Introductionto Modern Cryptograph 第三章部分課後題答案

Acknowledge
致敬Katz J, Lindell Y. Introduction to modern cryptography[M]. Chapman and Hall/CRC, 2014. 推薦該書正版。

3.1 Prove Proposition 3.6.

看定義Definition 3.4，若函數$f$爲可忽略函數，那麼對於任意多項式函數$p(\cdot)$，存在一個整數$N$，使得整數$n > N$滿足$f(n) < 1 / p(n)$。若$\mathsf{negl}_1$和$\mathsf{negl}_2$爲可忽略函數，那麼分別存在$N_1$和$N_2$，對於任意多項式$p(\cdot)$，總有$n > N_1$滿足$\mathsf{negl}_1(n) < 1 / p(n)$，且$n > N_2$滿足$\mathsf{negl}_2(n) < 1 / p(n)$。取$N_1$和$N_2$中的較大者$N$，有$n > N$滿足$\mathsf{negl}_1 + \mathsf{negl}_2 < 2 / p(n)$，即可忽略函數加上可忽略函數仍然是可忽略函數。多項式除以多項式依舊是多項式，第二部分同樣易證。

---

3.3 Prove that Definition 3.8 cannot be satisfied if $\Pi$ can encrypt arbitrary-length messages and the adversary is not restricted to output equal-length messages in experiment $Privk^{eav}_{\mathcal{A}, \Pi}(\lambda)$.

由於加密算法是公開的，查看代碼，推測$\Pi$僅加密1比特消息時所產生的密文的長度上界$p(\lambda)$（假如加密明文0得到密文01101，加密明文1得到01001100，那麼$p(\lambda) = 8$）。根據鴿巢原理，長度上界爲$p(\lambda)$的密文最多容納
$2^1+2^2 + \cdot + 2^{p(\lambda)}= \frac{ 2 \cdot (1 - 2^{p(\lambda)})}{1 -2} = 2^{p(\lambda) + 1} - 2$
個明文，根據加密算法的正確性，當明文數量超過此上限時，勢必需要使用長度大於$p(\lambda)$的密文。在挑戰遊戲中，當$\mathcal{A}$故意設置$|m_0|=1$，$|m_1|=p(\lambda)+1$時，大概率有$|c_0| \leq p(\lambda)$，$|c_1| > p(\lambda)$，易判斷挑戰比特$b$的值（當$|m_1|$繼續增大時更加明顯，概率請自行分析）。

通俗一點，若明文0和1被長度上界爲$p(\lambda)$的明文包含，那麼$\mathcal{A}$就設置$|m_1|>p(\lambda)$，可使得定義3.8不滿足。

---

3.4 Say $\Pi = (Gen, Enc, Dec)$ is such that for $k \in \{ 0, 1\}^n$, algorithm $Enc_k$ is only defined for messages of length at most $\ell(n)$ (for some polynomial $\ell$). Construct a scheme satisfying Definition 3.8 even when the adversary is not restricted to output equal-length messages in experiment $PrivK^{eav}_{\mathcal{A}, \Pi}(\lambda)$.

有限定消息長度上界就好辦了，回顧題目3.3，假若密文長度上界爲$p(\lambda)$，則限定消息長度上界爲$p(\lambda)$，這樣$\mathscr{A}$就無法挑起攻擊了。這道題思路很直接，既然消息長度不一樣，那麼我們就通過編碼補齊，使其消息長度一樣就行了，回顧計算機網絡的知識，類似的，這裏使用前綴$0^{\ell - |m| - 1}1$來補齊，表示使用$\ell - |m| - 1$個0和1個1，解密時去掉前綴就能得到真正的$m$。具體來說，新方案構造如下：

假定$\Pi' = (Gen', Enc', Dec')$是針對定長消息的加密方案，且滿足竊聽下不可區分性，

• $Gen(1^\lambda) \to k$：運行$k \gets Gen'(1^\lambda)$，直接輸出對稱密鑰$k$。
• $Enc(k, m) \to c$：進行補齊編碼$m' = 0^{\ell - |m| - 1}1 || m$，計算$c' \gets Enc'(k, m')$，輸出$c := c'$。
• $Dec(k, c) \to m$：計算$m' := Dec'(k, c)$，刪除前綴$0^{\ell - |m| - 1}1$得到$m$，直接輸出$m$。

利用規約，易證$\Pi$的安全性（即使$\mathcal{A}$可挑選任意長度的明文）。

---

3.7 Assuming the existence of a pseudorandom function, prove that there exists an encryption scheme that has indistinguishable multiple encryptions in the presence of an eavesdropper (i.e., is secure with respect to Definition 3.18), but is not CPA-secure (i.e., is not secure with respect to Definition 3.21).

我們基於Construction 3.24來構造這麼一個滿足多次加密竊聽不可區分性、卻不滿足CPA安全的加密方案$\Pi$。

• $Gen(1^\lambda) \to k$：輸入安全參數$1^\lambda$，隨機挑選$k_1 \gets \{ 0, 1\}^\lambda$和$k_2 \gets \{ 0, 1\}^\lambda$，設置$k = \big<k_1, k_2\big>$並輸出。
• $Enc(k, m) \to c$：輸入對稱密鑰$k = \big<k_1, k_2\big>$和消息$m \in \{0, 1\}^\lambda$，隨機挑選$r \gets \{0, 1\}^\lambda$計算
  $c := \begin{cases} 1, k_2, r, F_{k_2}(r) \oplus m, ~ \text{if} ~ m = k_1 \\ 0, k_1, r, F_{k_2}(r) \oplus m, ~ \text{otherwise} \end{cases}$
• $Dec(k, c) \to m$：輸入$k = \big<k_1, k_2\big>$和$c = \big<c_1, c_2, c_3, c_4\big>$，計算$m := F_{k_2}(c_3) \oplus c_4$並輸出。

易證該方案不滿足CPA安全，敵手$\mathcal{A}$的做法如下：隨機挑選$m \gets \{ 0, 1\}^\lambda$交給加密諭言機$\mathcal{O}_{Enc}(\cdot)$得到$c = \big<c_1, c_2, c_3, c_4\big>$，接着自適應設置$m' = c_2$交給加密諭言機得到$c' = \big<c'_1, c'_2, c'_3, c'_4\big>$，此時$\mathcal{A}$恢復出密鑰$k := \big<c_2, c'_2\big>$或$k:= \big<c'_2, c_2 \big>$，這裏根據$c_1 \overset{?}{=} 0$做進一步判斷。

但是該方案滿足多次加密竊聽不可區分性，主要證明思路如下：嘗試攻破方案$\Pi$的敵手$\mathcal{A}$挑選了兩組消息$\bm{m}_0 = \{ m^0_0, m^1_0, \cdots, m^{q(\lambda)}_0 \}$以及$\bm{m}_1 = \{ m^0_1, m^1_1, \cdots, m^{q(\lambda)}_1 \}$，它贏得多次加密竊聽不可區分性挑戰遊戲的情形分爲2種：（1）恰巧$k_1 \in \bm{m}_0 \cup \bm{m}_1$，此時$\mathcal{A}$可直接獲取$k_2$，該事件發生的概率爲$2q(\lambda) / 2^\lambda$，是可忽略函數；（2）$\mathcal{A}$可贏得Construction 3.24的CPA安全挑戰遊戲，該事件發生的概率同樣是可忽略函數（注意$0,k_1$不泄露任何關於$m_b$的信息，熟知安全性規約的人可以很快地完成該證明，這裏不再詳細擴展）。

---

3.10 Let $G$ be a pseudorandom generator and define $G'(s)$ to be the output of $G$ truncated to $n$ bits (where $|s| = n$). Prove that the function $F_k(x) = G'(k) \oplus x$ is not pseudorandom.

分辨器$\mathcal{D}$挑選兩個不同的輸入$x$跟$x'$提交給諭言機，得到$y$跟$y'$，通過判斷$x \oplus x' \overset{?}{=} y \oplus y'$來判斷是否是隨機數生成器。當$\mathcal{O}$是隨機數生成器時，$x \oplus x' = y \oplus y'$的概率爲$1 / 2^\lambda$；當$\mathcal{O}$是$F_k(\cdot)$時，$x \oplus x' = y \oplus y'$的概率爲1。

---

3.14 Let $F$ be a pseudorandom permutation, and define a fixed-length encryption scheme $(Gen, Enc, Dec)$ as follows: On input $m \in \{0, 1\}^{n/2}$ and key $k \in \{0, 1\}^n$, algorithm $Enc$ chooses a random string $r \gets \{0, 1\}^{n/2}$ of length $n/2$ and computes $c := F_k(r || m)$. Show how to decrypt, and prove that this scheme is CPA-secure for messages of length $n/2$. (If you are looking for a real challenge, prove that this scheme is CCA-secure if $F$ is a strong pseudorandom permutation.) What are the advantages and disadvantages of this construction as compared to Construction 3.24?

假設$F$是一個高效的、帶密鑰的置換函數，那麼存在概率多項式時間算法可以分別計算$F_k(x)$的值，以及$F_k^{-1}(y)$的值。上述題目加密方案具體設計如下：

• $Gen(1^\lambda) \to k$：輸入安全參數$1^\lambda$，隨機挑選$k \gets \{0, 1\}^\lambda$並輸出。
• $Enc(k, m) \to c$：輸入密鑰$k$和消息$m \in \{ 0, 1\}^{\lambda / 2}$，隨機挑選$r \gets \{ 0, 1\}^{\lambda / 2}$，計算$c := F_k(r || m)$並輸出。
• $Dec(k ,c) \to m$：輸入密鑰$k$和密文$c$，進行置換求逆得到$x := F^{-1}_k(c)$，丟棄前$\lambda / 2$比特得到消息$m$。

（定理） 若$F$是僞隨機置換，則上述方案滿足CPA安全性。

證明. 記上述加密方案爲$\Pi$，若它不滿足CPA安全性，那麼存在一個針對該方案的敵手$\mathcal{A}$，它以可觀概率$\varepsilon(\lambda)$贏得上述方案對應的CPA挑戰遊戲。

現引入一個證明用的加密方案$\widetilde{\Pi} = (\widetilde{Gen}, \widetilde{Enc}, \widetilde{Dec})$，構造如下：

• $\widetilde{Gen}(1^\lambda) \to k$：輸入安全參數$1^\lambda$，隨機挑選$k \gets \{0, 1\}^\lambda$並輸出。
• $\widetilde{Enc}(k, m) \to c$：輸入密鑰$k$和消息$m \in \{ 0, 1\}^{\lambda / 2}$，隨機挑選$r \gets \{ 0, 1\}^{\lambda / 2}$，計算$c := f(r || m)$並輸出，其中$f$是隨機挑選的置換函數。
• $\widetilde{Dec}(k, c) \to m$：無解密算法（解密者不知道加密者隨機挑選了哪一條置換函數$f$，故也不知道$f^{-1}$的編碼）。

當$f$是隨機挑選的置換函數時，密文$c$無異於是隨機挑選的比特串，將$c$交給$\mathcal{A}$，它贏得$\widetilde{\Pi}$對應的CPA挑戰遊戲的概率爲$1 / 2$。

注意到$\varepsilon(\lambda)$與$1/2$的差別，可編寫如下辨別器$\mathcal{D}$用於區分僞隨機置換$F_k$和真隨機置換$f$：

1. 當$\mathcal{A}$提交$m$給加密諭言機時，隨機挑選$r \gets \{0, 1\}^{\lambda/2}$，將$m || r$提交給自身的諭言機$\mathcal{O}_{F_k / f}$，得到$c$並返回給$\mathcal{A}$。
2. 當$\mathcal{A}$提交$m_0, m_1$時，隨機挑選一比特$b \gets \{0, 1\}$，隨機挑選$r \gets \{0, 1\}^{\lambda / 2}$，將$r || m_b$提交給自身的挑戰者$\mathcal{C}_{F_k / f}$，得到挑戰密文$c$並返回給$\mathcal{A}$。
3. 與$\mathcal{A}$繼續交互。最終，$\mathcal{A}$提交猜測比特$b'$，若$b = b'$，則向$\mathcal{C}_{F_k / f}$輸出$1$；否則，則向$\mathcal{C}_{F_k / f}$輸出$0$。

注意，$\Pi$的密文與$\widetilde{\Pi}$的密文計算不可區分（否則，意味着$\mathcal{A}$可以直接判斷$F_k / f$，這與$F_k$的定義矛盾），概率多項式時間算法$\mathcal{A}$拿到挑戰密文後照常工作並輸出猜測比特$b'$（若$\mathcal{A}$意識到這是非$\Pi$密文，有可能拒絕輸出猜測比特$b'$）。當$\mathcal{O}_{F_k / f}$對應$F_k$時，$\mathcal{A}$的視圖是$\Pi$；當$\mathcal{O}_{F_k / f}$對應$f$時，$\mathcal{A}$的視圖是$\widetilde{\Pi}$，有
$\Big| \frac{1}{2} - \varepsilon(\lambda) \Big| > negl(\lambda)，$
這與$F_k$的定義矛盾，故關於$\Pi$是非CPA安全的假設不成立。

要證明CCA安全，就需要開放解密諭言機，注意強僞隨機置換的定義，
$\Big| Pr [\mathcal{D}^{F_k(\cdot), F^{-1}_k(\cdot)}(1^\lambda) = 1] - Pr [\mathcal{D}^{f(\cdot), f^{-1}(\cdot)}(1^\lambda) = 1] \Big| \leq negl(\lambda)，$
而置換是one-to-one，不難編碼出解密諭言機，這裏不再擴展。

---

3.16 Consider a variant of CBC-mode encryption where the sender simply increments the $IV$ by $1$ each time a message is encrypted (rather than choosing $IV$ at random each time). Show that the resulting scheme is not CPA-secure.

這裏假設$IV$初始值爲$0000$（易擴展至任意初始值），$\mathcal{A}$在問詢加密諭言機階段挑選$m = 0000$，那麼$IV \oplus m = 0000$，得到$c = F_k(0)$，接着，$IV = 0001$，$\mathcal{A}$刻意挑選$m_0 = 0001$與$m_1 = 0000$，得到挑戰密文$c_b$，若$c = c_b$則輸出$b' = 0$，否則輸出$b' = 1$，從而以百分百概率贏得CPA挑戰遊戲（這裏方案證明不過去是因爲$F_k(r)$中的$r$以概率1重複了）。

---

3.21 Let $\Pi_1 = (Gen_1, Enc_1, Dec_1)$ and $\Pi_2 = (Gen_2, Enc_2, Dec_2)$ be two encryption schemes for which it is known that at least one is CPA-secure. The problem is that you don’t know which one is CPA-secure and which one may not be. Show how to construct an encryption scheme $\Pi$ that is guaranteed to be CPA-secure as long as at least one of $\Pi_1$ or $\Pi_2$ is CPA-secure. Try to provide a full proof of your answer.

加密方案$\Pi$構造如下：

• $Gen(1^\lambda) \to k$：運行$k_1 \gets Gen_1(1^\lambda)$和$k_2 \gets Gen_2(1^\lambda)$，設置$k := (k_1, k_2)$並輸出。
• $Enc(k, m) \to c$：計算$c' \gets Enc_1(k_1, m)$，再計算$c \gets Enc_2(k_2, c')$並輸出。
• $Dec(k, c) \to m$：計算$m := Dec_1(k_1, Dec_2(k_2, c))$並輸出。

易知，$Pr[\mathcal{A} ~ \text{wins}] \leq Pr[\mathcal{A} ~ \text{wins} \land (\Pi_1 ~ \text{is CPA-secure})] + Pr[\mathcal{A} ~ \text{wins} \land (\Pi_2 ~ \text{is CPA-secure})]$，熟知規約的人能夠很快地寫出安全性證明，這裏不再擴展。

---

3.22 Show that the CBC, OFB, and counter modes of encryption do not yield CCA-secure encryption schemes (regardless of F).

書中已經給出解釋：

Specifically, any encryption scheme that allows ciphertexts to be manipulated in any logical way cannot be CCA-secure.

直覺上，這些方案不能達到CPA安全是因爲解密諭言機造不出來（規約時無法使用邏輯方式模擬出解密算法）。這裏詳細分析爲何這些方案不能達到CPA安全：

在CBC模式中，$\mathcal{A}$提交$m_0 = 0^\lambda$和$m_1 = 1^\lambda$從而得到$c_b$，翻轉$c_b$中$IV$最後1比特得到$c'$，將$c'$提交給解密諭言機，得到的$m'$要麼是$0^{\lambda-1} || 1$要麼是$1^{\lambda-1} || 0$。

在OFB和CTR模式中，$\mathcal{A}$則翻轉$c_b^{(1)}$的最後1比特。

回顧題目3.14的加密方案，它能夠達到CCA安全，注意翻轉$c$的1比特，所解密出來的明文會發生巨大變化，與原明文沒有任何“邏輯”關係。在第四章中，則是通過引入消息鑑別碼（HMAC）來阻止敵手manipulates the ciphertexts in a logical way，從而使得方案達到CCA安全。