简述双密钥加密算法：全同态加密的理论与构造-上篇

小君 2022-11-12 01:46:11 714

简述双密钥加密算法：全同态加密的理论与构造-上篇IND-CCA1是选择密文攻击下的不可区分性。相对前者，增加敌手可以在收到之前，调用一次加密或解密能力，下面是具体流程：如果可以忽略，那么可以认为和不可区分。IND-CPA是选择明文攻击下的不可区分性。敌手和挑战者商定目标密码体制，选定加密密钥pk，然后进行以下各阶段：寻找阶段：敌手选择两个等长的明文猜测阶段：敌手被挑战者告知其中一个明文和随机数r的加密结果判断是还是其中b是保密的。敌手的目标是以大于二分之一的概率猜对b的值。下面定义敌手的优势。

1基础知识同态加密算法的简单定义如下：

简述双密钥加密算法：全同态加密的理论与构造-上篇(1)

同态加密的一个经典的应用是外包计算（或者说云计算）。有一个客户端计算能力很弱，而服务器计算能力很强。客户端希望云服务器执行计算任务，但又不想泄露隐私数据。此时可以考虑使用同态加密进行加密计算。这是一个非常经典的应用场景。

简述双密钥加密算法：全同态加密的理论与构造-上篇(2)

1.1 安全性

为了保证更强的安全性，GoldWasser和Micali在1984年提出了概率加密，引入更强的安全目标：语义安全。理论上已证明，语义安全（Semantic Security，SS）等价于密文不可区分性。semantic security 语义安全：一个密文不会泄露除了长度之外的任何明文信息。我们很少用semantic security的形式来说明算法的安全性，因为他形式化的描述比较晦涩。IND-CPA 、IND-CCA1、IND-CCA2是常见的对于公钥加密安全性的定义。这里对三者进行简单介绍。参考了下面链接的文章。

[https://blog.csdn.net/m0_47659650/article/details/125223197]

IND-CPA

IND-CPA是选择明文攻击下的不可区分性。敌手和挑战者商定目标密码体制，选定加密密钥pk，然后进行以下各阶段：寻找阶段：敌手选择两个等长的明文

猜测阶段：敌手被挑战者告知其中一个明文和随机数r的加密结果判断是还是其中b是保密的。

敌手的目标是以大于二分之一的概率猜对b的值。下面定义敌手的优势。

如果可以忽略，那么可以认为和不可区分。

IND-CCA1

IND-CCA1是选择密文攻击下的不可区分性。相对前者，增加敌手可以在收到之前，调用一次加密或解密能力，下面是具体流程：

训练： 敌手向挑战者请求任意密文的解密（多项式有界次数），即选取密文C给挑战者，挑战者返回解密结果给敌手。

挑战：敌手A选择两个等长的明文再从挑战者接受加密后的密文 b是随机的；猜测：敌手输出若= 则敌手成功。敌手的目标是以大于二分之一的概率猜对b的值。下面定义敌手的优势：

敌手

如果敌手可以忽略，那么认为此密码体制在非适应性选择密文攻击下具有不可区分性，称为IND-CCA1安全。

IND-CCA2

IND-CCA2是自适应选择密文攻击下的不可区分性。
相对前者，不限制敌手调用解密的时间。下面是具体流程：

训练1：敌手向挑战者请求任意密文的解密（多项式有界次数），即选取密文C给挑战者，挑战者返回解密结果给敌手。挑战：敌手A选择两个等长的明文再从挑战者接受加密后的密文 b是随机的；训练2：敌手继续向挑战者请求任意密文的解密（多项式有界次数），即选取密文C（C不能是）给挑战者，挑战者返回解密结果给敌手。猜测：敌手输出若= 则敌手成功。

简述双密钥加密算法：全同态加密的理论与构造-上篇(3)