現代密碼學3.3--偽隨機生成器/PRG

• PRG
• 歸約證明
• 基于PRG構造計算安全（唯密文攻擊）的密碼方案
• • 構造密碼方案$\Pi$
  • 基于PRG，證明密碼方案$\Pi$的計算安全

博主正在學習INTRODUCTION TO MODERN CRYPTOGRAPHY (Second Edition) --Jonathan Katz, Yehuda Lindell，做一些筆記供自己回憶，如有錯誤請指正。整理成一個系列現代密碼學，方便檢索。

• 第二章定義的完美安全是一種理論上的討論，而第三章需要定義的計算安全是一種更偏向實際需求的討論。
• 3.1節討論了定義計算安全的兩種方法，3.2節討論了什么是計算安全。1.4節介紹了現代密碼的三大原則：定義+假設+安全性證明，現在定義了計算安全，還需要有一個假設，才能構造能夠進行安全性證明的密碼方案，
• 所以3.3節：
  • 介紹一個常見的假設工具：偽隨機生成器/pseudorandom generator/PRG，
  • 如何基于困難問題來構造密碼方案
  • 以及基于PRG(困難問題)構造密碼方案的實例。

PRG

• 原因：生成真隨機比特是難的且慢的
• 過程：“短的、均勻的”字符串(seed) 生成 “長的，看起來均勻的”字符串
• 定義原因：需要進行統計測試確定PRG的合理性，但多少次測試足以保證呢？（不知道多少次，所以需要嚴格定義

定義
$l$是一個多項式，$G$是一個確定性多項式算法，對于輸入$s\in \{0,1{\}}^n$，$G(s)$輸出長度為$l(n)$的字符串。如果$G$滿足以下兩個性質，則稱為PRG。

• 拓展性：$l(n)>n,?n$（如果$l(n)\le n$，則沒有用PRG的意義，直接用真隨機就可以滿足，$l$被稱為$G$的擴張因子）
• 偽隨機性：對于任意PPT敵手$D$，都有可忽略函數$negl$滿足$|Pr[D(G(s))=1]?Pr[D(r)=1]|\le negl(n),r\in \{0,1{\}}^{l(n)}$均勻隨機。

暴力破解可以區分偽隨機和真隨機，但這并不影響偽隨機的合理性。不過這告訴我們seed需要足夠長，不會被遍歷，通常選|seed|=安全參數

歸約證明

歸約思想：如果存在PPT敵手$\mathcal{A}$以不可忽略的概率$?$攻破密碼方案，則構造PPT敵手${\mathcal{A}}^{\prime }$調用$\mathcal{A}$，可以解決困難問題；因為假設問題是困難的，所以推出矛盾。

歸約過程

• 找到PPT敵手$\mathcal{A}$，嘗試攻破密碼方案$\Pi$，成功概率為$?(n)$
• 構造PPT敵手${\mathcal{A}}^{\prime }$，嘗試解決困難問題X，調用$\mathcal{A}$作為子線程。如果$\mathcal{A}$攻破密碼方案$\Pi$，則${\mathcal{A}}^{\prime }$以$1/p(n)$概率解決困難問題實例x。
• ${\mathcal{A}}^{\prime }$以$?(n)/p(n)$概率解決困難問題X
• 如果$?$不可忽略，則$?(n)/p(n)$不可忽略；這與X是困難問題不符，矛盾推出$\mathcal{A}$攻破密碼方案$\Pi$的概率$?$一定是可忽略的，則密碼方案$\Pi$一定是計算安全的。
  

基于PRG構造計算安全（唯密文攻擊）的密碼方案

構造密碼方案$\Pi$

$G$是一個擴張因子為$l$的偽隨機生成器，是確定性算法

• Gen：安全參數$n$，種子$k\in \{0,1{\}}^n$作為密鑰
• Enc：基于密鑰$k\in \{0,1{\}}^n$和明文$m\in \{0,1{\}}^{l(n)}$，輸出密文$c:=G(k)\oplus m$
• Dec：基于密鑰$k\in \{0,1{\}}^n$和密文$c\in \{0,1{\}}^{l(n)}$，輸出明文$m:=G(k)\oplus c$

基于PRG，證明密碼方案$\Pi$的計算安全

• 要證：對于任意PPT敵手$\mathcal{A}$，存在一個可忽略函數$negl$使得$Pr[Priv{K}_{\mathcal{A},\Pi }^{eav}(n)=1]\le \frac{1}{2}+negl(n)$，
• 思路：通過調用$\mathcal{A}$作為子程序，構造PPT敵手$D$，用$D$去區分偽隨機$G$和真隨機；如果$\mathcal{A}$能以不可忽略概率攻破方案$\Pi$，則$D$能區分偽隨機和真隨機，這與偽隨機的定義不符，矛盾。

構造$D$，有一個輸入$w\in \{0,1{\}}^{l(n)}$

• $D$調用$\mathcal{A}(1^n)$，獲得明文$m_0,m_1\in \{0,1{\}}^{l(n)}$
• 加密者任選一個$b\in \{0,1\}$，輸出密文$c:=w\oplus m_b$給$D$
• $D$將密文$c$傳給$\mathcal{A}$，得到$b^{\prime }$。如果$b^{\prime }=b$，則輸出1，否則輸出0。

密碼方案$\overline{\Pi }$是標準的一次一密加密方案/one-time pad，$Pr[Priv{K}_{\mathcal{A},\overline{\Pi }}^{eav}]=\frac{1}{2}$。

• 如果$w\in \{0,1{\}}^{l(n)}$是真隨機的，則$P{r}_{w\leftarrow \{0,1{\}}^{l(n)}}[D(w)=1]=Pr[Priv{K}_{\mathcal{A},\overline{\Pi }}^{eav}]=\frac{1}{2}$
• 如果$w$是通過隨機種子$k\in \{0,1{\}}^{l(n)}$和PRG $G$生成的$w:=G(k)$，則$P{r}_{w\leftarrow \{0,1{\}}^{l(n)}}[D(G(k))=1]=Pr[Priv{K}_{\mathcal{A},\Pi }^{eav}]$

PRG定義推出密碼方案計算安全

• PRG定義：$P{r}_{w\leftarrow \{0,1{\}}^{l(n)}}[D(w)=1]?P{r}_{w\leftarrow \{0,1{\}}^{l(n)}}[D(G(k))=1]\le negl(n)$
• $|\frac{1}{2}?Pr[Priv{K}_{\mathcal{A},\Pi }^{eav}]|\le negl(n)$

則我們有$Pr[Priv{K}_{\mathcal{A},\Pi }^{eav}]\le \frac{1}{2}+negl(n)$

總結

以上是生活随笔為你收集整理的现代密码学3.3--伪随机生成器/PRG的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。