安全性归约（构造 2）_安全归约中异或运算

Encryption

私钥

1. 一次一密（one-time pad）：$Enc(s,m)=s\oplus m$，密钥过长。

2. 准一次一密：设 $G$ 是 PRG，$Enc(s,m)=G(s)\oplus m$，密钥不可重用。可以证明它是单消息 IND 的，归约到 PRG 与 $U_n$ 的计算不可区分上。如果询问两次 $(m_0,m_1),(m_0^{\prime },m_1^{\prime })$，其中 $m_0\oplus m_1\ne m_0^{\prime }\oplus m_1^{\prime }$，获得 $c,c^{\prime }$，只需计算 $c\oplus c^{\prime }=m_b\oplus m_b^{\prime }$ 便可识别 $b$，因此不是多消息 IND 的。

3. 若 PRF 存在，那么多消息 IND 的私钥加密方案存在。设 { F s } \{F_s\} {Fs​} 是 PRF。加密时随机选取 $r$，令
   $$Enc(s,m)=(r,F_s(r)\oplus m)$$

   那么 $\Pi$ 是多消息密文不可区分的。归约时，分别证明 $F_s(r)\oplus m$ 与 $R{F}_n(r)\oplus m$ 计算不可区分，$R{F}_n(r)\oplus m$ 与 $U_n\oplus m$ 计算不可区分， $U_n\oplus m$ 与 $U_n$ 统计不可区分，于是 $Exp{t}_{A,\Pi }^{IND}(1^n,U_1)$ 的优势 $Adv$ 可忽略。

4. 任意单消息 IND 的私钥加密方案，都可以利用 PRF 提升到多消息 IND。设 ${\Pi }^{\prime }$ 是 IND 的， { f k } \{f_k\} {fk​} 是 PRF。加密时随机选取 $r$，令
   $$Enc(k,x)=(r,En{c}^{\prime }(f_k(r),x))$$

   那么 $\Pi$ 是多消息 IND 的。

5. 单消息 IND 的私钥加密方案存在 $⟺$ OWF 存在。令 $\Pi$ 是安全的加密方案，那么 { E n c k } k ∈ K \{Enc_k\}_{k \in K} {Enck​}k∈K​ 就是 OWF。

6. 若 PRF 存在，那么 IND-CPA 的私钥加密方案存在。第 3 条的 $Enc(s,m)=(r,F_s(r)\oplus m)$ 的构造，就是 IND-CPA 的（自然也是 IND-Multiple 的），PRF + One time pad -> IND-CPA。归约证明时，用 $R{F}_n$ 替换 $F_n$，得到的方案是 IND-CPA 的。如果使用 $F_n$ 时它不是 IND-CPA 的，那么就可以区分 $F_n,R{F}_n$

7. 若 PRF 存在，任意 IND 的私钥加密方案都可以提升到 IND-CPA。第 4 条的 $Enc(k,x)=(r,En{c}^{\prime }(f_k(r),x))$ 的构造，就是 IND-CPA 的，PRF + IND -> IND-CPA。

8. 若 PRF 存在，那么是 IND-CCA1 但不是 IND-CCA2 的私钥加密方案存在。第 3 条的 $Enc(s,m)=(r,F_s(r)\oplus m)$ 的构造，是 IND-CCA1 的，但不是 IND-CCA2 的。CCA1 安全的证明，与第 6 条类似。不是 CCA2 安全的，可以构造敌手，挑战 $(x_0,x_1)$ 获得 $c=(r,\sigma =f_k(r)\oplus x_b)$，然后随机选择 ${\sigma }^{\prime }\ne \sigma$ 并以 $(r,{\sigma }^{\prime })$ 询问解密 Oracle（强制 one time pad 密钥重用），得到 $x’={\sigma }^{\prime }\oplus f_k(r)$，于是异或可得 $x=\sigma \oplus (x^{\prime }\oplus {\sigma }^{\prime })$，从而以概率 $1$ 区分 $b$

9. 若 PRF 存在，那么 IND-CCA2 安全的私钥加密方案存在。设 { F n } , { F n ′ } \{F_n\},\{F_n'\} {Fn​},{Fn′​} 是 PRF，抽样 $F_k,F_{k^{\prime }}^{\prime }$（前者为 one time pad，后者为 MAC）。加密时随机选择 $r$，计算
   $$En{c}_{sk}(x)=(r,f(k,r)\oplus x,f^{\prime }(k^{\prime },(r,f(k,r)\oplus x)))=(r,c,t)$$

   解密时，先判断 $t\stackrel{?}{=}{f}^{\prime }(k^{\prime },(r,c))$，不满足则解密失败，从而阻止敌手利用一个合法密文做出另一个合法密文（敌手必须拥有明文的知识，才可以做出合法密文）。归约时，如果不是 IND-CCA2 的，那么要么 $(r,f(k,r)\oplus x)$ 不是 IND-CCA1 的，要么 { F n ′ } \{F_n'\} {Fn′​} 不是 PRF。

公钥

1. 若 trapdoor OWP 存在，那么 IND 的公钥加密方案存在。设 { f e , f d − 1 } \{f_e,f_d^{-1}\} {fe​,fd−1​} 是单向陷门置换，$B(x)$ 是其硬核。加密时随机选取 $x\leftarrow Simple(e)$，令
   $$Enc(e,\sigma )=(f(e,x),B(x)\oplus \sigma )$$

   此方案 $\Pi$ 是 IND 的（因为是公钥系统，它同时也是多消息 IND 的）。令 ${\sigma }_0=0,{\sigma }_1=1$，归约时 $A^{\prime }$ 为 $A$ 提供 $(e,Y,\alpha \leftarrow U_1)$，假设 $A$ 在输入 $(e,Y,B(X))$ 时输出 $b=0$ 的概率，比在输入 $(e,Y,\overline{B}(X)=B(x)\oplus 1)$ 时输出 $b=0$ 的概率要显著的大，由于 $\alpha =B(X)\oplus b$，因此 $A^{\prime }$ 输出 $b\oplus \alpha$ 作为对 $B(X)$ 的回应。

2. 更高效的 IND 的公钥加密方案：设 { f e , f d − 1 } \{f_e,f_d^{-1}\} {fe​,fd−1​} 是单向陷门置换，$B(x)$ 是其硬核。加密时随机选取 $x_0\leftarrow Simple(e)$，类似 PRG 的构造，
   $$x_{j+1}=f(e,x_j),{\tau }_j=B(x_j)\oplus {\sigma }_j$$

   输出 $Enc(e,\sigma )=(x_l,{\tau }_0\cdots {\tau }_{l-1})$，其中 $|\sigma |=l$。归约中把 $c_0,c_1$ 计算不可区分，转化为 $G(x_0),U_t$ 计算不可区分，然后类似 PRG 的证明，使用混合技术。

3. 若 trapdoor OWP 存在，那么 IND-CPA 的公钥加密存在。第 1 条的 $Enc(e,\sigma )=(f(e,x),B(x)\oplus \sigma )$ 的构造，就是 IND-CPA 的（自然是 IND–Multiple 的），trapdoor OWP + One time pad -> IND-CPA。这不是 IND-CCA2 的，敌手发送挑战 $({\sigma }_0=0,{\sigma }_1=1)$ 获得回应 $(y,c)$，以 $(y,c\oplus 1)$ 询问解密预言机得到 ${\sigma }^{\prime }$，比较 ${\sigma }^{\prime }\oplus 1={\sigma }_b$ 从而区分出 $b$。它不一定是 IND-CCA1 的，除非 { F n , F n − 1 } \{F_n,F_n^{-1}\} {Fn​,Fn−1​} 是 strong OWF。

4. 若 NIZKP 存在，那么 IND 的公钥加密方案可以提升到 IND-CCA1、IND-CCA2。这里的 NIZKP 用于约束敌手确实知道某密文的明文知识，从而解密预言机对敌手无帮助。定义双加密的关系（确保敌手知道随机带 $s_0,s_1$ 的知识）
   R = { ( ( e 0 , e 1 , c 0 , c 1 ) , ( x , s 0 , s 1 ) ) :   c 0 = E n c e 0 ( x ; s 0 ) ,   c 1 = E n c e 1 ( x ; s 1 ) } R=\{ ((e_0,e_1,c_0,c_1),(x,s_0,s_1)):\, c_0=Enc_{e_0}(x;s_0),\, c_1=Enc_{e_1}(x;s_1) \} R={((e0​,e1​,c0​,c1​),(x,s0​,s1​)):c0​=Ence0​​(x;s0​),c1​=Ence1​​(x;s1​)}

   令 $<P,V>$ 是 NIZKP 的双方，$r$ 是 CRS。调用 IND 的 ${\Pi }^{\prime }$ 的 $Ge{n}^{\prime }$ 两次，公钥是 $(e_0,e_1,r)$，私钥是 $(d_0,d_1,r)$，加密过程中选择随机数 $s_0,s_1$，计算
   c 0 = E n c e 0 ( x ; s 0 ) c 1 = E n c e 1 ( x ; s 1 ) π ← P ( ( e 0 , e 1 , c 0 , c 1 ) , ( x , s 0 , s 1 ) , r )

   $$\begin{aligned} &c_0 = Enc_{e_0}(x;s_0)\\ &c_1 = Enc_{e_1}(x;s_1)\\ &\pi \leftarrow P((e_0,e_1,c_0,c_1),(x,s_0,s_1),r) \end{aligned}$$ ​c0​=Ence0​​(x;s0​)c1​=Ence1​​(x;s1​)π←P((e0​,e1​,c0​,c1​),(x,s0​,s1​),r)​

   输出 $En{c}_{pk}(x)=(c_0,c_1,\pi )$，在解密时先验证 $V(\pi ,(e_0,e_1,c_0,c_1),r)=1$，然后再解密 $x=De{c}_{d_0}^{\prime }(c_0)=De{c}_{d_1}^{\prime }(c_1)$

5. RO 模型下，基于单向陷门置换和 IND 安全的对称加密方案，高效的 IND-CPA 公钥加密方案。令 $H$ 是 Hash 函数（归约时被 Random Oracle 取代）， { F n , F n − 1 } \{F_n,F_n^{-1}\} {Fn​,Fn−1​} 是 trapdoor OWP，${\Pi }^{\prime }$ 是 IND 的私钥加密方案，加密时随机选择 $x$，计算
   $$y=F(pk,x),k^{\prime }=H(x)$$

   输出 $Enc(pk,m)=(y,En{c}^{\prime }(k^{\prime },m))$，除了计算 $k^{\prime }$ 速度较慢，执行对称加密 $Enc(k^{\prime },m)$ 时速度很快。归约时，要么 OWP 被求逆，要么 Priv-IND 被区分。

6. RO 模型下，基于单向陷门置换和 IND-CCA 安全的对称加密方案，高效的 IND-CCA 公钥加密方案。与第 5 条完全相同，除了将 ${\Pi }^{\prime }$ 提升为 IND-CCA 的私钥加密方案。

7. RSA 方案：简单输出 $Enc(e,x)=x^e(\mathrm{m}\mathrm{o}\mathrm{d}N)$，确定性加密算法，不是 IND 的。

8. Padded RSA 方案：对于 $|x|=l$，随机选择 r ∈ { 0 , 1 } ∣ N ∣ − l − 1 r \in \{0,1\}^{|N|-l-1} r∈{0,1}∣N∣−l−1，设置 $Enc(e,x)=(r\Vert x{)}^e(\mathrm{m}\mathrm{o}\mathrm{d}N)$。在 RSA 假设下，如果 $l=O(\log N)$，这是 IND-CPA 的。

9. ElGamal 方案：私钥 $d=x$，公钥 $e=(G,q,g,h=g^x)$，$Enc(e,x)=(g^r,h^r\cdot m)$，$Dec(d,c)=c_2/c_1^x$。在 DDH 假设下，这是 IND-CPA 的。归约过程中，将 $(g,g^x,g^y,g^z)$ 转化为 $c=(g^y,g^z\cdot m_b)$，我们认为 $g^z\ne g^{xy}$ 时 $c$ 就是真随机数。

10. Gramer-shoup 方案：循环群 $G$ 随机元 $g_1,g_2$，令 $d=g_1^{x_1}{g}_2^{x_2},f=g_1^{y_1}{g}_s^{y_2},h=g_1^z$，设置私钥 $(x_1,x_2,y_1,y_2,z)$，公钥 $(g_1,g_2,d,f,h)$，加密时先生成随机数 $r$，然后计算
    $$\begin{gathered} u_1=g_1^r,u_2=g_2^r,e=h^r\cdot m \\ \alpha =H(u_1,u_2,e),v=d^r{f}^{r\alpha } \end{gathered}$$
    输出 $En{c}_{pk}(m)=(u_1,u_2,e,v)$，解密时先验证 $v=u_1^{x_1+y_1\alpha }{u}_2^{x_2+y_2\alpha }$，然后才解密 $m=e/u_1^z$
    这是 ElGamal + NIZKP 的形式，确保敌手知道随机带 $r$ 的知识。设 $H$ 是 Hash 函数（ZKP 的无偏挑战发生器），在 DDH 假设下，它是 IND-CCA2 的。归约时，$A^{\prime }$ 将 $(g_1,g_2,u_1,u_2)$ 转化为 $pk=(g_1,g_2,d,f,h^{\prime }=g_1^{z_1}{g}_2^{z_2})$ 交给 $A$，如果 ${\log }_{g_1}{u}_1={\log }_{g_2}{u}_2$ 那么 $h^{\prime }\equiv h$ 同分布，如果 ${\log }_{g_1}{u}_1\ne {\log }_{g_2}{u}_2$ 那么对于任意的 $m$ 总存在 $(z_1,z_2)$ 使得 $e=(h^{\prime }{)}^r\cdot m$（完美保密的，$A$ 区分优势为 $0$）。

11. ROM 下基于 CDH 和 Priv-IND 的 IND-CPA 公钥加密方案：$pk=(g,g^x),sk=x$，加密为 $En{c}_{pk}(m)=(g^r,En{c}^{\prime }(H(h^r),m))$

Signature

1. 分块签名：设 ${\Pi }^{\prime }$ 是长度为 $l$ 的签名方案，构造一般签名方案 $\Pi$ 如下：

   • 将 $m$ 分成 $t$ 块 $m_1\Vert \cdots \Vert m_t$，其中 $|m_i|=l/4$，可能需要 Padding $10^{\ast }$
   • 随机选择 $r\leftarrow U_{l/4}$，计算 ${\sigma }_i=Sig{n}_{sk}^{\prime }(r,t,i,m_i)$，输出 $Sig{n}_{sk}(m)=(r,t,{\sigma }_1,\cdots ,{\sigma }_t)$

   归约很简单，一旦给出 $\Pi$ 的伪造，那么就有一个 ${\sigma }_i$ 是对 ${\Pi }^{\prime }$ 的伪造。

2. 基于 CRHF 将长度受限签名方案，扩展到一般签名方案。设 { H s } \{H_s\} {Hs​} 是 CRHF，${\Pi }^{\prime }$ 是长度受限的签名方案，那么令 $sk=(s,s{k}^{\prime }),vk=(s,v{k}^{\prime })$，签名算法为
   $$Sig{n}_{sk}(m)=Sig{n}_{s{k}^{\prime }}^{\prime }(H_s(m))$$

   归约时，$A^{\prime }$ 成功，仅当 $A$ 成功且 $H_s$ 没发生碰撞。于是 $Pr[Exp{t}_A=1]\le Pr[Exp{t}_{A^{\prime }}=1]+Pr[Coll]$，若 $\Pi$ 不安全，则 ${\Pi }^{\prime },H_s$ 至少有一个被攻破。

3. 基于抗第二原像 Hash 函数（SPRHF）将长度受限签名方案，扩展到一般签名方案。将 $H_s$ 在签名时才随机选择，可降低要求。签名算法为
   $$Sig{n}_{sk}(m)=(Sig{n}_{s{k}^{\prime }}^{\prime }(H_s(m)),s),s\leftarrow I(1^{\lambda })$$

   类似的，$A^{\prime }$ 成功，仅当 $A$ 成功且 $H_s$ 没被找到第二原像。

4. 若 OWF / CRHF 存在，那么安全的 one-time 签名方案存在。设 $f$ 是 OWF，随机选择 $sk\in U_d^{2\times l}$，计算 $vk=[f(s{k}_{ij}){]}_{ij}$，签名算法为
   $$Sigm(sk,m)=(s{k}_{m_1,1},s{k}_{m_2,2},\cdots ,s{k}_{m_l,l})$$

5. 更高效的 one-time 签名方案：使用 PRG 缩短签名密钥，使用 Hash 函数缩短消息长度。

6. 若安全的 one-time 签名方案存在，那么 EUF-CMA 的签名方案存在。

   • 链式记忆依赖签名：令 ${\Pi }^{\prime }$ 是一次签名方案，签署 $j$ 个消息后，简记 ${\eta }_j=Sig{n}_{s{k}_j}^{\prime }(m_j,v{k}_{j+1})$，状态为
     $$state=(s{k}_2,(m_1,v{k}_2,{\eta }_1))\Vert \cdots \Vert (s{k}_{j+1},(m_j,v{k}_{j+1},{\eta }_j))$$

     签署第 $j+1$ 个消息时，先 $(s{k}_{j+2},v{k}_{j+2})\leftarrow Gen(1^{\lambda })$，然后计算 ${\eta }_{j+1}$，并在签名中加上 $O(j)$ 的 history，
     $$\sigma =(m_1,v{k}_2,{\eta }_1)\Vert \cdots \Vert (m_j,v{k}_{j+1},{\eta }_j)\Vert (m_{j+1},v{k}_{j+2},{\eta }_{j+1})$$

     设置 $state=state\Vert (s{k}_{j+2},(m_{j+1},v{k}_{j+2},{\eta }_{j+1}))$

   • 二叉树记忆依赖签名：

     • 把链式结构变为二叉树：每个节点 node 上记录自己的公私钥 $s{k}_{node},v{k}_{node}$ 和 $Sign(s{k}_{node},m_{node},v{k}_{node.L},v{k}_{node.R})$，签名中含有 $O(\log j)$ 的 history。随着签名数量增加，状态树越来越深。

     • 分离消息签名和密钥认证：预设二叉树深度 $L$，每个中间节点 node 上记录自己的公私钥 $s{k}_{node},v{k}_{node}$ 和 $Sign(s{k}_{node},v{k}_{node.L},v{k}_{node.R})$，每个叶子节点上的公私钥 $s{k}_{node},v{k}_{node}$ 用于签名验签。签名中不含签名历史，含有 $O(L)$ 个认证。可以动态生成叶子。

   • 一般的二叉树签名：为了不维护状态，需要使用 PRF 来重构确定的随机状态。生成 $sk=(s{k}^{\prime },s),vk=v{k}^{\prime }$，对于每个中间节点 node 计算随机带 $r=f_s(node),r_0=f_s(node.L),r_1=f_s(node.R)$（这里的 $r$ 是有必要固定下来的，因为 ${\Pi }^{\prime }$ 是 one-time 的，同样的消息和不同的随机带，可视作不同的消息），然后
     $$\begin{gathered} (s{k}_{node.L},v{k}_{node.L})\leftarrow Ge{n}^{\prime }(1^{\lambda };r_0) \\ (s{k}_{node.R},v{k}_{node.R})\leftarrow Ge{n}^{\prime }(1^{\lambda };r_1) \\ {\eta }_{node}=Sig{n}^{\prime }(s{k}_{node},(v{k}_{node.L},v{k}_{node.R});r) \\ aut{h}_{node}=(v{k}_{node.L},v{k}_{node.R},{\eta }_{node}) \end{gathered}$$

     最后到达一个未使用过的叶子 leaf，输出 $Sig{n}_{sk}(m)=(leaf,aut{h}_{root},\cdots ,aut{h}_{leaf.parent},Sig{n}^{\prime }(s{k}_{leaf},m))$

7. 若 EUF-CMA 的非确定性签名方案存在，那么 EUF-CMA 的确定性签名方案存在。设 ${\Pi }^{\prime }$ 是 $Sign(sk,m;U_n)$ 的非确定性签名，令 { F n } n \{F_n\}_n {Fn​}n​ 是 PRF，构造 $\Pi$ 中的确定性签名为 $Sign(sk,m,F_k(m))$。归约时，先构造 ${\Pi }^{\prime \prime }$ 为 $Sign(sk,m;f(m))$，先证明 $\Pi \stackrel{c}{\equiv }{\Pi }^{\prime \prime }$（因为 $F_n\stackrel{c}{\equiv }R{F}_n$ ），再将 ${\Pi }^{\prime }$ 归约到 ${\Pi }^{\prime \prime }$ 上（类似 RO，使用一个字典 $Q_S$ 记录第一次对 $m_i$ 的签名结果 $Q_S[m_i]=Sign(sk,m_i;r)$，后续的 $m_j=m_i$ 的询问使用 $Q_S[m_j]$ 来回应）

8. 安全的签名方案存在 $⟺$ OWF 存在。设 $\Pi$ 是安全签名方案，那么 $f(sk,m,Sig{n}_{sk}(m;r),r)=(m,Sig{n}_{sk}(m;r))$ 就是 OWF。

9. ROM 下，基于 trapdoor OWP 的签名方案：设 { F s , F s − 1 } \{F_s,F_s^{-1}\} {Fs​,Fs−1​} 是单向陷门置换， H : { 0 , 1 } ∗ → { 0 , 1 } l H:\{0,1\}^* \to \{0,1\}^l H:{0,1}∗→{0,1}l 是随机预言机，那么签名算法为
   $$Sig{n}_{sk}(m)=F^{-1}(sk,H(m))$$

   归约思路：单向性 $<$ 交互单向性 $<$ ROM 下不可伪造性。

10. RSA 方案：很简单，签名就是 $Sign(d,m)=m^d(\mathrm{m}\mathrm{o}\mathrm{d}N)$，验签 $m\stackrel{?}{=}{\sigma }^e(\mathrm{m}\mathrm{o}\mathrm{d}N)$

11. Hashed RSA 方案：令 $H$ 是 RO，$vk=(e,s),sk=(d,s)$，签名变为 $Sig{n}_{sk}(m)=h_s(m{)}^d(\mathrm{m}\mathrm{o}\mathrm{d}N)$

12. Probabilistic RSA 方案：签名时先随机选取 $r$，然后计算 $Sig{n}_{sk}(m)=h_s(r\Vert m{)}^d(\mathrm{m}\mathrm{o}\mathrm{d}N)$

13. ElGamal 方案：设 $H$ 是 CRHF，设置 $sk=x,vk=(p,g,y=g^x)$，签名
    $$Sig{n}_{sk}(m)=\left(r=g^k(\mathrm{m}\mathrm{o}\mathrm{d}p),s=(H(m)-xr)k^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}p-1)\right)$$

    验签 $Ve{r}_{vk}(m,(r,s))=1⟺y^r{r}^s=g^{H(m)}(\mathrm{m}\mathrm{o}\mathrm{d}p)$

MAC

1. 若 PRF 存在，那么 EUF-CMA 的长度受限的 MAC 存在。令 { F k : { 0 , 1 } l → { 0 , 1 } t } \{F_k:\{0,1\}^l \to \{0,1\}^t\} {Fk​:{0,1}l→{0,1}t} 是PRF，那么 $Mac(k,m)=F_k(m)$。安全归约时，伪造 $(m,tag)$ 就是对 $F_k(m)$ 的预测。

2. 若长度受限的 MAC 存在，那么任意长度的一般 MAC 存在。类似签名的扩展方案，分块、CRHF、SPRHF。

3. Enc-and-MAC 是 INT-PTXT 的，不是 IND-CPA 的，不是 INT-CTXT 的。由于 MAC 是确定性函数，因此 CPA 下两个不同消息的密文很容易区分，只需调用一次加密 Oracle 即可。MAC 没作用在密文上，IND-CPA 的加密方案不满足 INT-CTXT。安全的 MAC 本身就是 INT-PTXT 的。

4. MAC-then-Enc 是 IND-CPA 的，是 INT-PTXT 的，但不是 INT-CTXT 的。内层是安全的 MAC，因此明显是 INT-PTXT 的。最外层是 IND-CPA 的加密方案，因此明显是 IND-CPA 的。然而，假设密文形如 $(r,c,d)$，其中 $d$ 是冗余项不参与解密运算，那么构造 $(r,c,d^{\prime }\ne d)$ 就得到了一个伪造的密文。

5. Enc-then-MAC 是 IND-CCA2 的，且是 INT-PTXT / INT-CTXT 的。由于密文上 MAC 的不可伪造性，使得敌手无法从解密预言机中获取知识，因此 CPA 等价于 CCA2。