查看原文
其他

笔记分享|浙大暑期密码学课程:Idealized Model ll

黄琳婷 隐私计算研习社 2024-01-09

上篇笔记是针对张聪老师在浙江大学的暑期Crypto School的《Idealized Model l》,详情请见笔记分享|浙大暑期密码学课程:Idealized Model l

本篇笔记对张聪老师在浙江大学的暑期Crypto School的《Idealized Model lI》课程进行了整理,可前往以下b站链接或点击下列视频观看完整课程。

浙大暑期Crypto课程- ldealized Models ll(上)-Cong Zhang

https://www.bilibili.com/video/BV18V4y187Ak/?spm_id_from=333.788&vd_source=15b7926a3a203446fa868f18be9bc87e

浙大暑期Crypto课程- ldealized Models ll(下)-Cong Zhang

https://www.bilibili.com/video/BV12z4y1E76P/?spm_id_from=333.788&vd_source=15b7926a3a203446fa868f18be9bc87e

         这节课将通过介绍如何用RO做证明,来展示其对攻击者的限制,以及证 明的限制所在,并介绍两种GGM模型。

1

签名

我们将基于以下signature构造介绍如何用RO做证明,体会RO的优劣之处。

①randomly samples , compute 

②compute 

③compute 

Output 

①compute 

②test 

可以看到,

下面将展示,若H为RO,如何将这个signature reduce到Dlog上去 Theorem.

Scheme  is UF-CMA secure under the assumption DLOG in ROM.

Reduction:R需要在不知道x,也就是sk,的情况下完成signature,并提取出x

由于A具有问询,问询两项能力,因此R需要控制这两个部分。

控制

R(对A来说的Challenger):收到(目的是输出x)

A(在R内部):问询,问询收到即pk 输出信息m

R向A输入随机选择的

A计算,并向R模拟的H query

R返回e

以上reduction保证了e的分布与真实情况一致,并且验证成立。

控制,如Idealized Model Ⅰ中所介绍,R需要存两个表:T1(random table),T2(R回应的

A每次query,R查T1中是否存有该值,若有则回答对应值,若无则查T2是否存有该值,若有则回答对应值。

A最后输出,若A的输出通过了验证,则其对应的

概率出现在T1中。若不出现在T1中,则猜中的概率可忽略。

假设query出现在T1中的第100个,即,我们将替换成,我们期望第二次rewind时,仍出现在第100的位置上。

定义,则第一轮出现概率为,第二轮出现的概率也是

则碰撞的概率为

此时,可以通过解方程组,得到sk

2

Generic Group Model

许多算法都是基于assumption,如果能够确认它在Stand Model下确实是困难的,那么就能得到无条件的安全。然而这会得出one-way function的存在,也就是P≠NP,而这时暂时无法解决的。因此我们需要进行弱化限制。这就是需要Generic Group Model(GGM)的原因。下面给出GGM的定义。Shoup’s GGM:

  定义一个随机映射为所有满足映射的函数,从中随机.      选一个f来进行映射,用表示这个随机映射。GGM需要提供两个接口:       Labeling和Addition。

If Then return

Else

在这个模型中,攻击者可以看到,能力较强,下面给出一种攻击者较弱的模型。

3

Maurer's GGM

初始化一张空表,仅有序号。

A调用,就将x放入表中。A调用,就将y+z存入表中。这两个query都没有回复。

GGM还有一种调用称为Equaling Test,query两个序号,若内容相同,则回答1,不同则回答0.

然而对于前两种调用没有回应,作为一个程序来说总是有点怪怪的。因此对他们做一些调整,回应放入的表中position序号。

(PS:笔记里是作者自己整理,可能会有一些不太准确的表达,也会有一些不当的理解,欢迎大家在留言区指出,一起学习交流)

内容来源:浙大暑期Crypto课程-Idealized Model
笔记整理:黄琳婷(正在努力学密码的研一)
END

往期推荐


1. 笔记分享|浙大暑期密码学课程:Idealized Model l
2.学习同态加密:第二代全同态加密经典论文合集3.学习同态加密:第一代全同态加密经典论文合集4.文章速览 | 联邦学习 x AAAI'2023 (下)

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存