关键词

1介绍

公钥加密(PKE)可能是公钥加密最基本的应用[10]. 直观地说,PKE方案允许Alice对消息进行加密\(M\)对于Bob,只要给定Bob的公钥\(pk\); 收到的密文C类Bob可以使用密钥解密\(sk\)对应于\(pk\).

根据假定的对抗能力,PKE方案的安全性可以以不同的方式制定。最基本和最自然的概念是对选择-文本攻击的不可区分性(IND-CPA,又称语义安全)[14]; 这里,我们要求被动(计算上有界)对手仅给出\(pk\)应该无法区分两条(对手选择的)消息的加密\(M _0,M _1).

虽然对于某些应用程序来说已经足够了,但IND-CPA安全性还不足以应对活跃的对手。因此,研究人员提出了更强有力的安全概念。PKE安全性的实际标准概念是对选择密码攻击的不可区分性[29](IND-CCA),我们现在要求主动(计算有界)对手\(pk\)应该无法区分两条(对手选择的)消息的加密\(M _0,M _1)甚至可以使用oracle解密任意选择的密文。脚注1

到目前为止,我们在各种假设下处理了许多满足IND-CCA安全性的PKE方案,包括因子分解[15]决策和计算Diffie-Hellman[6,8],并学习与噪声的奇偶性[18].

子集总和假设。自引入以来,子集和问题被认为是数论假设的有效替代方案。在其基本计算版本中,子集和问题\(\mathrm{SS}(n,\mu)\)(由整数参数化\(\mu\)n个)要求查找秘密向量\(\mathbf{s}\在\{0,1\}^n\中)给定一个向量\(\mathbf{a}\in\mathbbZ_\mu^n\)与目标值一起\(T:=\langle\mathbf{a}\cdot\mathbf{s}\rangle\)国防部\({\mu}\),其中\(\mathbf{a}\)\(\mathbf{s}\)统一随机选择,以及\(\langle\cdot,\cdot\rangle\)表示内积。硬度\(\mathrm{SS}(n,\mu)\)取决于所谓的密度,由比率定义\(增量:=n/\log\mu\).以防\(增量<1/n\)\(增量>n/日志^2 n),问题可以在多项式时间内解决[12,13,20,21,32]. 万一\(\增量\)o个(1) 甚至小到\(O(1/\log n)\),这个问题被认为很难解决。求解子集和的最佳经典算法是[19],并且使用\(增量=o(1))和时间\(2^{(ln 2/2+o(1))n/\log\log n}\)对于具有的实例\(增量=O(1/\log n)).

子集和问题的一个很好的特点是它对量子攻击的抵抗力。在撰写本文时,伯恩斯坦等人(Bernstein et al[]-关于子集和需要复杂性\(2^{(0.241+o(1))n}\)解决问题的随机实例。

来自子集总和的PKE。第一个基于子集和的硬度的PKE方案是在Ajtai和Dwork的开创性工作中构建的[2]他提出了一种方案,该方案的语义安全性与解决格问题的最坏情况一样难以打破,称为“唯一最短向量问题”(uSVP)。众所周知,子集和可以简化为uSVP[13,20].

中的方案的缺点[2](及其扩展[27,30,31])它们仅以间接方式(即通过uSVP的非加权约简)基于子集和。柳巴谢夫斯基、帕拉西奥和塞格夫的工作克服了这一局限性[22]提出了一种新的PKE方案,通过简单而直接的简化来解决子集和问题的随机实例,从而实现了IND-CPA安全。

更准确地说,方案的安全性[22]基于以下假设:\((\mathbf{a},T)\)子集和问题与一致问题是无法区分的。该问题的这种决策变量与上述引入的计算版本(即恢复任务)等效\(\mathbf{s}\))作者:Impagliazzo和Naor[16].

1.1我们的贡献和技术

的工作[22]作为一个显式的开放问题,构造一个PKE方案来实现IND-CCA安全,并直接降低子集和的硬度。

贡献。本文提出了一种新的PKE方案来解决上述开放问题。在我们的工作之前,只有基于uSVP的PKE方案在子集Sum中具有IND-CCA安全性[27,28](不直接基于子集总和的硬度)。我们方案的另一个优点是,它可以用于加密任意多项式位数的比特;这与[22],当加密长度超过\(n\log n\)(其中n个通常是“子集总和”维度)。脚注2下面的定理总结了我们的主要结果。

定理1

(主要结果,非正式)。对于\(q=\varTheta(n^2\log^6n))存在一个基于IND-CCA安全性的PKE方案\(\mathrm{SS}(n,2^{n\log n})\).

技术。我们的方案(作为[22])基于决策变量\(\mathrm{SS}(n,q^m)\),其中q个是一个小整数,并且是一个整数。主要观察结果(也在[22])是这样吗,以防万一\(\mu=q^m\),目标值\(T:=\langle\mathbf{a}\cdot\mathbf{s}\rangle\)国防部\({q^m}\)写在基中q个等于\(\mathbf{A}\mathbf{s}+e(\mathbf{A{,\mathbf1{s})\)哪里\(\mathbf{A}\in\mathbbZ_q^{m\次n}\)是一个矩阵,其-第th列对应于-向量的第个元素\(\mathbf{a}\)写在基中q个、和\(e(\mathbf{A},\mathbf{s})\)是中的向量\(\mathbb Z_q^m\)(功能\(\mathbf{A}\)\(\mathbf{s}\))它对应于执行“年级-学校”加法时的进位。这种特殊结构类似于错误学习(LWE)问题实例的结构[31]重要的区别是,噪声项是“确定性的”,实际上完全由矩阵决定\(\mathbf{A}\)和向量\(\mathbf{s}\).

我们利用LWE和子集和之间的上述相似性,利用Micciancio和Peikert的陷门技术构造了我们的新PKE方案[24]. 本质上,我们的方案依赖于基于标记的活门功能,其中活门与隐藏的标记关联。每当使用隐藏标记对函数求值时,活门就会消失,函数很难反转;对于所有其他标签,可以通过设置活门有效地反转该功能。使用剩余的散列引理,可以在对手没有注意到的情况下切换隐藏的标签。

上述技术使我们能够证明我们的PKE方案实现了较弱的(基于标记的)CCA概念。这意味着每个密文都与一个标签相关联\(\套\)在安全游戏中,对手必须提前提交标签\(τ^*\)这将与挑战密文相关。脚注在安全证明中,我们首先将与隐藏活门关联的标签与质询标签进行切换(使用上面概述的活门技术)。现在,模拟器无法解密与质询标签相关的消息,这使得我们可以争论PKE方案的不可区分性。

众所周知,可以使用一次性签名方案将上述基于标记的弱CCA概念普遍增强为成熟的IND-CCA安全[17]. 这使我们可以得出定理1.

效率。\(\ ell\)是要加密的消息的长度,表示为n个,q个子集和问题的参数。我们的PKE方案的密钥由一个维数的二进制矩阵组成\(n倍m); 公钥由中的3个元素矩阵组成\(\mathbb Z_q\),具有尺寸(分别)\(m\次n\),\(n次n次)、和\(\ ell\ times n\)。密文由中的3个元素向量组成\(\mathbb Z_q\),带尺寸(分别),n个、和\(\ ell\).

1.2相关工作

由Merkle和Hellman开创[23]第一个基于子集和的PKE方案的构造是基于具有特殊结构的问题的实例。所有这些建筑后来都被破坏了。(请参见[26]进行调查。)

在一篇开创性的论文中,Impagliazzo和Naor[16]基于子集和随机实例的硬度,给出了通用单向散列函数、伪随机生成器和比特承诺方案的构造。

除了构建PKE方案外[22]此外,还提出了一种针对恶意发送方和半诚实接收方的安全性不经意传输协议。子集和问题最近也被用于解决外包模式匹配问题[11]在云端设置中。

2前期工作

对于两种分布\(\mathcal{D}\)\(\mathcal{D}'\)结束\(\欧米茄\),\(\mathcal{D}(x)\)是分配给的概率\(x\英寸\欧米茄\)\(\Delta[\mathcal{D},\mathcal{D}']:=\frac{1}{2}\sum_{x\in\Omega}|\mathcali{D}(x)-\mathcail{D}'(x)|\)是之间的统计距离\(\mathcal{D}\)\(\mathcal{D}'\)。我们用表示\(x\左箭头x\)那个x个根据分布抽样X(X).如果X(X)是一个集合,则表示x个从以下位置随机均匀采样X(X).\(\lfloor\cdot\rceil 2:{\mathbb Z}_q\rightarrow{\mathbb Z}_2\)是取整函数,由\(\floor x\rceil_2:=\floor x \cdot\frac{2}{q}\rceil).

矢量和矩阵用粗体表示。对于两个矢量\(\mathbf{u}\),\(\mathbf{v}\),使用\(\mathbf{u}=(u_1,\ldots,u_n)\)\(\mathbf{v}=(v_1,\ldots,v_n)\),之间的内积\(\mathbf{u}\)\(\mathbf{v}\)定义为\(\langle\mathbf{u},\mathbf{v}\rangle:=\sum_{i=1}^n u_i\cdot v_i\)。我们表示中的元素\(\mathbb Z_q\)按范围内的整数\([-(q-1)/2;(q-一)/2]\)。对于元素\(v\in\mathbb Z_q\),其长度,表示为|v(v)|是其代表在范围内的绝对值\([-(q-1)/2;(q-一)/2]\)对于向量\(\mathbf{v}=(v_1,\ldots,v_n)\in\mathbb Z_q^n\),我们定义\(\Vert\mathbf{v}\Vert_infty:=\max_{1\le-i\le-n}|v_i|\).

我们说函数\(\菜单\)在安全参数中可以忽略不计n个,如果它渐近小于n个,即。\(nu(n)=n^{-\omega(1)}\).算法\(\mathsf{A}\)是概率多项式时间(PPT),如果\(\mathsf{A}\)是随机的,对于任何输入\(x,r在\{0,1\}^*\中)计算\(\mathsf{A}(x;r)\)(即。,\(\mathsf{A}\)带输入x个和随机硬币第页)最多终止于\(\mathrm{poly}(|x|)\)步骤。

2.1子集总和

传统上是子集和\(\mathrm{SS}(n,\mu)\)实例定义为\(\mathbf{a}:=(a_1,\ldots,a_n)\)和一个目标\(T:=\langle\mathbf{a},\mathbf{s}\rangle\)国防部\({\mu}\),目标是恢复\(\mathbf{s}\在\{0,1\}^n\中).对于模量\(\mu=q^m\)卢巴谢夫斯基、帕拉西奥和塞格夫[22]给出了另一种描述,更清楚地显示了它与LWE问题的相似性。首先他们定义矩阵\(在{mathbbZ}_q^{m\timesn}\中为\mathbf{A}\),其中\(a_{j,i}:=\big\lfloor\frac{a_i}{q^{j-1}}\big\lfloor\)国防部q个因此,

$$\mathbf{A}\odot\mathbf{s}:=\sum_{i=1}^n s_i\cdot\left(\sum__{j=1}^m A_{j,i}q^{j-1}\右)\mathrm{mod}\,q^m=\sum_{i=1}^ns_i\cdota_i\mathrm{mod},q^m=\langle\mathbf{a},\mathbf{s}\rangle\mathrm2{mod}_,q^m$$

哪里\(\mathbf{s}\在\{0,1\}^n\中)注意,当\(\mathbf{A}\mathbf{s}\)是矩阵向量乘法国防部 q个,然后\(\mathbf{A}\odot\mathbf{s}=\mathbf1{A}\ mathbf}s}+e(\mathbf{A{,\mathbf2{s})\)国防部\(q\in\mathbb Z^{m} (_q)\).在这里\(e(\mathbf{A},\mathbf{s})_1:=0\)、和用于\(1<j \le m)这个j个-的第个分量\(e(\mathbf{A},\mathbf{s})\)由提供

$$e(\mathbf{A},\mathbf{s})_j:=\left\lfloor\frac{\sum_{i=1}^{n}s_ia_{j-1,i}}{q}\right\rfloor+c_j\mod q$$

用于搬运\(c_j\)递归定义为\(c2:=0)

$$c_{j}:=\left\lfloor\frac{(\sum_{i=1}^{n}s_ia_{j-1,i})\mathrm{mod}\,q+e(\mathbf{A},\mathbf{s})_{j-1}}{q}\right\rfloor\modq$$

\(c_j\)很小,而且它是\(e(\mathbf{A},\mathbf{s})_j\)这取决于\(e(\mathbf{A},\mathbf{s})_{j-1}\),有一个\(e(\mathbf{A},\mathbf{s})_j-c_j\)被霍夫丁束缚。这意味着\(e(\mathbf{A},\mathbf{s})_j\):

引理1

([22]引理3.3)。对于任何\(n,m\in\mathbb n)\(\mathbf{s}\in\{0,1\}^n\),存在可忽略的功能\(\nu:\mathbb N\rightarrow[0,1]\)这样的话

$${\mathop{\Pr}\limits_{\mathbf{A}\leftarrow\mathbbZ_q^{m\次n}}[\Verte(\mathbf{A},\mathbf-{s})\Vert_\infty\ge\sqrt{n}\log n]\le\nu(n).}$$

子集总和和LWE之间的主要区别在于误差项\(e(\mathbf{A},\mathbf{s})\)是唯一确定的给定\(\mathbf{A}\)\(\mathbf{s}\)其中,与LWE的情况一样,错误e(电子)从独立于\(\mathbf{A}\),\(\mathbf{s}\).

子集总和假设。A类\(\mathrm{SS}(n,q^m)\)实例具有以下分发:

$$\数学{D}(D)_{\mathrm{SS}(n,q^m)}:=\{(\mathbf{A},\mathbf{A}\odot\mathbf1{s})\mid\mathbf}A}\leftarrow\mathbb Z_q^{m\ times n}\text{,}\mathbf2{s}\left arrow\{0,1\}^n\}$$

挑战在于区分\(\mathcal{D}(D)_{\mathrm{SS}(n,q^m)}\)从制服上\((\mathbf{A},\mathbf{b})\in\mathbbZ^{m\timesn}_q\times\mathbb Z^m_q\).算法的优点\(\mathsf{A}\)在打破\(\mathrm{SS}(n,q^m)\)假设是

$$\mathbf美元{高级}_{\mathrm{SS}(n,q^m)}(\mathsf{\mathsf{A}})=|\Pr[\mathsf1{A}(\ mathbf{A},\ mathbf{b})=1]-\Pr[\ mathsf}(\tathbf{A}',\mathbf}b}')=1]|$$

哪里\((\mathbf{A},\mathbf{b})\leftarrow\mathcal{D}(D)_{\mathrm{SS}(n,q^m)}\)\(((\mathbf{A}',\mathbf{b}')\leftarrow\mathbb Z^{m\times n}_q\ times\mathbb Z ^m_q\)由Impagliazzo和Naor展示[16]这个子集和的决策版本和恢复隐藏向量一样困难\(\mathbf{s}\).

重新随机化子集总和。我们使用了柳巴谢夫斯基(Lyubashevsky)介绍的技术[21]允许重新随机化子集和样本。此技术基于剩余哈希引理:

引理2

(剩余散列引理)。对于\(2米\gen+1+\omega(\log{n+1})/\log{q})和多项式\(\ ell\),存在可忽略的功能\(\nu:\mathbb N\rightarrow[0,1]\)这样统计距离

$$\Delta\big[(\mathbf{A},\mathbf{R}\mathbf1{A},\mathbf{A},\tathbf{R}\ mathbf}A}),(\tathbf{A},\tathbf1{C},\ mathbf},\fathbf}C})\big]\le\nu(n)$$

对于\(\mathbf{A}\leftarrow\mathbbZ^{m\次n}_q\),\(\mathbf{R}\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{\ell\timesm}\),\(\mathbf{a}\leftarrow\mathbb Z^n_q\),\(\mathbf{C}\leftarrow\mathbb Z^{\ell\times n}_q\),\(\mathbf{c}\leftarrow\mathbb Z^\ell_q\).

A子集总和样本\((\mathbf{A},\mathbf{b})\leftarrow\mathcal{D}(D)_{\mathrm{SS}(n,q^m)}\)现在可以重新随机到\((\mathbf{R}\mathbf{A},\mathbf1{R}\ mathbf}b})\)哪里\(\mathbf{R}\mathbf{A}\)在统计上接近均匀\(\mathbf{A},\mathbf{b}\)\(\mathbf{R}\mathbf{b}\)。请注意\((\mathbf{R}\mathbf{A},\mathbf1{R}\ mathbf}b})\)不是\(\mathrm{SS}(n,q^m)\)-再分发。

考虑到这种重新随机化技术,我们能够构造一个基于标记的陷门函数[24]以及PKE方案,其硬度与同时加密的比特的数量无关。重要的是,在重新随机化后,噪声仍然是有界的:

引理3

([22]引理3.4)。对于任何\(n,m\in\mathbb n),\(\mathbf{s}\在\{0,1\}^n\中)\([-\sqrt{q}/2中的\mathbf{r},\sqrt}/2]^m\),存在可忽略的功能\(\nu:\mathbb N\rightarrow[0,1]\)这样的话

$${\mathop{\Pr}\limits_{\mathbf{A}\leftarrow\mathbbZ_q^{m\timesn}}[\mathbf{r}\cdot e(\mathbf1{A},\mathbf2{s})\ge\sqrt{qnm}\log^2n+\sqrt{q} 米]\le\nu(n).}$$

这个界限对于证明我们提出的PKE的正确性至关重要。

2.2基于标记的加密

基于标记的加密(TBE)概念背后的主要动机来自这样一个事实,即可以将基于身份的加密方案转换为IND-CCA安全PKE方案[4,5]. 基尔茨[17]表明这些转换已经从TBE开始工作。

一种带标记空间的TBE方案\(\mathcal{T}\),消息空间\(\mathcal{M}\)、和安全参数n个,由以下三个PPT算法组成\(\mathrm{TBE}=(\mathsf{Gen},\mathsf{Enc},\fathsf{Dec}).

  • \(\mathsf{Gen}(1^n)\):输出密钥\(sk\)和公钥\(pk\).

  • \(\mathsf{Enc}(pk,\tau,M)\):输出密文C类对于\(M\in\mathcal{M}\)、和标记\(\套\) \(\ in \) \(\mathcal{T}\).

  • \(\mathsf{Dec}(sk,\tau,C)):输出解密的消息\(M\)密文的C类关于标签\(tau\in\mathcal{T}\),或无效符号\(\机器人\).

为了正确性,我们要求任何\(\tau,M\)\((sk,pk)\leftarrow\mathsf{Gen}(1^n)\):

$$\mathsf{Dec}(sk,\tau,\tathsf{Enc},(pk,\tao,M))=M$$

以压倒性的概率持有。关于安全性,我们定义了以下选择标记弱CCA游戏\(\mathrm{希腊}_{\mathrm{TBE}}\) [17]:

  1. 1

    对手\(\mathsf{A}\)选择标记\(\tau^*\在\mathcal{T}\中).

  2. 2

    运行\((sk,pk)\leftarrow\mathsf{Gen}(1^n)\).对手\(\mathsf{A}\)接收公钥\(pk\)并获得对输出的oracle的永久访问权限\(\mathsf{Dec}(sk,\tau,C))根据表单的输入请求\(\mathsf{QueryDec}(C,\tau)\)为所有人\(\tau\ne\tau^*\)、和\(\perp\)否则。

  3. 三。

    \(\mathsf{A}\)选择\(M _0\)\(M _1\)\(\mathcal{M}\)并接收\(C\leftarrow\mathsf{Enc}(pk,\tau^*,M_u)\)对于\(u\左箭头\{0,1\}\).

  4. 4

    最后\(\mathsf{A}\)输出\(u'\)\(\mathrm{G}_{\mathrm{TBE}}\)输出1 iff\(u'=u\).

对手的优势\(\mathsf{A}\)在游戏中\(\mathrm{希腊}_{\mathrm{TBE}}\)定义为

$$\mathbf美元{高级}_{\mathrm{TBE}}(\mathsf{A}):=\left|\Pr[\mathrm{希腊}_{\mathrm{TBE}}(\mathsf{A})=1]-\frac{1}{2}\right|$$

和a\(\mathrm{TBE}\)如果对所有PPT而言,该方案被称为针对有选择的弱CCA对手的安全方案\(\mathsf{A}\)存在一个可以忽略不计的函数\(\nu:\mathbb N\rightarrow[0,1]\)这样的话\(\mathbf{高级}_{\mathrm{TBE}}(\mathsf{A})\le\nu(n)\).

给定指数型标记空间\(\mathrm{TBE}\)满足上述概念的IND-CCA安全PKE方案;转换需要一次性签名方案或消息身份验证代码加上承诺[17].

我们在建议中嵌入标签\(\mathrm{TBE}\)使用全秩差分(FRD)编码\(\mathcal H\) [1,7]. 这意味着\(\mathcal H:\mathbb Z_2^n\rightarrow\mathbbZ_2^{n\times n}\),\(\tau\mapsto\mathbf H_tau\)\(对于所有tau'inmathbb Z_2^n\) \(\mathbf H_\tau-\mathbf-H_{\tau'}\)具有全军衔。

基于子集和的TBE

对于安全参数n个,让\(q=\varTheta(n^2\log^6n)),\(第二季度中期)、和\(m=\varTheta(n)\)对于适当的常数因子。以下三种算法描述了我们的\(\mathrm{TBE}=(\mathsf{Gen},\mathsf{Enc},\fathsf{Dec})基于\(\mathrm{SS}(n,q^m)\)带有标记空间\(\mathcal{T}:={\mathbbZ}^n_2\setminus\{\mathbf{0}\}\)(其中\(\mathbf{0}\)是长度的全零矢量n个)和消息空间\(\mathcal{M}:=\{0,1\}^{\ell}\).

  • \(\mathsf{Gen}(1^n)\):示例\(\mathbf{R}\leftarrow\{0,1\}^{n\timesm}\)\(\mathbf{A}\leftarrow\mathbbZ^{m\次n}_q\),\(\mathbf{C}\leftarrow\mathbb Z^{\ell\times n}_q\).定义\(\mathbf{B}:=\mathbf{R}\mathbf-{A}\)。私钥和公钥定义为

    $$sk:=\mathbf{R},\quad pk:=(\mathbf{A},\tathbf{B},\fathbf}C})在{\mathbbZ}_q^{m\timesn}\times{mathbbZ}_qq^{n\timesn}\times{mathbb Z}_q ^{$$

  • \(\mathsf{Enc}(pk,\tau,M)\):选取\(\mathbf{R}'\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{n\times m}\),\(\mathbf{R}''\leftarrow[-\sqrt{q}/2,\sqrt{q}/2]^{\ell\times m}\),\(\mathbf{s}\leftarrow\{0,1\}^n\)并定义

    $$\开始{aligned}\mathbf{c} _0(0)&:=\mathbf{A}\mathbf{s}+e(\mathbf{A},\mathbf{s})&\in{\mathbb Z}_q^m\\\\mathbf{c} _1个&:=\left(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf2}+\mathbf2{R}'\cdot e(\mathbf{A},\mathbf1{s})&\in{mathbbZ}_q^n\\mathbf{c} _2&:=\mathbf{C}\mathbf{s}+\mathbf2{R}''\cdot e(\mathbf1{A},\mathbf2{s})+\frac{q}{2}\cdot M&\in{mathbbZ}_q^\ell\end{aligned}$$

    哪里\(\mathbf H_{\tau}\)是的矩阵表示\(\套\).

  • \(\mathsf{Dec}(sk,\tau,C)):计算

    $$\begin{aligned}\hat{\mathbf{s}}:=&\left\lfloor\begin{pmatrix}\mathbf{R}&\mathbf1{I}\end{pmartrix}\cdot\begin\pmatrix}-\mathbf{c} _0(0)\\ mathbf{c}_{1} \end{pmatrix}\right\rceil _2。\结束{对齐}$$

    \(\mathbf{s}=\mathbf H_{\tau}^{-1}\hat{\mathbf2{s}}\).如果\(\mathbf{c} 0\ne\mathbf{A}\odot\mathbf{s}\)\(\Vert\mathbf{c} _1个-\左(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf1{s}\Vert_\infty\ge\frac}{4}\)输出\(\perp\)。否则输出消息\(M=地板{c} _2-\mathbf{C}\mathbf}\rceil_2\).

3.1正确性

该方案的正确性基本上遵循了重新随机子集和实例的噪声界。给定这些边界,噪声将小于q个/4,这样它将被舍入函数舍入\(\floor\cdot\rceil 2\).

定理2

(正确性)。\(q=O(n ^2 \ log ^6 n)\),\(第二季度中期),\(m=\varTheta(n)\)、和\(\ ell\ in O(n^c)\)对于一些常量c(c).那么对于任何\(tau\in\mathbb Z_2^n\),\(M\in\{0,1\}^\ell\),存在可忽略的功能\(\nu:\mathbb N\rightarrow[0,1]\)这样的话

$${\mathop{\Pr}\limits_{(sk,pk)\leftarrow\mathsf{Gen}(1^n)}[\mathsf{Dec}$$

证明

给定密文\(C=(\mathbf{c} _0(0),\mathbf{c} _1个,\mathbf{c} _2)\),以防\(\mathsf{Dec}\)成功重建\(\mathbf{s}\),解密算法计算

$$\lfloor\mathbf美元{c} 2个-\mathbf{C}\mathbf{s}\rceil_2=\left\lfloor\mathbf{R}''\cdot e(\mathbf1{A},\mathbf2{s})+\frac{q}{2}\cdot M\right\rceil _2=\lfloor \mathbf2{R}''\cdot e(\mathbf{A},\matHBf2{s{)\rceil-2+M$$

按引理,\(\Vert\mathbf{R}''\cdot e(\mathbf}A},\mathbf{s})\Vert_\infty\le\sqrt{qnm}\log^2n+\sqrt{q} 米<q/4)以压倒性的概率\(\mathbf{A}\leftarrow\mathbbZ^{m\次n}_q\)(对于适当选择的常数)。因此\(\lfloor\mathbf{R}''\cdot e(\mathbf{A},\mathbf1{s})\rceil _2=\mathbf-{0}\)\(\mathsf{Dec}\)输出\(M\).

出于同样的原因\(\lfloor(\mathbf{R}'-\mathbf{R})\cdot e(\mathbf{A},\mathbf1{s})\ rceil_2=\mathbf2{0}\)以压倒性的概率\(\mathbf{A}\leftarrow\mathbbZ^{m\次n}_q\)(对于适当选择的常数)。因此\(\mathsf{Dec}\)重建

$$\left\lfloor\begin{pmatrix}\mathbf{R}&\mathbf{I}\end{pmatricx}\cdot\begin}-pmatrix}-\mathbv{c} _0(0)\\ mathbf{c}_{1} \end{pmatrix}\right\rceil _2=\left\lfloor\frac{q}{2}\cdot\mathbf H_{\tau}\mathbf{s}+(\mathbf{R}'-\mathbf{R})e(\mathbf{A},\mathbf{s})\right\rceil _2=\left\lfloor\frac{q}{2}\cdot\mathbf H_{\tau}\mathbf{s}\right\rceil _2$$

的坐标\(\mathbf H_{\tau}\)在中\({\mathbb Z}_2\)和作为\(第二季度中期),我们得到\({mathbf{s}}=\left\lfloor\frac{q}{2}\cdot\mathbfH_{tau}\mathbf{s}\modq\right\rceil_2=\mathbf-H_{tau}\mathbf{s}\mod 2\).这导致正确重建\(\mathbf{s}=\mathbf H_{tau}^{-1}\hat{mathbf}s}=\ mathbfH_{\tau}^{-1}\mathbf-H_{tau}\mathbf1{s}\).

3.2安全性证明

安全证明背后的直觉是\(\mathbf{B}=\mathbf1{R}\mathbf2{A}\)在统计上与\(\mathbf{B}'=\mathbf{R}\mathbv{答}-\裂缝{q}{2}\mathbf H_{tau^*}\)。但是当\(\mathbf{B}'\)用作公钥的一部分,带有标记的密文\(\套^*\)无法使用解密\(\mathsf{Dec}\)不再。在证明过程中,我们将显示以下密文:\(\套^*\)至少解密起来和解决起来一样困难\(\mathrm{SS}(n,q^m)\)。给定任何算法猜测以这种密文加密的消息,从而破坏\(\mathrm{TBE}\),还有一个算法求解\(\mathrm{SS}(n,q^m)\).

定理3

(CCA安全)。\(q=\varTheta(n ^2 \log ^6 n)\),\(第二季度中期)、和\(m=\varTheta(n)\)对于适当的常数因子。如果\(\mathrm{SS}(n,q^m)\)假设成立(对应于密度\(O中的增量(1/\log n))),然后建议\(\mathrm{TBE}\)该方案是安全的\(\mathrm{selective}\)-\(\mathrm{tag}\) \(\mathrm{弱}\) \(\mathrm{CCA}\)对手。特别是,对于每个PPT算法\(\mathsf{A}\)存在PPT算法\(\mathsf{D}\)和一个可以忽略的函数\(\nu:\mathbb N\rightarrow[0,1]\)这样:

$$\mathbf美元{高级}_{\mathrm{TBE}}(\mathsf{A})\le\mathbf{高级}_{\mathrm{SS}(n,q^m)}(\mathsf{D})+\nu(n)$$

证明

我们构造了一个算法\(\mathsf{D}\)这将区分\(\mathrm{SS}(n,q^m)\)从制服召唤成功的对手\(\mathsf{A}\)在游戏中\(\mathrm{希腊}_{\mathrm{TBA}}\).如果\(\mathsf{D}\)收到一个\(\mathrm{SS}(n,q^m)\)实例\(\mathsf{D}\)将模拟游戏\(\mathrm{希腊}_{\mathrm{TBA}}\)和一个成功的\(\mathsf{A}\)会猜测b条概率正确\(压裂{1}{2}+\mathbf{高级}_{\mathrm{TBE}}(\mathsf{A})>\frac{1}{2}+\nu(n)\).何时\(\mathsf{D}\)接收统一输入,\(\mathsf{D}\)将模拟一个挑战密文与消息无关的游戏\(单位(_u)),因此独立于u个.因此猜测\(u'\)属于\(\mathsf{A}\)将是正确的(即。,\(u'=u\))有概率的\(\压裂{1}{2}\).

在下面,我们描述了算法\(\mathsf{D}\)与交互\(\mathsf{A}\)然后分析了其成功概率。

  1. 1

    \(\mathsf{D}\)收到一个\(\mathrm{SS}(n,q^m)\)挑战\((\mathbf{A},\mathbf{b})\)并调用\(\mathsf{A}\)它会发送标签\(\tau^*\在\mathcal{T}\中).

  2. 2

    \(\mathsf{D}\)样品\(\mathbf{R}'\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{n\times m}\),\(\mathbf{R}''\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{ell\times m}\)和台\(pk=(\mathbf{A},\mathbf{B}:=\mathbf{R}'\mathbf{答}-\裂缝{q}{2}\mathbf H_{tau^*},\mathbf{C}:=\mathbf1{R}''\mathbf2{A})\)这是由引理决定的2在统计上接近的公开密钥的输出分布\(\mathsf{Gen}\).公钥\(pk\)被给予\(\mathsf{A}\).

    因此,\(\mathsf{D}\)使用\(\mathbf{R}'\)回应\(\mathsf{QueryDec}(C,\tau)\)查询如下:如果\(\tau=\tau^*\)输出\(\perp\)。否则\(\mathsf{D}\)使用\(\mathsf{Dec}(\mathbf{R}',\tau,C)\)重建:

    $$\hat{\mathbf{s}}:=\left\lfloor\begin{pmatrix}\mathbf{R}'&\mathbf1{I}\end{pmattrix}\cdot\begin{pmatricx}-\mathbf{c} _0(0)\\\数学BF{c}_{1} \end{pmatrix}\right\rceil _2$$

    对于正确分布的C类,

    $$\begin{aligned}\hat{\mathbf{s}}=&\left\lfloor\left(\frac{q}{2}\cdot\mathbf H_{\tau}-\frac{q}{2}\ mathbfH_{\tau^*}\mod q\right)\mathbf2}\right\rceil_2&\=&\leth\lfloor \left hbf H_{\tau^*}\mod 2)\right)\mathbf{s}\right\rceil_2&=(\mathbf H_。\结束{对齐}$$

    \(\mathbf{s}\)通过计算重建\(\mathbf{s}=(\matHBfH_{\tau}-\mathbf H_{\t au^*})^{-1}\hat{\mathbf1{s}}\).如果\(\mathbf{c} _0(0)\ne\mathbf{A}\odot\mathbf{s}\)\(\Vert\mathbf{c} _1个-\左(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf1{s}\Vert_\infty\ge\frac}{4}\)输出\(\perp\)。这确保了\(\mathsf{QueryDec}(C,\tau)\)独立于\(\mathbf{R}'\)有条件的\(\mathbf{B}=\mathbf2{R}'\mathbf{答}-\frac{q}{2}\mathbf H_{\tau ^*}\)C类是一种适用于随机性的密码文本\(\mathbf{s}\).\(\mathsf{D}\)下面是对\(\mathsf{Dec}(\mathbf{R}',\tau,C)\)根据定理2所有正确生成的C类\(\tau\ne\tau^*\) \(\mathsf{QueryDec}(C,\tau)\)输出正确的消息\(M\).

  3. 三。

    \(\mathsf{A}\)发送\(M _0\)\(M _1\).现在\(\mathsf{D}\)样品\(u\左箭头\{0,1\}\),台\(C^*:=(\mathbf{b},\mathbf{R}'\mathbf1{b},\mathbf{R}''\mathbf2{b}+\frac{q}{2}M_u)\),并发送\(C^*\)\(\mathsf{A}\).

  4. 4

    最后\(\mathsf{A}\)输出\(u'\)\(\mathsf{D}\)输出1 iff\(u'=u\).

什么时候?\(\mathbf{b}=\mathbf{A}\mathbf1{s}+e(\mathbf{A},\mathbf2{s})\),挑战密文\(C^*\)是公钥的正确密文\(pk\)和随机性\(\mathbf{s}\):

$$\开始{aligned}\mathbf{c} _0(0)&:=\mathbf{b}=\mathbf{A}\mathbf{s}+e(\mathbf{A},\mathbf{s})\\\\mathbf{c} _1个&:=\mathbf{R}'\mathbf{b}=\mathbf{R}'\mathbf1{A}\mathbf2{s}+\mathbf2{R}’e(\mathbf-A},\mathbfe{s})=\left(\mathbf{b}+\frac{q}{2}\cdot\mathbfs H{\tau}\right)\mathbfc{s}+\mathbff{R}''e(\mathbf{A}f{s})\\mathbf{c} _2&:=\mathbf{R}''\mathbf{b}+\frac{q}{2}M_u=\mathbf{R}''\mathbf{A}\mathbf1{s}+\mathbf2{R}''e(\mathbf-{A},\mathbf2{s})+\frac{q}{2}M _u=\ mathbf}C}\mathbf{s}+\mathbfe{R}'e(\mathbf{A},\math2}hbf{s})+\frac{q}{2}M_u.\end{aligned}$$

注意,通过引理2,有足够的熵\(\mathbf{R}'\),\(\mathbf{R}“”\)这样的话\(\mathbf{B}\),\(\mathbf{R}'e(\mathbf{A},\mathbf{s})\)\(\mathbf{C}\),\(\mathbf{R}“e(\mathbf{A},\mathbf{s})\)都是独立的。在这种情况下\(\mathsf{B}\)输出1具有大致的概率\(压裂{1}{2}+\mathbf{高级}_{\mathrm{TBE}}(\mathsf{A})\).

在另一种情况下,即当\(\mathbf{A},\mathbf{b}\leftarrow{\mathbbZ}_q^{m\timesn}\times{mathbb Z}_q ^{m}\),我们知道\(\mathbf{c} _2:=\mathbf{R}''\mathbf{b}+\frac{q}{2}M_u\)统一且独立于\(\mathbf{A},\mathbf{C},\ mathbf{c} _0(0)\)\(\mathbf{c} _1个\)通过引理2.因此\(C^*\)独立于u个以及任何输出\(u'\)属于\(\mathsf{A}\):

$${\mathop{\Pr}\limits_{u\leftarrow\{0,1\}}[u=u']=\frac{1}{2}.}$$

总结一下,\(\mathsf{D}\)输出1用于\(\mathrm{SS}(n,q^m)\)具有大致概率的实例\(压裂{1}{2}+\mathbf{高级}_{\mathrm{TBE}}(\mathsf{A}),否则以概率输出1\(\压裂{1}{2}\)。这意味着

$$\mathbf美元{高级}_{\mathrm{SS}(n,q^m)}(\mathsf{D})=\mathbf{高级}_{\mathrm{TBE}}(\mathsf{A})-\nu(n)$$

对于可忽略的函数\(\菜单\),结束证明。

4结论和未决问题

基于子集和问题随机实例的难易性,我们提出了一种新的PKE方案的构造方法,该方案具有简单直接的安全性证明。我们的方案实现了IND-CCA的安全性,其具体安全性不取决于加密消息的长度。这解决了柳巴谢夫斯基、帕拉西奥和塞格夫之前工作中的主要未决问题[22].

类似于中的一个结构[22]不难看出,实际上我们的PKE方案实现了更强的IND-CCA安全概念,可以抵抗非自适应泄漏攻击。脚注4构造一个具有IND-CCA安全性的PKE方案来抵抗完全自适应的泄漏攻击是一个公开的问题。回答这个问题的方法是构造一个散列证明系统[9]基于子集总和,因为这将直接产生具有抗泄漏能力的IND-CCA安全PKE[25].

构建具有附加属性(始终基于子集总和)的PKE方案也很有意思,例如循环安全性、密钥相关消息安全性和抵抗相关密钥攻击的安全性。