Fujisaki - Okamoto Conversion（FO转换）

令s←RSs \leftarrow_R Ss←RS定义为：从有限集合SSS中均匀随机选择一个元素sss令a←A(⋅)a \leftarrow A(\cdot)a←A(⋅)定义为：将算法AAA的结果赋值给aaaHybrid Encryption非对称加密非对称加密方案，定义为一个算法组：Πasym=(Kasym,Easym,Dasym,COINSasym,MSPCasym)\Pi^{asym} =

山登绝顶我为峰 3(^v^)3

2784人浏览 · 2022-03-23 14:45:31

山登绝顶我为峰 3(^v^)3 · 2022-03-23 14:45:31 发布

参考文献：

Fujisaki E, Okamoto T. Secure integration of asymmetric and symmetric encryption schemes[C]//Annual international cryptology conference. Springer, Berlin, Heidelberg, 1999: 537-554.

令 $\leftarrow_R S$ 定义为：从有限集合 $S$ 中均匀随机选择一个元素 $s$

令 $\leftarrow A(\cdot)$ 定义为：将算法 $A$ 的结果赋值给 $a$

Hybrid Encryption

非对称加密

非对称加密方案，定义为一个算法组：
$\Pi^{asym} = (K^{asym},E^{asym},D^{asym},COINS^{asym},MSPC^{asym})$

$K^{asym}$ ：密钥生成算法， $\leftarrow K^{asym}(1^k)$ ，其中 $\in N$

$E^{asym}$ ：加密算法， $\leftarrow E_{pk}^{asym}(x,r)$ ，其中 $\leftarrow_R COINS^{asym}$

$D^{asym}$ ：解密算法， $\leftarrow D_{sk}^{asym}(y)$

$COINS^{asym}$ ：随机数集合， $\subseteq \{0,1\}^*$

$MSPC^{asym}$ ：消息集合， $\subseteq \{0,1\}^*$

对称加密

对称加密方案，定义为一个算法组：
$\Pi^{sym} = (E^{asym},D^{asym},KSPC^{asym},MSPC^{asym})$
$E^{sym}$ ：加密算法， $\leftarrow E_{key}^{sym}(x)$

$D^{sym}$ ：解密算法， $\leftarrow D_{key}^{sym}(y)$

$KSPC^{sym}$ ：密钥集合， $\subseteq \{0,1\}^*$

$MSPC^{sym}$ ：消息集合， $\subseteq \{0,1\}^*$

混合使用

给定一个非对称加密方案以及一个对称加密方案。一般的，非对称加密方案仅被用来传递对称加密方案的密钥，使用对称加密方案来传递消息。

然而，这种混合使用往往是不安全的，即使上述两种加密方案的安全性都非常高。

Fujisaki- Okamoto Conversion

混合加密

给定非对称加密方案 $\Pi^{asym}$ 以及对称加密方案 $\Pi^{sym}$ ，混合加密定义为：
$\Pi^{hy} = (K^{hy},E^{hy},D^{hy},COINS^{hy},MSPC^{hy})$
$K^{hy}$ ：密钥生成算法， $\leftarrow K^{hy}(1^k)$ ，其中 $\in N$

$E^{hy}$ ：加密算法， $\leftarrow E_{pk}^{hy}(x,r)$ ，其中 $\leftarrow_R COINS^{hy}$

$D^{hy}$ ：解密算法， $\leftarrow D_{sk}^{hy}(y)$

$COINS^{hy}$ ：随机数集合， $COINS^{hy}=MSPC^{asym}$

$MSPC^{hy}$ ：消息集合， $MSPC^{hy}=MSPC^{sym}$

FO转换

ROM：random oracle model

$H(\cdot)$ ：ROM下的Hash函数，映射为
$MSPC^{asym} \times MSPC^{sym} \rightarrow COINS^{asym}$
$G(\cdot)$ ：ROM下的Hash函数，映射为
$MSPC^{asym} \rightarrow KSPC^{sym}$
加密算法：
$E_{pk}^{hy}(m,\sigma) := E_{pk}^{asym}(\sigma,H(\sigma,m)) \| E_{G(\sigma)}^{sym}(m)$
其中 $\sigma \leftarrow_R COIN^{hy}$ ， $\in MSPC^{hy}$

解密算法：
$D_{sk}^{hy}(c_1\|c_2) = \left\{ \begin{aligned} D_{G(\hat\sigma)}^{sym}(c_2) ,&& c_1 = E_{pk}^{asym}(\hat\sigma,H(\hat\sigma,\hat m))\\ \perp ,&& otherwise\\ \end{aligned} \right.$
其中 $\hat\sigma:=D_{sk}^{asym}(c1)$ ， $\hat m := D_{G(\hat\sigma)}^{sym}(c_2)$

安全性

One-way Encryption (OWE)：非对称加密方案 $\Pi^{asym} = (K^{asym},E^{asym},D^{asym},COINS^{asym},MSPC^{asym})$ ， $A$ 是敌手，其优势定义为

$Adv_{A,\Pi,MSPC}^{OWE}(k) := Pr[(pk,sk)\leftarrow K(1^k), x \leftarrow MSPC(k), y \leftarrow E_{pk}(x): A(pk,y)=D_{sk}(y)]$

如果敌手 $A$ 运行时间至多为 $t$ ，优势至少为 $\epsilon$ ，那么说：adversary $A$ $(t,\epsilon)-$ breaks $\Pi^{asym}$ in the sense of OWE

如果不存在这样的敌手，那么说： $\Pi^{asym}$ is $(t,\epsilon)-$ secure in the sense of OWE

Find-Guess (FG)：对称加密方案 $\Pi^{sym} = (K^{sym},E^{sym},D^{sym},KSPC^{sym},MSPC^{sym})$ ， $A$ 是敌手，其优势定义为

$Adv_{A,\Pi}^{FG}(k) := 2\cdot Pr[key\leftarrow KSPC(k), (x_0,x_1,s) \leftarrow A(find), b \leftarrow_R \{0,1\},y \leftarrow E_{key}(x_b): A(guess,s,y)=b] - 1$

如果敌手 $A$ 运行时间至多为 $t$ ，优势至少为 $\epsilon$ ，那么说：adversary $A$ $(t,\epsilon)-$ breaks $\Pi^{sym}$ in the sense of FG in the ROM

如果不存在这样的敌手，那么说： $\Pi^{sym}$ is $(t,\epsilon)-$ secure in the sense of FG

定理：If $\Pi^{asym}$ is $(t_1,\epsilon_1)-$ secure in the sense of OWE， $\Pi^{sym}$ is $(t_2,\epsilon_2)-$ secure in the sense of FG，then $\Pi^{hy}$ is $(t,q_G,q_H,q_D,\epsilon)-$ secure in the sense of IND-CCA in the ROM.

这里 $q_G,q_H,q_D$ 是查询 $G(\cdot),H(\cdot),D_{sk}(\cdot)$ 预言机的次数， $t$ 是执行时间， $\epsilon$ 是优势上界。

优势定义为：
$\begin{aligned} Adv_{A,\Pi}^{IND-CCA}(k) := 2\cdot Pr[G,H\leftarrow \Omega; (sk,pk) \leftarrow K(1^k); (x_0,x_1,s) \leftarrow A^{G,H,D_{sk}}(find,pk); \\b \leftarrow_R \{0,1\}; y \leftarrow E_{pk}^{G,H}(x_b): A^{G,H,D_{sk}}(guess,s,y)=b] - 1 \end{aligned}$