公鑰密碼學入門基礎：El Gamal加密的安全性證明

主要符號表

符號	含義
$x \gets \mathcal{X}$	從集合$\mathcal{X}$中隨機挑選一個元素，將其值賦予$x$
$x := y$	將元素$y$的值賦予$x$
$x = y$	表示元素$x$的值與元素$y$的值相等

其餘符號，請參考Jonathan Katz，Yehuda Lindell編著的《Introduction to Modern Cryptography》一書。

El Gamal加密方案構造

令算法$\mathcal{G}$表示Schnorr羣生成算法，El Gamal加密方案構造具體如下：

• $\mathsf{Gen}(1^\lambda) \to (sk, pk)$：輸入安全參數$1^\lambda$，運行$(\mathbb{G}, q, g) \gets \mathcal{G}(1^\lambda)$，隨機挑選$x \gets \mathbb{Z}_q$，計算$h := g^x$，設置$sk := \big< \mathbb{G}, q, g, x \big>$和$pk := \big< \mathbb{G}, q, g, h \big>$，輸出密鑰對$(sk, pk)$。
• $\mathsf{Enc}(pk, m) \to c$：輸入公鑰$pk = \big< \mathbb{G}, q, g, h \big>$和消息$m \in \mathbb{G}$，隨機挑選$y \gets \mathbb{Z}_q$，計算$c_1 := g^y$和$c_2 := h^y \cdot m$，設置$c := \big<c_1, c_2 \big>$，輸出密文$c$。
• $\mathsf{Dec}(sk, c) \to m$：輸入私鑰$sk = \big< \mathbb{G}, q, g, x \big>$和密文$c = \big<c_1, c_2 \big>$，計算$m := c_2 / c_1^x$，輸出消息$m$。

困難性問題假設

若對於任意概率多項式時間算法$\mathscr{D}$，如下不等式恆成立，則稱與算法$\mathcal{G}$相關的DDH問題是困難的，
$\Big| \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^z) = 1] - \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^{xy}) = 1] \Big| \leq \mathsf{negl}(\lambda)，$
其中$x, y, z \gets \mathbb{Z}_q$，而判別器算法$\mathscr{D}$的描述是：給它一堆參數$(\mathbb{G}, q, g, g_1 = g^x, g_2 = g^y, g_3)$，讓它判斷最後一個參數$g_3$是$g^z$還是$g^{xy}$，若它猜測最後一個參數是$g^z$則輸出$1$，否則輸出$0$。

（擴展） 上述式子還有一種等價寫法，
$\mathrm{Pr}[\mathscr{D} ~ \text{wins}] \leq \frac{1}{2} + \mathsf{negl}(\lambda)，$
表示敵手$\mathscr{D}$贏得DDH挑戰遊戲的優勢爲可忽略函數，即與瞎猜無異（敵手$\mathscr{D}$瞎猜以0.5概率猜中挑戰比特$b$的值，具體參考入門書籍《Introduction to Modern Cryptography》）。

安全性證明

（定理） 若與算法$\mathcal{G}$相關的DDH問題是困難的，那麼El Gamal加密滿足CPA不可區分性。

證明. （主要證明思路：反證法，若El Gamal加密不安全，那麼DDH困難問題假設不成立）

記El Gamal加密方案爲$\Pi$，若$\Pi$不滿足CPA不可區分性，那麼存在一個概率多項式時間算法$\mathscr{A}$，它自身有一套編碼規則，對於$\Pi$環境下的$(pk, \big<c_1, c_2\big>)$，以可觀的概率$\varepsilon(\lambda)$贏得挑戰遊戲，而對於亂碼輸入$(pk, \big<c_1, c_2\big>)$，該編碼規則會失效（這一點類似機器學習裏的特定領域算法，參考No Free Lunch定理），有
$\mathrm{Pr}[\mathrm{PubK}^{\mathsf{eva}}_{\mathscr{A}, \Pi}(\lambda) = 1] = \varepsilon(\lambda)。$

現引入一個證明用的加密方案$\widetilde{\Pi}$，它構造如下：

• $\mathsf{Gen}(1^\lambda) \to (sk, pk)$：輸入安全參數$1^\lambda$，運行$(\mathbb{G}, q, g) \gets \mathcal{G}(1^\lambda)$，隨機挑選$x \gets \mathbb{Z}_q$，計算$h := g^x$，設置$sk := \big< \mathbb{G}, q, g, x \big>$和$pk := \big< \mathbb{G}, q, g, h \big>$，輸出密鑰對$(sk, pk)$。
• $\mathsf{Enc}(pk, m) \to c$：輸入公鑰$pk = \big< \mathbb{G}, q, g, h \big>$和消息$m \in \mathbb{G}$，隨機挑選$y \gets \mathbb{Z}_q$和$z \gets \mathbb{Z}_q$，計算$c_1 := g^y$和$c_2 := g^z \cdot m$，設置$c := \big<c_1, c_2\big>$，輸出密文$c$。
• $\mathsf{Dec}(sk, c) \to m$：無解密算法。

假設$\widetilde{\mathscr{A}}$是專門針對$\widetilde{\Pi}$的敵手，現在分析它在$\widetilde{\Pi}$對應的CPA挑戰遊戲中的優勢。留意到$\widetilde{\Pi}$中的密文$c$無異於是完全隨機挑選的，跟$m$一點關聯都沒有，即使是持有私鑰$sk$的人也無法解密密文$c$，那麼$\widetilde{\mathscr{A}}$贏得$\widetilde{\Pi}$對應的CPA挑戰遊戲的優勢爲0，即
$\mathrm{Pr}[\mathrm{PubK}^{\mathsf{eva}}_{\widetilde{\mathscr{A}}, \widetilde{\Pi}}(\lambda) = 1] = \frac{1}{2}。$
從以上分析可進一步得知，任意概率多項式時間算法（包括$\mathscr{A}$）贏得$\widetilde{\Pi}$對應的CPA挑戰遊戲的概率也爲0.5。注意，其它算法贏得挑戰遊戲的優勢小於或等於$\widetilde{\mathscr{A}}$，這一點類似機器學習的特定領域，敵手訪問諭言機的過程可以看成是一種參數訓練。那麼，有如下式子成立
$\mathrm{Pr}[\mathrm{PubK}^{\mathsf{eva}}_{\mathscr{A}, \widetilde{\Pi}}(\lambda) = 1] = \frac{1}{2}。$

前面假設$\mathscr{A}$以可觀概率$\varepsilon(\lambda)$贏得$\Pi$對應的CPA挑戰遊戲，留意到$\varepsilon(\lambda)$與$\frac{1}{2}$的不同，我們可以編碼出一個判別器$\mathscr{D}$用於解決DDH問題，即：若$\varepsilon(\lambda)$與$\frac{1}{2}$明顯不同，則DDH問題失效。

算法$\mathscr{D}$工作如下：

輸入$(\mathbb{G}, q, g, g_1, g_2, g_3)$，設置$pk := \big<\mathbb{G}, q, g, g_1\big>$，運行$\mathscr{A}(pk)$得到兩個消息$m_0, m_1$，隨機挑選一個比特$b \gets \{0, 1\}$，設置$c_1 := g_2$和$c_2 := g_3 \cdot m_b$，將$c = \big<c_1, c_2\big>$交給$\mathscr{A}$以得到一個比特$b'$，若$b = b'$，則$\mathscr{D}$輸出$1$，否則，輸出$0$。

對於$\mathscr{D}$得到的參數，分爲以下兩種情況：

情況1. 此時$g_1 = g^x$，$g_2 = g^y$，$g_3 = g^z$，此時$\mathscr{A}$的視圖爲$\widetilde{\Pi}$，算法$\mathscr{D}$輸出$1$的概率爲$\mathscr{A}$贏得$\widetilde{\Pi}$的CPA挑戰遊戲的概率，即
$\mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^z) = 1] = \mathrm{Pr}[\mathrm{PubK}^{\mathsf{eva}}_{\mathscr{A}, \widetilde{\Pi}}(\lambda) = 1] = \frac{1}{2}。$

情況2. 此時$g_1 = g^x$，$g_2 = g^y$，$g_3 = g^{xy}$，此時$\mathscr{A}$的視圖爲$\Pi$，算法$\mathscr{D}$輸出$1$的概率爲$\mathscr{A}$贏得$\Pi$的CPA挑戰遊戲的概率，即
$\mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^{xy}) = 1] = \mathrm{Pr}[\mathrm{PubK}^{\mathsf{eva}}_{\mathscr{A}, \widetilde{\Pi}}(\lambda) = 1] = \varepsilon(\lambda)。$

有
$\Big| \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^z) = 1] - \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^{xy}) = 1] \Big| = \Big| \frac{1}{2} - \varepsilon(\lambda) \Big|,$

若$\mathscr{A}$以可觀概率贏得$\Pi$對應的CPA挑戰遊戲，意味着
$\varepsilon(\lambda) > \frac{1}{2} + \mathsf{negl}(\lambda)，$

這使得
$\Big| \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^z) = 1] - \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^{xy}) = 1] \Big| > \mathsf{negl}(\lambda)，$

與DDH困難問題假設相矛盾，故$\varepsilon(\lambda) \leq \frac{1}{2} + \mathsf{negl}(\lambda)$。

上述證明過程中還存在一個問題，$\mathscr{A}$是針對$\Pi$的算法，那麼在情況1中它有沒有可能意識到挑戰密文的不同之處，從而拒絕輸出$b'$呢？這樣$\mathscr{D}$輸出的就是無效符號$\perp$。我們知道，安全性規約證明過程中必須給$\mathscr{A}$正確地模擬出方案的真實環境，這樣$\mathscr{A}$纔會老老實實地工作。接下來證明情況1中的挑戰密文和情況2中的挑戰密文，對於敵手來說不可區分。

假設情況1中$\mathscr{A}$能夠意識到密文的不同之處從而拒絕輸出，即$\mathscr{D}$最終收到的是一個無效符號$\perp$，那麼$\mathscr{D}$接下來直接輸出$1$，表示它判斷$g_3$是$g^z$，此時
$\Big| \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^z) = 1] - \mathrm{Pr}[\mathscr{D}(\mathbb{G}, q, g, g^x, g^y, g^{xy}) = 1] \Big| > \mathsf{negl}(\lambda)，$
與定理矛盾，故$\mathscr{A}$在情況1中依舊會照常輸出比特$b'$。

El Gamal加密的實現

具體參考Python密碼庫：charm-crypto