcal{R}(f_i)$ ，其中 $i\leftarrow\text{GenF}(1^\kappa)$ 且 $x\in \mathcal{D}(f_i)$ 。

单向性实验：对于任意 PPT 算法 $\mathcal{A}$ ：

\text{Pr}[i\leftarrow\text{GenF}(1^\kappa);x\leftarrow \mathcal{D}(f_i);y:=f_i(x);x'\leftarrow \mathcal{A}(1^\kappa,i,y):f_i(x')=y]=\text{negl}(\kappa)

公钥加密体系 (Public-Key Encryption, PKE). 分为三部分 $(\text{Gen},\text{Enc},\text{Dec})$ ：

密钥生成 $pk,sk\leftarrow\text{Gen}(1^\kappa)$ ；

加密 $c \leftarrow \text{Enc}(pk,m)$ ；

解密 $m'\leftarrow\text{Dec}(sk,c)$ 。

正确性要求：解密出来的明文应该和加密所用的明文相同（不相同的概率可忽略）。

\text{Pr}\left[\begin{matrix}(pk,sk) \leftarrow \text{Gen}(1^\kappa); \\ c\leftarrow \text{Enc}(pk,m);m'\leftarrow \text{Dec}(sk,c)\end{matrix}:m'=m\right] = 1-\text{negl}(\kappa)

安全性要求：利用选择明文攻击 (CPA) 描述。

选择明文攻击 (Chosen Plaintext Attack, CPA). 实验表述：对于任意的 PPT 敌手 $\mathcal{A}=(\mathcal{A}_1,\mathcal{A}_2)$

\text{Pr}\left[\begin{matrix}(pk,sk) \leftarrow \text{Gen}(1^\kappa); (s,m_0,m_1)\leftarrow \mathcal{A}_1(pk); \\ b\leftarrow \{0,1\};c\leftarrow \text{Enc}(pk,m_b);b'\leftarrow \mathcal{A}_2(s,c)\end{matrix}:b'=b\right] = \frac{1}{2}\pm\text{negl}(\kappa)

❗

注意：确定性加密算法不是 CPA 安全的。因为可以把两个明文都用公钥加密一下进行比对，即可知道挑战者加密了哪个密文。

CPA Game.

\color{darkblue}\begin{matrix}\textbf{挑战者 } \mathcal{C} & & \textbf{敌手 }\mathcal{A} \\ (pk,sk)\leftarrow\text{Gen}(1^\kappa) & \stackrel{pk}{\longrightarrow} & \\ & \stackrel{(m_0,m_1)}{\longleftarrow}& \text{选择 } m_0,m_1 \\ \text{抛硬币随机选择加密 }b\leftarrow \{0,1\}& \\ \text{计算 } c\leftarrow \text{Enc}(pk,m_b) & \stackrel{c}{\longrightarrow} \\ \text{若 }b'=b\text{，则敌手 }\mathcal{A} \text{ 获胜} & \stackrel{b'}{\longleftarrow} & \text{猜挑战者抛硬币的结果 }b' \\\end{matrix}

💡

CPA Game with a Single Bit (单比特 CPA Game).

\color{darkblue}\begin{matrix}\textbf{挑战者 } \mathcal{C} & & \textbf{敌手 }\mathcal{A} \\ (pk,sk)\leftarrow\text{Gen}(1^\kappa) & \stackrel{pk}{\longrightarrow} & \\\text{抛硬币随机选择加密 }b\leftarrow \{0,1\}& \\ \text{计算 } c\leftarrow \text{Enc}(pk,b) & \stackrel{c}{\longrightarrow} \\ \text{若 }b'=b\text{，则敌手 }\mathcal{A} \text{ 获胜} & \stackrel{b'}{\longleftarrow} & \text{猜挑战者抛硬币的结果 }b' \\\end{matrix}

在单比特游戏中，敌手 $\mathcal{A}$ 选择两个明文 $m_0,m_1$ 不可能是 $m_0=m_1$ ；因为这样对敌手一定不优，无法得到多余的信息，因此可以省略该过程。

CPA Game (Experiments). $\textbf{Exp}_{\text{PKE},\mathcal{A}}^\text{CPA-b}(\kappa)$ ；将原先游戏中抛硬币选择加密的 $b$ 变成实验参数，省去抛硬币流程。同时，将游戏结果改为返回敌手 $\mathcal{A}$ 的猜测。

\color{darkblue}\begin{matrix}\textbf{挑战者 } \mathcal{C} & & \textbf{敌手 }\mathcal{A} \\ (pk,sk)\leftarrow\text{Gen}(1^\kappa) & \stackrel{pk}{\longrightarrow} & \\ & \stackrel{(m_0,m_1)}{\longleftarrow}& \text{选择 } m_0,m_1 \\ \text{计算 } c\leftarrow \text{Enc}(pk,m_b) & \stackrel{c}{\longrightarrow} \\ \text{返回 }b'& \stackrel{b'}{\longleftarrow} & \text{猜挑战者抛硬币的结果 }b' \\\end{matrix}

CPA 安全的其他表述

\left|\text{Pr}(\mathcal{A}\text{ wins})-\frac{1}{2}\right| = \left|\text{Pr}(b=b')-\frac{1}{2}\right| = \text{negl}(\kappa) \\ \left|\text{Pr}(b'=1|b=1)\text{Pr}(b=1)+\text{Pr}(b'=0|b=0)\text{Pr}(b=0)-\frac{1}{2}\right| = \text{negl}(\kappa) \\ \left|\frac{1}{2}\text{Pr}(b'=1|b=1)+\frac{1}{2}(1-\text{Pr}(b'=1|b=0))-\frac{1}{2}\right| = \text{negl}(\kappa) \\ \color{red}\left|\text{Pr}(b'=1|b=1)-\text{Pr}(b'=1|b=0)\right|= 2\text{negl}(\kappa)= \text{negl}(\kappa)

即

\color{red}\left|\text{Pr}[\textbf{Exp}_{\text{PKE},\mathcal{A}}^\text{CPA-1}(\kappa)=1]-\text{Pr}[\textbf{Exp}_{\text{PKE},\mathcal{A}}^\text{CPA-0}(\kappa)=1]\right|=\text{negl}(\kappa)

定义 Advantage：

\textbf{Adv}_{\text{PKE},\mathcal{A}}^{\text{CPA}}(\kappa) =:\left|\text{Pr}[\textbf{Exp}_{\text{PKE},\mathcal{A}}^\text{CPA-1}(\kappa)=1]-\text{Pr}[\textbf{Exp}_{\text{PKE},\mathcal{A}}^\text{CPA-0}(\kappa)=1]\right|\\\frac{1}{2}\textbf{Adv}_{\text{PKE},\mathcal{A}}^{\text{CPA}}(\kappa)= \left|\text{Pr}(\mathcal{A}\text{ wins})-\frac{1}{2}\right| \\

陷门单向函数(族) (Trapdoor Permutation (family), TDP). $(\text{Gen},\text{Sample},\text{Eval},\text{Invert})$ .

$(i,td)\leftarrow \text{Gen}(1^\kappa)$ ：根据安全参数选择所用的 TDP，返回其 index 与陷门 trapdoor；

$x\leftarrow\text{Sample}(1^\kappa,i)$ ：在 $f_i$ 的定义域中均匀随机选择原象 $x\leftarrow \mathcal{D}(f_i)$ ；

$y \leftarrow \text{EvalF}(1^\kappa, i,x)$ ：输出 $y:=f_i(x)\in\mathcal{R}(f_i)$ ；

$x' \leftarrow \text{Invert}(1^\kappa,i,td,y)$ ：使用陷门输出 $x':=f^{-1}_i(y)$ 。

💡

置换 Permutation：定义域与值域相同。

正确性要求： $\text{Invert}(1^\kappa,i,td,y)$ 确实实现了 $f_i^{-1}$ 。

单向性要求：对于任意 PPT 敌手 $\mathcal{A}$ ：

\text{Pr}\left[\begin{matrix}(i,td) \leftarrow \text{Gen}(1^\kappa); y\leftarrow\text{Sample}(1^\kappa,i); \\x'\leftarrow\mathcal{A}(1^\kappa,i,y)\end{matrix}:\text{Eval}(1^\kappa,i,x')=y\right] = \text{negl}(\kappa)

直接随机采样象，敌手正确确定原象的概率是可忽略的。

通过 TDP 构造 PKE（非 CPA 安全版）.

PKE.Gen: $(f,f^{-1})\leftarrow\text{Gen}(1^\kappa)$ ，其中 $pk:=f,sk:=f^{-1}$ ； $f^{-1}$ 由陷门得到。

PKE.Enc: $c\leftarrow f(m)$ 。

PKE.Dec: $m\leftarrow f^{-1}(c)$ 。

❗

这样构造的 PKE 是单向的，但不是 CPA 安全的（因为加密不具有随机性）。

Hard-core Function / Bit. 令 $H=\{h_\kappa:\{0,1\}^\kappa\rightarrow\{0,1\}\}$ 是可以有效计算的一系列函数，令 $F$ 是一个 TDP family。那么 $H$ 是一个 hard-core function 当且仅当对于任意 PPT 敌手 $\mathcal{A}$ ：

\text{Pr}\left[\begin{matrix}(f,f^{-1}) \leftarrow \text{Gen}(1^\kappa); x\leftarrow\{0,1\}^\kappa; \\y=f(x);\beta\leftarrow\mathcal{A}(f,y)\end{matrix}:\beta=h_\kappa(x)\right] = \frac{1}{2}\pm\text{negl}(\kappa)

那么， $h_\kappa(x)$ 被称为 hard-core bit。

Hard-core Game. 敌手的目标是：猜 hard-core bit，即原象通过 $h_\kappa$ 后的结果。

\color{darkblue}\begin{matrix}\textbf{挑战者 } \mathcal{C} & & \textbf{敌手 }\mathcal{A} \\ (f,f^{-1}) \leftarrow\text{Gen}(1^\kappa) \\\text{随机采样需明文 }x\leftarrow \{0,1\}^\kappa\\\text{计算 }y\leftarrow f(x)& \stackrel{f,y}{\longrightarrow} & \\ \text{若 }\beta=h_\kappa(x)\text{，则敌手 }\mathcal{A} \text{ 获胜}& \stackrel{\beta}{\longleftarrow}& \text{计算 } \beta\end{matrix}

🔑

如果

f(\cdot)

是一个 OWF(OWP)，那么

g(x_1||x_2)=(f(x_1)||x_2)

也是一个 OWF(OWP)。

Goldreich-Levin 定理. 如果 $f(\cdot)$ 是一个 OWF(OWP)，那么 $g(x||r)=(f(x)||r)$ （其中 $|x|=|r|$ ）有一个 hard-core function $h_{GL}(x,r)=x\cdot r$ （向量内积）。

通过 TDP 构造 PKE（CPA 安全版，单比特）.

PKE.Gen: $(f,f^{-1})\leftarrow\text{Gen}(1^\kappa);r\leftarrow\{0,1\}^\kappa$ ，其中 $pk:=(f,r),sk:=f^{-1}$ 。

PKE.Enc: $m\in\{0,1\},x\in\{0,1\}^\kappa,y:=f(x),c:=(c_1:=y,c_2:=h_{GL}(x,r)\oplus m)$ 。

PKE.Dec: $x':=f^{-1}(c_1);m':=h_{GL}(x',r)\oplus c_2$ ，并返回 $m'$ 。

正确性. $x':=f^{-1}(y)=x;m':=h_\kappa(x')\oplus c_2=h_\kappa(x')\oplus h_\kappa(x) \oplus m = m$ .

安全性.

💡

Theorem. 如果

F

是 TDF，那么这个版本的 PKE 就是 CPA 安全的。

【证明】（反证法，安全规约）我们证明：如果这个版本的 PKE 不是 CPA 安全的，那么 $F$ 就不是 TDF，即敌手 $\mathcal{A}$ 赢得关于 $h_{GL}$ 的 hard-core game 的概率与 $\frac{1}{2}$ 的差是不可忽略的。

规约：利用已知条件 (CPA game) 作为黑箱来达到我们所需要的目的（hard-core game)。

Hard-core game 初始生成 $(f,f^{-1}), x, r, y=f(x)$ ；需敌手计算 $\beta$ 估计 $h_{GL}(x)$ 。

CPA game 初始生成 $(f,f^{-1}),b$ ；敌手需要 $f$ 和加密后的 $b$ 来猜 $b$ 。

那么，结合一下我们可以得到如下游戏：

\color{darkblue}\begin{matrix}\mathcal{C'} & & \mathcal{A'}/\mathcal{C} & & \mathcal{A}\\ (f,f^{-1}) \leftarrow\text{Gen}(1^\kappa) \\x,r\leftarrow \{0,1\}^\kappa \\y\leftarrow f(x) &\stackrel{(f,r),y}{\longrightarrow} & \alpha\leftarrow\{0,1\}&\stackrel{(f,r),(y,\alpha)}{\longrightarrow}{}\\ \mathcal{A'}\text{ wins iff }h'=h_{GL}(x,r) &\stackrel{h'}{\longleftarrow}{}& h'=\alpha\oplus b'& \stackrel{b'}{\longleftarrow}{}& \text{Compute }b'\end{matrix}

注意这里，我们假设中间者进行 $\alpha\leftarrow \{0,1\}$ 时候是这么进行的：

b\leftarrow \{0,1\};\alpha\leftarrow h_{GL}(x,r)\oplus b

由于 $b$ 均匀随机选择 0/1，根据异或性质， $\alpha$ 也均匀随机选择 0/1。我们想调用 CPA game 的黑箱，需要对信息 $b$ 进行加密，即需要 $c_1:=y, c_2:=h_{GL}(x,r)\oplus b$ 。由于我们不知道 $h_{GL}$ ，我们干脆直接均匀选择象 $c_2$ （也就是这里的 $\alpha$ ），让黑箱告诉我们这个 $\alpha$ 的原象 $b$ 是什么，然后我们通过下面的等式返回 $h_{GL}(x,r)$ 的值，来得到 hard-core game 的结果。

\alpha =h_{GL}(x,r) \oplus b \quad \Longrightarrow\quad h_{GL}(x,r)=\alpha\oplus b

因此，从概率的角度上说：

\text{Pr}[\mathcal{A} \text{ wins}]=\text{Pr}[b=b']=\text{Pr}[b'=\alpha\oplus h_{GL}(x,r)]\\=\text{Pr}[h_{GL}(x,r)=\alpha\oplus b']=\text{Pr}[\mathcal{A'} \text{ wins}]

因此，如果 $\mathcal{A}$ 赢得 CPA game 的概率与 1/2 的差是不可忽略的，那么 $\mathcal{A'}$ 赢得 hard-core game 的概率与 1/2 的差也是不可忽略的。

TODO: RSA PKE Scheme, Factor PKE Scheme.