详解语义安全（semantically secure）

目次
一. 引入
二. 密文与明文
2.1 普通性理解
2.2 定理
2.3 定理理解
三. 语义安全的第一个版本
3.1 基本理解
3.2 定理
3.3 定理理解
四. 语义安全的第二个版本
4.1 直观解释
4.2 小结

---

一. 引入

密码学中安全加密要求：敌手（adversary）根据密文（ciphertext）不能推导出关于明文（plaintext）的任何信息。
本文将重点先容语义安全（semantic security）的理解。

二. 密文与明文

2.1 普通性理解

密码学的目标：密文不会泄露明文的任何一比特信息。
Enc：加密方案
Dec：解密方案
Gen：产生密钥。在不外加条件的情况下，通常以为Gen算法输出的密钥为n比特的均匀分布。
Message：明文。l比特可写作：

在理想条件下，攻击者在拿到密文后，猜测明文m的第i个比特（可以写做

）的概率为1/2.也就等同于胡乱猜测。
2.2 定理

PPT：probabilistic polynomial-time algorithm 概率多项式时间算法
negl：negligible 可忽略函数
假定某对称加密方案的明文是固定长度的，写做：

明文的长度为l，第i位比特。
给定恣意的PPT敌手A，以下式子是满足的：

通常以为明文m与密钥k是均匀分布的：

需要注意的是，敌手A是具有随机性的。加密算法Enc也是有随机性的。
2.3 定理理解

证实过程比较繁琐，建议相识的小伙伴略过此部门。
本小节给出一个故意思的安全性归约证实（proofs by reduction）。
对于密文Enc(m)，假如敌手可以确定出明文的第i个比特会发生什么？
换句话说，假如有两个明文m0与m1，这两个明文的第i个比特不一样。敌手就可以区分出这两个明文对应的密文。很明显这违反了我们加密的目标。
密码学需要构造两个敌手A和A'，通过归约证实，来验证安全性。
引入一个PPT的敌手A，以及比特i：

第一个聚集I0代表全部第i个比特为0的比特串：

第二个聚集I1代表全部第i个比特为0的比特串：

明文m0要么来自于I0，要么来自于I1.而且两者的概率肯定是相等的。由此可得：

两个概率均代表敌手猜对的概率。
接下来我们构建另外一个敌手A'

第一步：均匀选取m0与m1，如下：

第二步：给定密文c。将密文c输入到敌手A的步调中：

假如A输出0，那么b'=0;假如A输出1，那么b'=1.
因为A是多项式时间的，所以A'也是多项式时间的。
对于敌手A'来讲，将其试验的结果表示为：

核心：当A成功时，A'也就成功了。由此可得：

第一个概率代表A'的试验输出1，也就是A'成功的概率；
第二个概率代表A成功的概率；
第三行代表分成两种情况；
第四行代表猜对明文m的第i个比特。
因为密码方案（Enc,Dec）是安全的。所以A'成功的概率是不会优于1/2，也就是：

最终可得敌手A不会猜出明文m的恣意1比特信息：

三. 语义安全的第一个版本

3.1 基本理解

更进一步的目标：给定明文m的分布D,我们盼望没有PPT敌手可以从密文学习到关于明文m的恣意函数f信息。
我们盼望给定密文Enc(m)，敌手精确计算f(m)；
敌手根据m的分布，直接计算f(m)；
我们盼望这两者的概率是一样的。也就是密文并没有起到任何辅助的作用，这样才能满足密码学的要求。

3.2 定理

(Enc,Dec）:固定明文长度的对称加密方案，其中明文长度为l
明文的分布为D：

A与A'均为PPT算法
函数f界说为：

以下两个概率相减是可忽略的：

第一个概率：明文m是根据分布D选取的，密钥k是n长的均匀分布。算法A与加密Enc本身会引入随机性。
第二个概率：明文m是根据分布D选取的，算法A'会引入随机性。

3.3 定理理解

证实过程比较繁琐，建议相识的小伙伴略过此部门。
假定有两种明文。第一个是从分布D中随机选取，第二个是全为1的比特串，也就是：

假如加密方案是安全的，那么PPT敌手无法区分这两个密文。
接下来我们按密码学的语言来举行解释。
从分布D中选取m0.
确定m1为：

密文c可以是对m0举行加密，也可以是对m1举行加密。
将该密文输入到算法A中。假如A可以输出f(m)，那么试验结果为0.
情况1：给定对m的加密，输出f(m)
情况2：给定对全为1的加密，输出f(m)
这两者其实是相等的。

四. 语义安全的第二个版本

本小节先容是最全面的版本。
4.1 直观解释

明文为恣意分布，可以由某些多项式时间算法产生Samp
可以允许敌手额外获取某些关于明文的信息h(m)。
消息的长度是恣意的，该长度敌手可获取。|m|代表明文的长度
综上现在有两个多项式时间可计算的函数f与h
语义安全要求以下表达式是可忽略的：

明文输入依赖算法：

密钥k均匀选取，Enc和A，另有A'本身具有随机性。
第一个概率理解：敌手A拥有密文Enc(m）,外部信息h(m)。尝试猜测f(m)的值
第二个概率理解：A'的目标也是尝试猜测f(m)的值，但只知道m的长度与h(m)的值。
语义安全要求A和A'猜测的概率是相等的。
换句话说，语义安全要求密文Enc(m)不会泄露关于f(m)的任何信息。

4.2 小结

语义安全跟不可区分安满是等效的。





免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。