Generators pseudoaleatorios | CPA Secure Encryption | Alison
Loading
Apuntes
Study Reminders
Support
Text Version

CPA Secure Encryption de PRF

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Foundations de CryptographyProf. Dr. Ashish Choudhury (ex) Fundación Infosys Fundación de Desarrollo Career ProfessorInternational Institute of Information Technology-BangaloreLecture-15CPA Secure Encryption From PRFHello everyone, welcome to conferencie 14. (Consulte Slide Time: 00 :32) El plan para esta conferencia es el siguiente. En esta conferencia vamos a discutir cómo diseñar un cifrado seguro de CPA usando una función pseudo-aleatoria. Y también veremos una prueba de seguridad detallada de esta construcción, porque durante esta prueba de seguridad detallada veremos una plantilla de cómo probar la seguridad de las construcciones basadas en pseudo función aleatoria, que vamos a encontrar repetidamente a lo largo de este curso. También vamos a discutir algunos de los inconvenientes de la CPA seguro de cifrado que vamos a construir a partir de la función pseudoaleatoria, que nos motivará a diseñar lo que llamamos como modos de operaciones de PRF o bloques de cifrado, que vamos a discutir en la próxima conferencia. (Consulte Slide Time: 01 :11) Así que, recordemos primero la definición de seguridad de CPA de mensaje único. Por lo tanto, básicamente este es un juego entre un retador y un adversario donde el adversario está computacionalmente acotado, tenemos un esquema públicamente conocido sobre un espacio de mensajes. Y el nombre del experimento es el único mensaje de indistinguishabilidad del mensaje de CPA. Y básicamente el experimento consta de 4 fases, tienes una fase de entrenamiento pre-desafío, luego la fase de desafío, post desafío formación fase y salida phase.Así, durante la fase de entrenamiento previo al desafío, nuestro adversario está permitido para obtener adaptivamente el servicio de oráculo de cifrado que significa que puede pedir el cifrado de los mensajes que sea de su elección desde el espacio de texto plano. Y puede preguntar sus consultas de manera adaptativa y responder a la pregunta del adversario, la consulta de oráculo, el retador genera una clave al azar uniformemente al ejecutar el algoritmo de generación de claves y encripta todo el texto plano que el adversario ha consultado por usar la clave desconocida k, entonces en la fase de desafío, el adversario somete un par de texto sin formato de desafío, pero la única restricción es que la longitud tiene que ser la misma.Repito aquí que no hay absolutamente ninguna restricción en el mensaje de desafío m0 y m1 que el adversario está sometiendo. Podría ser cualquiera de los mensajes para los que ya podría haber obtenido el servicio de consulta de oracle de cifrado y para diferenciar el par de texto sin formato de reto de las consultas de oracle de cifrado que estoy utilizando diferentes fuentes para denotear el texto sin formato. Ahora para responder al par de texto sin formato de desafío el retador básicamente decide al azar, ya sea para cifrar el mensaje m0 o m1 y encripta algún mensaje mb y el objetivo de la adversidad o el desafío para el adversario es identificar si c * es un cifrado de m0 o m1.Y en realidad le damos al adversario más poder, a saber, después de ver el desafío cifrado c *, le damos al adversario acceso al post-desafío cifrado servicio de oracle donde de nuevo puede de forma adaptable pedir el cifrado de cualquier mensaje de su elección. Y el retador tiene que cifrar todos esos mensajes de nuevo usando la clave desconocida k. Y luego, finalmente, en la fase de salida el adversario decide o da salida si c * es un cifrado de m0 o m1.Y decimos que el proceso de encriptación Π es un solo mensaje es seguro de CPA, si la probabilidad de que cualquier adversario computacionalmente acotado pueda ganar este juego es superior acotado por la mitad más alguna inapreciable función negl (n) en el parámetro de seguridad n o equivalentemente la ventaja distintiva del atacante está limitada por una probabilidad insignificante. Así que esa fue nuestra definición de un mensaje único de seguridad de CPA que habíamos visto en la última conferencia. (Consultar Slide Time: 03 :54) Ahora lo que vamos a hacer es que ahora vamos a diseñar un proceso de encriptación de candidatos que de hecho satisfaga esta noción de seguridad. Así que antes de entrar en la construcción real usando la función pseudo aleatoria por el momento, asumir que tenemos acceso a una función verdaderamente aleatoria. Y primero veamos la construcción de un proceso de cifrado seguro CPA candidato, asumiendo que tenemos acceso a una función verdaderamente aleatoria. La razón por la que realmente estamos viendo este proceso de encriptación segura de CPA usando una función verdaderamente aleatoria es que más adelante cuando veamos la construcción real basada en PRF, la prueba se simplificará. Por lo tanto, considere esta versión del proceso de cifrado que llame a Π que consta de un proceso de cifrado y descifrado del algoritmo de generación de claves. El proceso de generación de claves para este esquema Π es básicamente que produce una función uniformemente aleatoria o una función verdaderamente aleatoria que correlaciona cadenas de bits con cadenas de bits de L. Ese es el algoritmo de generación de claves. Ahora, el algoritmo de cifrado para este esquema de cifrado es el siguiente que toma texto plano de tamaño L bits. Y toma una función verdaderamente aleatoria que estará disponible tanto en el remitente como en el receptor, y será conocido sólo para el remitente y el receptor. Ahora, para cifrar el mensaje m, lo que hace el algoritmo de cifrado es que decide un x uniformemente aleatorio del dominio de la función f, derecha. Y entonces la función realmente aleatoria f se evalúa en esta entrada x para obtener una máscara de longitud L bits que se utiliza realmente para enmascarar el mensaje m, que es el texto de cifrado. Ahora, puede ver que el texto cifrado real es una colección de 2 componentes. Consta de 2 componentes, a saber, el valor x en el que se evalúa la función verdaderamente aleatoria. Y el cifrado real del mensaje que es el enmascaramiento del mensaje con el valor de la función verdaderamente aleatoria evaluada a este valor uniformemente aleatorio x, que es una parte del texto cifrado. Cómo va a suceder el descifrado. Por lo tanto, imagina que el receptor también tiene la misma función verdaderamente aleatoria, y obtiene un texto cifrado que consta de 2 componentes de la parte x y la parte real del texto cifrado. Ahora si usted ve la sintaxis del proceso de cifrado por la propiedad de XOR, se deduce que para recuperar el mensaje m y lo que el receptor básicamente tiene que hacer es calcular el valor de la función realmente aleatoria f en la entrada x, y simplemente XOR de nuevo del componente de texto cifrado del texto cifrado real o el componente c del texto cifrado real. Y eso devolverá el texto plano real m. Así que ese es el algoritmo de descifrado. Ahora, por qué este esquema es ineficiente. La razón por la que el esquema es ineficiente es que tanto el remitente como el receptor tienen que almacenar la descripción de la función realmente aleatoria f. Y si usted imagina una función verdaderamente aleatoria como una tabla de verdad, entonces básicamente tanto el remitente como el receptor tienen que almacenar estos muchos números de bits. Es decir, 2lfilas, cada una de L bits. Así que si L es una función polinómica del parámetro de seguridad esto es exponencialmente grande. Por lo tanto, el almacenamiento sabio tanto el remitente como el receptor tienen que almacenar o realizar una cantidad exponencial de cálculo. Por el momento no se preocupe por esta parte de ineficiencia, analicemos el aspecto de seguridad de este proceso de encriptación. Ahora vamos a demostrar que el esquema es seguro de CPA para encriptar mensajes de L bit. Y la intuición básica de que por qué este proceso de cifrado es CPA seguro es que si usted ve la sintaxis de su proceso de cifrado aquí, cada instancia del proceso de cifrado realmente evalúa la función realmente aleatoria en un x uniformemente aleatorio. Eso significa que mi función f es una función verdaderamente aleatoria, el valor de f en esa x uniformemente aleatoria va a ser una cadena de bits L aleatoria uniforme. Eso significa que cada instancia de un proceso de encriptación que usted puede imaginar como una instancia de una almohadilla de tiempo, que esto sostiene bajo la suposición de que los valores x que realmente estamos usando para el proceso de encriptación, nunca se repite. Esto significa que si utiliza este proceso de cifrado para cifrar el número de mensajes polinómicos, y en el número de instancias de cifrado, el valor x nunca se repite. A continuación, cada instancia de este proceso de cifrado se puede imaginar como una instancia independiente de onetime pad. Y ya habíamos visto que si consideras instancias independientes de una plataforma de tiempo donde la almohadilla que se usa en cada instancia es independiente entre sí, entonces no se puede romper ni siquiera por un adversario computacionalmente sin límites. Eso significa que podemos decir intuitivamente que condicionados en el caso de que los valores de x nunca se repiten en el número polinómico de instancias de este proceso de cifrado. Por lo tanto, este esquema de cifrado es realmente seguro de CPA. Esa es una intuición básica. Ahora, lo que vamos a hacer es que en realidad vamos a formalizar esta intuición rigurosamente a través de nuestro experimento. (Consultar Slide Time: 08:50) Y analizar ese experimento. Por lo tanto, considere cualquier adversario arbitrario A, que quiera participar en una instancia de un único mensaje de seguridad de la CPA contra este proceso de cifrado Π a la derecha. Así que en cuanto a las reglas de los juegos, tenemos 4 fases. (Consultar Slide Time: 09 :05) Entonces en la fase de entrenamiento previo al desafío, nuestro adversario puede pedir el cifrado de cualquier número de mensajes de su elección siempre y cuando esté acotado por alguna función polinómica en el parámetro de seguridad. Así que deje que el adversario pida el cifrado del número de mensajes. Ahora, para responder a estos mensajes, el retador básicamente tiene que cifrar todos esos mensajes según nuestro proceso de cifrado Enc .Así que para hacer eso, va a ejecutar un algoritmo de generación de claves o el algoritmo de generación de funciones, en este caso para ser específico y genera una función verdaderamente aleatoria. Y luego una vez que una función verdaderamente aleatoria está disponible con el retador, va a cifrar todos los mensajes para los que el adversario ha pedido el servicio de oráculo de cifrado, a la derecha. Por lo tanto, cada uno de los textos de cifrado (ci, xi) básicamente cada ciphertext ci básicamente consta de 2 componentes, a saber, un componente x y el cifrado real. Así, el valor x se utiliza realmente para evaluar la función realmente aleatoria para obtener la máscara y luego se XORed con el mensaje real para obtener el componente de texto cifrado. De la misma manera que el adversario de la fase de desafío presentará un par de mensajes dicen m0 y m1 y nuestro retador va a cifrar al azar uno de ellos, denoté el mensaje cifrado mb encriptado para ser la colección de (x*, c *) básicamente x * es el valor x que se utiliza para generar la almohadilla para enmascarar el mensaje mb. Y el enmascaramiento del mensaje mb con la almohadilla es c *, entonces usted tiene la fase de entrenamiento post desafío estamos de nuevo nuestro adversario puede pedir el servicio de oráculo de cifrado para el número polinomio de mensajes. Y de nuevo, usando la misma función desconocida verdaderamente aleatoria que está disponible sólo con el retador, el Challenger va a generar la máscara a saber f (xi) donde xi será la parte del texto cifrado. Y una vez para xi se calcula será XORed con los mensajes para obtener la parte correspondiente del texto cifrado. Y luego tenemos la fase de salida justo donde el adversario básicamente salida si c *, o el desafío cifrado (x*, c *) para ser más específico es un cifrado de m0 o m1, a la derecha. Así que primero hagamos algunos cálculos aquí. Déjenme denotar el número total de consultas, a saber, las consultas previas al desafío y las consultas post-desafío que el adversario ha pedido es Q (n), que va a ser una función polinómica del parámetro de seguridad. Y vamos a probar esta afirmación, a saber, vamos a demostrar que cualquier adversario arbitrario A que es computacionalmente acotado y hace Q (n) número de consultas en una instancia de un único mensaje de seguridad de CPA juego contra el proceso de cifrado Π ’ o Π va a identificar correctamente si el reto cifrado es un cifrado de m0 o m1 con probabilidad a la mayoría 1/2 + (Q (n)/ 2l). Puesto que Q (n) es de alguna función polinómica del parámetro de seguridad ith y suponiendo que l es también una función polinómica del parámetro de seguridad, en general esta cantidad Q (n) /2lis en realidad una cantidad insignificante, a la derecha. Eso significa que en realidad vamos a demostrar que la probabilidad de que cualquier adversario arbitrario A por Q (n) número de consultas gana una instancia de un único mensaje de seguridad de CPA juego es medio más negl (n), lo que demuestra que nuestro proceso de cifrado Π es en realidad un único mensaje CPA seguro. (Consulte Slide Time: 12 :34) Así que vamos a proceder a probar nuestra reclamación. Y lo vamos a demostrar usando varias observaciones que vamos a hacer sobre cualquier instancia de un solo mensaje de seguridad de CPA juego. Por lo tanto, nuestra primera observación es que si consideramos el conjunto de valores x que se utilizan realmente para cifrar el cifrado o las consultas previas al desafío, y los valores x que en realidad son utilizados por el retador para cifrar las consultas de oracle post-desafío, entonces el adversario sabe el valor de la función realmente aleatoria f disponible con el retador en esos x valores, ¿por qué?. Por lo tanto, centrémonos primero en la fase de entrenamiento previo al desafío. Por lo tanto, si considero que ith query right so, ith query es para la encriptación del mensaje mi donde mi es conocido por el adversario. Y en respuesta a eso, el adversario aprende el texto cifrado que es la colección de (xi, ci) valor y adversario conoce la relación entre mi xi ci. Namely adversario sabe que la función desconocida verdaderamente aleatoria f evaluada en el xi conocido está relacionada con el ci y mi por la operación XOR y todo es conocido por el adversario en esta ecuación, excepto la parte f. Entonces, si el adversario conoce la mi parte el adversario conoce la parte de la ci y el adversario conoce la parte xi. Por lo tanto, si el adversario acaba de realizar esta operación, el adversario viene a saber sobre el valor de la función realmente aleatoria f en el xi. Así que es el caso de la fase de consulta pre-desafío o fase de entrenamiento pre-desafío. Y lo mismo se sostiene incluso para la fase de entrenamiento post desafío. Eso significa que si el adversario ha pedido el servicio de oráculo de cifrado para este mensaje mi y en respuesta a ese adversario obtiene el texto cifrado denotado como (xi, ci) entonces que al realizar esta operación, es decir, la realización de la XOR de mi y el adversario de ci aprenderá el valor de la función realmente aleatoria f en la entrada xi derecha. Así que es la primera observación que es fácil de ver. (Consultar Tiempo de Slide: 14 :32) La segunda observación aquí es si usted considera x * valor, es decir, el valor x, que en realidad se utiliza para generar la almohadilla para cifrar el reto, que se utiliza realmente para generar el reto cifrado derecho, entonces si este x * no pertenece al conjunto de los valores x, que se utilizan para cifrar una fase de consulta de pre-desafío, las consultas previas al desafío y las consultas post-desafío, entonces la probabilidad de que la adversidad gana esta instancia de la CPA juego es como máximo 1/2.Y esto es debido al hecho de que si el valor x * que se utiliza realmente para Generar el reto cifrado nunca se ha utilizado en ninguna de las preguntas de fase de entrenamiento de pre-desafío o la consulta de fase de post-desafío, entonces básicamente, si me afeitado esta fase de entrenamiento de pre-desafío y la fase de entrenamiento post-desafío, y si sólo me enfoco en la fase de desafío de este experimento y se reduce a una instancia de un tiempo de prueba de indistinguishabilidad de la almohadilla. Y ya habíamos visto que una almohadilla de tiempo es perfectamente segura incluso contra un adversario computacionalmente sin límites. Así que eso es una prueba que demuestra nuestro segundo derecho de observación. Ahora, la tercera observación que podemos hacer acerca de esta instancia de la CPA juego es que, si el valor x * que se utiliza para generar el desafío cifrado de texto es repetido que significa que pertenece al conjunto de xvalores que se utilizan durante la fase de entrenamiento pre-desafío, o el conjunto de valores x que se utilizan durante la fase de entrenamiento post-desafío, entonces la probabilidad de que el adversario gana este juego es en realidad 1. Esto se debe a que como parte del desafío ciphertext adversario conocerá el valor x, es decir, el valor x *, que se utiliza para generar o cifrar el mensaje mb. Y el adversario también ha visto los valores x utilizados durante la fase de entrenamiento pre-desafío, así como la fase de entrenamiento post desafío. Por lo tanto, al comparar el valor x * con la lista de valores x que tiene el adversario, si ve que x * se está volviendo a repetir, entonces puede identificar fácilmente donde el c * es en realidad un cifrado de m0, o si es un cifrado de m1 realizando esta operación, correcto. Así que esa es nuestra tercera observación. Y la observación más crucial que ahora vamos a hacer es que la probabilidad de que el valor x que se utiliza en el desafío cifrado a saber x * se vuelva a repetir cuando nuestro adversario es hacer Q (n) número de consultas es a lo sumo (Q (n) /2l) derecha. Así que para esto, tenga en cuenta que Q (n) que no es más que el número de consultas que el adversario ha hecho a lo largo de esta instancia del juego de CPA. Y en cada instancia de la consulta cuando el adversario está pidiendo el cifrado de algún mensaje, el valor x que es utilizado por el retador para cifrar ese mensaje se recoge al azar sobre el conjunto de la cadena binaria de bit l, a la derecha. Por lo tanto, la probabilidad de que x * que se utiliza realmente en el desafío, para generar el desafío ciphertextgets repetido en Q (n) número de consultas es por supuesto Q(n) /2l.Así que es nuestro cuarto derecho de observación. Así que basándonos en estas 4 observaciones, formalizemos nuestro argumento de por qué este esquema basado en la función verdaderamente al azar es realmente seguro de CPA. Por lo tanto, que Repetir denotan el evento que el valor x que se utiliza para cifrar el desafío, que se utiliza para generar el desafío cifrado se repite. Esto significa que se utiliza durante una de las consultas de oracle de cifrado previa al reto o una de la consulta de oracle de cifrado posterior al reto.Entonces nuestro objetivo es analizar cuál es la probabilidad de éxito de nuestro adversario de identificar correctamente si el texto cifrado es un cifrado de m0 o m1. Y la probabilidad ganadora se puede dividir en la suma de 2 probabilidades individuales, es decir, la probabilidad de que el adversario gane el juego de CPA dado que el valor de x * se repite durante cualquiera de las consultas de oráculo de cifrado, o la probabilidad de que el adversario gane el juego de CPA, dado que los valores x*nunca se repiten durante cualquiera de las consultas de oráculo de cifrado, por derecho. Ahora, lo que puedo hacer es que la primera probabilidad aquí, siempre puedo estar superior por la probabilidad de que el evento se repita y la segunda probabilidad que estoy simplemente escribiendo como es. Así que eso significa que mi objetivo es calcular la probabilidad de que el evento se repita y la probabilidad de que el adversario gane el juego de CPA, dado que el evento Repetir no ocurre. E Iam va a mostrar que esto es alto acotado por 1/2 + Q(n) /2l.Por qué bien ya hemos visto que la probabilidad de que el valor x * se repita es Q (n) /2l, ya habíamos visto en una de las observaciones, y la segunda probabilidad, es decir, el adversario gana el juego de CPA dado que el valor x * nunca se repite es superior limitado por 1/2 porque en este caso, simplemente podemos decir que la fase de entrenamiento de pre-desafío y la fase de entrenamiento post-desafío es inútil para el atacante. Y si sólo me enfoco en la parte de desafío del juego que no es más que una instancia de un experimento de indistinguishabilidad de una sola vez, y nosotros saber que incluso un adversario computacionalmente sin límites no puede ganar el juego de una sola plataforma de indistinguishabilidad. Así es como obtenemos la probabilidad general de éxito de nuestro adversario derecho. Y como ya sostuve que la probabilidad Q (n) /2lpuede ser aproximada por una función insignificante en el parámetro de seguridad, si Q (n) es una función polinómica en el parámetro de seguridad y l también es función polinómica en el parámetro de seguridad. Así que lo que en general obtenemos es que una construcción basada en una función verdaderamente aleatoria es de hecho CPA segura. (Consultar Tiempo de Slide: 20 :28) Pero como dije, ese esquema hipotético Π basado en la función verdaderamente aleatoria que no podemos usar en la práctica porque para desplegarlo tanto el remitente como el receptor tienen que almacenar la descripción de una función verdaderamente aleatoria que es exponencialmente más grande en tamaño. Por lo tanto, lo que vamos a hacer en su lugar es que vamos a conservar el plan que habíamos utilizado para este proceso de cifrado Π. Y lo que ahora vamos a hacer es que dondequiera que había invocaciones de la función verdaderamente aleatoria, las reemplazamos por invocaciones de una función pseudo-aleatoria. Así que aquí asumo que tengo una pseudo función aleatoria F, cuyo tamaño de clave es n bits, tamaño de bloque es lbits y tamaño de salida es L bit, a la derecha. Así que en lugar de superar una función verdaderamente aleatoria, el algoritmo de generación de claves modificado ahora va a producir una clave aleatoria uniforme, que estará disponible tanto con el remitente como con el receptor. De la misma manera, en lugar de computar el valor de una función verdaderamente aleatoria en alguna entrada de x para generar la máscara, y usarla para enmascarar el mensaje, lo que vamos a hacer es si el remitente quiere cifrar un mensaje de tamaño, L bits, se va a elegir de forma uniforme al azar un valor x, evaluar la función pseudo aleatoria por clave en esa x entrada para generar una almohadilla de tamaño L bit y XOR con el mensaje. Por lo tanto, la operación sabia que estamos haciendo más o menos haciendo el mismo proceso que estamos haciendo en el proceso de encriptación basado en la función verdaderamente aleatoria. La única diferencia es que en lugar de evaluar una función verdaderamente aleatoria en algún valor x aleatorio ahora estamos realmente evaluando una función pseudo aleatoria por clave con respecto a una clave uniformemente aleatoria en algún valor de x uniformemente aleatorio. Y el proceso de operación de descifrado modificado es analogamente similar al proceso de descifrado basado en la función verdaderamente aleatoria. Es decir, si el receptor ve un texto cifrado, lo pasa como una colección de parte x y parte de texto cifrado real. La parte x se utiliza para evaluar la función por clave con la misma clave k disponible con el receptor para generar la máscara y esta XOR de nuevo del texto cifrado para recuperar el texto plano. Ese es un esquema modificado pi. (Consultar Tiempo de Slide: 22 :46) Y una declaración teorema que ahora vamos a probar es que si la función F es una función pseudo aleatoria segura, entonces el esquema modificado es en realidad un proceso de encriptación seguro de CPA para encriptar mensajes de bit L. Y antes de entrar en la prueba real, vamos a comparar el proceso de 2encriptación, en la parte izquierda de su lado tiene el proceso de cifrado basado en la función realmente aleatoria, y en su parte lateral derecho, usted tiene el proceso de cifrado basado en la función pseudo aleatorio. Y cuál es la diferencia real entre estos 2 procesos de cifrado, la única diferencia es la naturaleza de la máscara. En el proceso de encriptación basado en la función verdaderamente aleatoria, la máscara fue generada por la evaluación de una función verdaderamente aleatoria desconocida donde la función era conocida sólo para el remitente y el receptor. Mientras que en la construcción basada en el PRF, la máscara es generada por la evaluación de una función pseudoaleatoria por clave donde la clave es ahora aleatoria y conocida sólo para el remitente y el receptor, derecho, esa es la única diferencia. Y ya habíamos probado con rigor que el proceso de encriptación basado en la función verdaderamente aleatoria es la CPA segura contra cualquier adversario computacionalmente acotado.De modo que intuitivamente lo mismo debería tener incluso si sustituyo todas las instanciaciones de la función verdaderamente aleatoria por una función pseudo-aleatoria. Porque ahora si después de la sustitución de la función verdaderamente aleatoria y por una función pseudoaleatoria el esquema modificado no es CPA seguro, eso significa que tenemos ahora un distinguidor, que puede distinguir aparte el comportamiento de una función verdaderamente aleatoria f del comportamiento de una función pseudo aleatoria F (k). Pero eso es una contradicción a la suposición que estamos haciendo sobre la función F siendo una función pseudo aleatoria segura. Así que ahora vamos a formalizar con rigor esta intuición a través de una reducción. (Consultar Tiempo de Slide: 24 :34) Así que ahora tienes 3 entidades aquí tienes el proceso de encriptación basado en la función verdaderamente aleatorio, que sabemos que es la CPA segura. Tenemos el esquema modificado basado en la función pseudo aleatoria. Y ambos esquemas están sobre el mismo espacio de mensajes de cadenas de bits de L. Y tenemos una función pseudoaleatoria públicamente conocida. Ahora imagine que tenemos un adversario A que en realidad puede ganar el juego de seguridad de CPA contra un esquema modificado Π .Ahora usando este adversario A, lo que vamos a hacer es que vamos a diseñar un distinguidor, un distinguido PRF, que puede distinguir aparte la salida de una función pseudo aleatoria de la salida de mi función de clave F, que será una contradicción. Así que vamos a ver cómo funciona el distinguidor. Así que el diferenciador actúa básicamente como verificador e invoca al adversario A el adversario de CPA A. Y una instancia del juego de CPA se ejecuta o ejecuta. Así que según las reglas del adversario del juego pide las consultas de cifrado, a saber, pide el servicio de oráculo de cifrado y lanza un número de consultas. Ahora para encriptar estos mensajes, lo que hace el distinguido es que elige al azar s número de valores x, directamente desde el dominio de la función por clave F o la función verdaderamente aleatoria f, y pide que los valores de la función en es x valores y en respuesta, obtiene los valores de función de la salida de la función en esos valores x. Por lo que esta parte del experimento es básicamente el derecho de juego de PRF, donde el objetivo de los adversarios es básicamente consultar por varios números de valor x de la función y obtiene la respuesta y en base a la respuesta, tiene que averiguar si ha interactuado con una función realmente aleatoria o un pseudo Función al azar, mientras que esta parte del juego es su juego de CPA. Esa es la forma en la que puedes imaginar pictorialmente el derecho de reducción. Así que esa es la primera limitación de este o el primer inconveniente de este esquema, no una limitación. Es un inconveniente en este esquema. Más importante, cada instancia del proceso de encriptación aquí va a requerir una nueva instancia de aleatoriedad, es decir, el valor x que estamos usando para generar la máscara tiene que ser recién elegido para cada instancia del proceso de encriptación correcto. Por lo tanto, este es el segundo inconveniente porque en la práctica generar una aleatoriedad uniforme es una tarea computacionalmente cara. Así que estas son las 2 restricciones o los inconvenientes del esquema basado en PRF que hemos diseñado aquí. En la próxima conferencia vamos a ver que cómo vamos a proceder a deshacerse de estas 2 restricciones. Para resumir en esta conferencia habíamos visto un proceso de encriptación de candidatos basado en una pseudo función aleatoria, y habíamos visto una rigurosa prueba de seguridad de que cómo podemos reducir la seguridad general de este esquema construido a la seguridad de la función pseudo aleatoria subyacente. Gracias.

Notification
You have received a new notification
Click here to view them all