當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

现代密码学3.7--CCA安全

發布時間：2025/3/21 编程问答 15 豆豆

生活随笔收集整理的這篇文章主要介紹了现代密码学3.7--CCA安全小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

現代密碼學3.7--CCA安全

CCA安全
- 含oracle的實驗過程 $PrivKA,Πcca(n)PrivK^{cca}_{\mathcal{A},\Pi}(n)$
- CCA安全定義
對不滿足CCA安全的密碼方案的攻擊
- 簡單例子：對基于PRF構造的密碼方案的攻擊
- 復雜例子：對CBC的攻擊，padding-oracle
- - 求出 $b$
  - 求出 $m$ 的每一位

博主正在學習INTRODUCTION TO MODERN CRYPTOGRAPHY (Second Edition) --Jonathan Katz, Yehuda Lindell，做一些筆記供自己回憶，如有錯誤請指正。整理成一個系列現代密碼學，方便檢索。

第二章定義了完美安全及其對應的密碼方案“一次一密”，
第三章3.1、3.2定義了計算安全，3.3介紹了PRG和基于PRG構造的滿足計算安全的密碼方案；
3.4節定義了CPA安全，3.5節介紹了PRF和基于PRF構造的滿足CPA安全的密碼方案，3.6節介紹了PRG和PRF構造的流密碼和分組密碼；
3.7節
- 將介紹一種新的安全性：CCA安全，這種安全性是之前我們構造的密碼方案都不滿足的，non-malleability/不可延展性是滿足CCA安全的必要條件；
- 并以CBC分組密碼為例，表示對于這種不滿足CCA安全的密碼方案，可以進行怎樣的攻擊。

CCA安全

跟CPA安全很類似，除了encryption oracle外，多了decryption oracle，只有一個要求：不能問oracle跟挑戰密文一樣的密文。

含oracle的實驗過程 $PrivKA,Πcca(n)PrivK^{cca}_{\mathcal{A},\Pi}(n)$

敵手 $A\mathcal{A}$ 已知安全參數 $1^n$ ，有一個連接 $Enck(?)Enc_k(\cdot)$ 的oracle和連接 $Deck(?)Dec_k(\cdot)$ 的oracle，輸出等長明文 $m_0,m_1$ 給加密者；
加密者任選 $b∈{0,1}b\in\{0,1\}$ ，輸出密文 $c←Enck(mb)c\leftarrow Enc_k(m_b)$ 給敵手 $A\mathcal{A}$ ， $c$ 是挑戰密文；
敵手 $A\mathcal{A}$ 在獲得 $c$ 后，仍有一個連接 $Enck(?)Enc_k(\cdot)$ 的oracle和連接 $Deck(?)Dec_k(\cdot)$ 的oracle（可以根據 $c$ 調整，繼續查詢），輸出猜測的 $b^{'}$ ；
如果 $b^{'} = b$ 輸出1，否則輸出0。

CCA安全定義

私鑰加密方案 $Π=(Gen,Enc,Dec)\Pi=(Gen,Enc,Dec)$ 如果對于任意PPT敵手 $A\mathcal{A}$ ，都有一個可忽略函數negl滿足 $Pr[PrivKA,Πcca(n)=1]≤12+Pr[PrivK_{\mathcal{A},\Pi}^{cca}(n)=1]\le \frac{1}{2}+$ negl $(n)$ ，則稱該方案 $Π\Pi$ 在選擇明文攻擊下有不可區分的加密，是滿足CCA安全的。

安全性：多次加密的CCA安全=單次加密的CCA安全。

對不滿足CCA安全的密碼方案的攻擊

簡單例子：對基于PRF構造的密碼方案的攻擊

根據3.5節構造基于PRF的密碼方案 $Π\Pi$ $m_0=0^n$ ， $m_1=1^n$ ， $Enck(m)=<Fk(r)⊕m>Enc_k(m)=<F_k(r)\oplus m>$ ， $c = < r, s >$
如果修改 $c$ 的第一個比特 $s$ ，記作 $c^{'}$ ；
因為 $c≠c′c\neq c'$ ，所以可以問decryption oracle；得到 $10^{n-1}$ 或者 $01^{n-1}$ ，那么就可以判斷是 $m_0$ 還是 $m_1$ ，這不滿足CCA安全。

所以，滿足CCA安全的密碼方案的必要條件是不可延展性：如果敵手修改一個給定密文，結果是一個無效密文或者解密得到一個與原始明文完全無關的明文。

復雜例子：對CBC的攻擊，padding-oracle

$L$ ：塊長度
$b$ ：需要被填充的字節數， $b≠0b\neq 0$ ，如果已經是不需要填充，則填充 $L$ 個字節，有 $1≤b≤L1\le b\le L$
填充規則：如果需要填充1個字節，則填 $01$ ；如果需要填充4個字節，則填 $04040404$ ；如果需要填充 $b$ 個字節，則填 $b$ 個 $0 b$
加密：對明文 $m$ 填充至 $L$ 的倍數，對填充后的信息進行CBC加密
解密：按CBC解密，得到填充后的信息，找到最后一個字節 $0 b$ ，
- 如果后 $b$ 個都是 $0 b$ ，刪去這 $b$ 個 $0 b$ ，得到原始明文；
- 如果后 $b$ 個不都是 $0 b$ ，則不符合填充規則，返回"bad padding" error。
- 根據這兩種不同的返回，我們可以求出 $b$ ，進而求出明文信息的每一位。這種decryption oracle被稱為padding-oracle，對于不滿足CCA安全的CBC分組加密模式可以進行攻擊。

以3-block為例： $IV,c_1,c_2$ ，每個block長度為 $L$ ，解密 $m2=Fk?1(c2)⊕c1m_2=F_k^{-1}(c_2)\oplus c_1$ ， $c_1$ 改變則 $m_2$ 會相應改變

求出 $b$

本來解密是正確的，改變 $c_1$ 的第一個字節，如果解密 $m_2$ 返回"bad padding"error，則說明 $c_1$ ( $L$ 長)的第一個字節就屬于padding位（那么后面都屬于padding位），而padding位 $1≤b≤L1\le b\le L$ 最多只有 $L$ 位，那么 $b = L$ ；
同理，如果改變第一個字節解密還是正確的，改變第二個字節返回error，則 $b = L ? 1$ 。

求出 $m$ 的每一位

取 $△i=(0…0∣∣0i∣∣0(b+1)…0(b+1)⊕(0…0∣∣00∣∣0b…0b)\triangle_i=(0…0 ||0i||0(b+1)…0(b+1)\oplus (0…0||00||0b…0b)$ ， $0≤i≤28?10\le i\le 2^8-1$
$m_2$ 的最后一位是 $B 0 b \dots 0 b$
現在修改 $c_1$ 為“ $c1⊕△ic_1\oplus \triangle_i$ ”，則 $m_2$ 最后一位相應改變為 $B⊕i∣∣(b⊕(b+1)…b⊕(b+1)B\oplus i||(b\oplus (b+1)…b\oplus (b+1)$
除非 $B⊕△i=b⊕(b+1)B\oplus \triangle_i=b\oplus (b+1)$ ，解密 $m_2$ 會返回"bad padding" error；
我們只需要遍歷 $i$ ，找到某個 $i$ 使得解密 $m_2$ 不返回"bad padding " error，此時 $B=△i⊕b⊕(b+1)B=\triangle_i \oplus b\oplus (b+1)$ 。
按照求最后一位 $B$ 的方式去求其他位。

總結

以上是生活随笔為你收集整理的现代密码学3.7--CCA安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：初等数论--整除--两数乘积保持整除性
下一篇：现代密码学5.1--哈希函数定义