【现代密码学】笔记2 -- 完善保密性《introduction to modern cryphtography》现代密码学原理与协议

写在最前面

参考：骆婷老师的PPT

《introduction to modern cryphtography》–Jonathan Katz, Yehuda Lindell（现代密码学——原理与协议）中相关章节

密码学复习笔记 这个博主好有意思

哈工大密码学课程 张宇老师的课件

B站视频 密码学原理《Introduction to modern Cryptography》

初步笔记，如有错误请指正

快速补充一些密码相关的背景知识

2 完善保密性的介绍

2.1 定义和基本属性

在本节中，我们将详细讨论现代密码学中加密方案的完善保密性定义和基本属性。

加密方案的组成

1. 算法组成：一个加密方案由三个算法组成：Gen (密钥产生算法)、Enc (加密算法) 和 Dec (解密算法)。
2. 明文空间 ∣ M |\mathcal{M}∣M|：加密方案还包括对明文空间 ∣ M ∣ > 1 |\mathcal{M}|>1∣M∣>1 的定义。如果 ∣ M ∣ = 1 |\mathcal{M}| = 1∣M∣=1，则只有一个消息，这使得通信变得无意义，更不用说加密了。

密钥产生算法 (Gen)

• 功能：Gen 是一种概率算法，输出密钥 k kk，基于特定的概率分布。
• 密钥空间 K \mathcal{K}K：由 Gen 输出的所有可能的密钥的集合，记为 K \mathcal{K}K，并且 K \mathcal{K}K 是有限的。

加密算法 (Enc)

• 输入和输出：加密算法 Enc 输入一个密钥 k ∈ K k \in \mathcal{K}k∈K 和一个明文 m ∈ M m \in \mathcal{M}m∈M，然后输出一个密文 c cc。我们定义加密过程为 E n c k ( m ) = c Enc_k(m) = cEnck(m)=c。
• 概率性：加密算法可能是概率性的，意味着对于同一个明文 m mm，E n c k ( m ) Enc_k(m)Enck(m) 在多次运行时可能输出不同的密文 c cc。

解密算法 (Dec)

• 功能：解密算法 Dec 输入一个密钥 k kk 和密文 c cc，输出明文 m mm。用 m : = D e c k ( c ) m := Dec_k(c)m:=Deck(c) 表示解密过程。
• 正确性：对于所有的 k ∈ K k \in \mathcal{K}k∈K、m ∈ M m \in \mathcal{M}m∈M 和任何由 E n c k ( m ) Enc_k(m)Enck(m) 输出的密文 c cc，D e c k ( c ) = m Dec_k(c) = mDeck(c)=m 的概率为 1。这意味着 Dec 通常是确定性的。

概率分布

• 密钥分布：密钥 k kk 的分布由运行 Gen 并取输出而得。通常，Gen 从 K \mathcal{K}K 中均匀随机选择一个密钥输出。
• 明文分布：明文 m mm 是根据某种分布选择的，意味着不同的消息有不同的发送概率。
• 密文分布：对于给定的加密算法 Enc，密文 c cc 上的分布完全取决于 K \mathcal{K}K 和 M \mathcal{M}M 上的分布。

独立性

• 密钥和明文的独立性：K \mathcal{K}K 和 M \mathcal{M}M 的分布是独立的，意味着密钥和明文是独立选择的。

完美保密加密

哈工大密码学课程 张宇老师的课件

在本节课程中，我们学习信息论意义上的安全——完美保密。完美保密的安全在信息论上是无需前提假设的，但其存在实践上的局限性，是完美中的不完美。本节将学习若干“等价”的完美保密定义，从中体会看似不同的定义却存在相同的本质，并且体会理解对同一个概念，从不同的角度去定义，对理解和应用这个概念是至关重要的。

3. 回顾加密词法

• 以小写字母表示一个具体值，用花体字母表示一个集合，用大写字母表示随机变量
  
• 密钥，明文，密文分别为k ∈ K , m ∈ M , c ∈ C k \in \mathcal{K}, m \in \mathcal{M}, c \in \mathcal{C}k∈K,m∈M,c∈C.
  
• 密钥生成，加密算法，解密算法分别为k ← G e n , c : = E n c k ( m ) , m : = D e c k ( c ) k \gets \mathsf{Gen}, c:= \mathsf{Enc}_k(m), m:= \mathsf{Dec}_k(c)k←Gen,c:=Enck(m),m:=Deck(c).
  
• 加密方案: Π = ( G e n , E n c , D e c ) \Pi = (\mathsf{Gen}, \mathsf{Enc}, \mathsf{Dec})Π=(Gen,Enc,Dec).
  
• 随机变量: K , M , C K, M, CK,M,C 对应密钥，明文，密文.
  
• 概率: Pr ⁡ [ K = k ] , Pr ⁡ [ M = m ] , Pr ⁡ [ C = c ] \Pr[K=k], \Pr[M=m], \Pr[C=c]Pr[K=k],Pr[M=m],Pr[C=c]，随机变量为某一个具体值的概率
  

4. 完美保密（Perfect Secrecy）定义

• 直觉：一个加密方案是安全的，那么敌手在获得密文后，密文应该对敌手猜测明文没有任何帮助。 敌手是知道明文本来的概率分布，例如，敌手知道明文是一个真或假问题的答案：真、假，并且知道两种答案的概率。敌手也知道加密方案。敌手要根据密文确定明文中的答案。如果加密方案是安全的，则密文应该对敌手猜测答案没有任何效果。
  
• 换句话说，根据密文来猜测答案和不知道密文猜测答案对敌手来说是一样的。从概率的角度看，在获得密文后的某个明文后验似然（posteriori likehood）应该与该明文被发送的先验概率（priori probability）没有差别。
  
• 定义：在M \mathcal{M}M上Π \PiΠ是完美保密的，若对于M \mathcal{M}M上的任意概率分布, ∀ m ∈ M \forall m \in \mathcal{M}∀m∈M 与 ∀ c ∈ C \forall c \in \mathcal{C}∀c∈C , 且 Pr ⁡ [ C = c ] > 0 \Pr[C = c] > 0Pr[C=c]>0:
  Pr ⁡ [ M = m ∣ C = c ] = Pr ⁡ [ M = m ] . \Pr[M=m | C=c] = \Pr[M=m].Pr[M=m∣C=c]=Pr[M=m].
  
• 上面的公式表示，给定密文的条件下，明文的概率分布与预先知道的相同，即知道密文对猜测明文没有帮助。
  

例子 一比特上的完美保密

• 下面看一个例子，这个方案是完美保密的吗？For M = K = { 0 , 1 } , E n c k ( m ) = m ⊕ k \mathcal{M}=\mathcal{K} = \{ 0,1 \} , \mathsf{Enc}_k(m)= m \oplus kM=K={0,1},Enck(m)=m⊕k. 这里的⊕ \oplus⊕是异或。
  
• 尽管这个方案看起来很简单（可能是最简单的），但答案是肯定的，是完美保密。下面我们来证明。
  

5. 一比特上的完美保密

• 这里假设M \mathcal{M}M上的概率分布是Pr ⁡ [ M = 1 ] = p \Pr[M=1] = pPr[M=1]=p和Pr ⁡ [ M = 0 ] = 1 − p \Pr[M=0]= 1-pPr[M=0]=1−p，计算Pr ⁡ [ M = 1 ∣ C = 0 ] \Pr[M=1 | C=0]Pr[M=1∣C=0]。

• 这里的例子个与课件不同的，课件上是计算Pr ⁡ [ M = 1 ∣ C = 1 ] \Pr[M=1 | C=1]Pr[M=1∣C=1]
• 注意：加密事件逻辑是从明文和密钥得到密文，而不是相反的。

• 根据贝叶斯定理:
  

6. Pr ⁡ [ M = 1 ∣ C = 0 ] = Pr ⁡ [ C = 0 ∣ M = 1 ] ⋅ Pr ⁡ [ M = 1 ] / Pr ⁡ [ C = 0 ] \Pr[M=1 | C=0] = \Pr[C=0 | M=1] \cdot \Pr[M=1] / \Pr[C=0]Pr[M=1∣C=0]=Pr[C=0∣M=1]⋅Pr[M=1]/Pr[C=0]
   = Pr ⁡ [ M ⊕ K = 0 ∣ M = 1 ] ⋅ p / ( Pr ⁡ [ C = 0 ∣ M = 1 ] ⋅ Pr ⁡ [ M = 1 ] + Pr ⁡ [ C = 0 ∣ M = 0 ] ⋅ Pr ⁡ [ M = 0 ] ) = \Pr[M \oplus K =0 | M=1] \cdot p / (\Pr[C=0 | M=1] \cdot \Pr[M=1]+\Pr[C=0 | M=0] \cdot \Pr[M=0])=Pr[M⊕K=0∣M=1]⋅p/(Pr[C=0∣M=1]⋅Pr[M=1]+Pr[C=0∣M=0]⋅Pr[M=0])
   = Pr ⁡ [ 1 ⊕ K = 0 ] ⋅ p / ( Pr ⁡ [ 1 ⊕ K = 0 ] ⋅ p + Pr ⁡ [ 0 ⊕ K = 0 ] ⋅ ( 1 − p ) ) = \Pr[1 \oplus K = 0] \cdot p / (\Pr[1 \oplus K = 0] \cdot p +\Pr[0 \oplus K = 0] \cdot (1-p))=Pr[1⊕K=0]⋅p/(Pr[1⊕K=0]⋅p+Pr[0⊕K=0]⋅(1−p))
   = 1 2 p / ( 1 2 p + 1 2 ( 1 − p ) ) = p = Pr ⁡ [ M = 1 ] = \frac{1}{2} p / (\frac{1}{2}p + \frac{1}{2}(1-p)) = p = \Pr[M=1]=21p/(21p+21(1−p))=p=Pr[M=1]
   

• 注意：Pr ⁡ [ 1 ⊕ K = 0 ] = 1 2 ≠ Pr ⁡ [ M = 1 , C = 0 ] = p ⋅ 1 2 \Pr[1 \oplus K = 0] = \frac{1}{2} \neq \Pr[M=1, C=0] = p \cdot \frac{1}{2}Pr[1⊕K=0]=21=Pr[M=1,C=0]=p⋅21
  
• 这里需要理解到，只要密钥是均匀随机的，密文的概率分布不受明文的概率分布的影响（注意密文不独立于明文，而是由明文和密钥一起决定的），密文不会携带明文的统计模式，从而安全。
  

7. 完美保密定义的等价公式

• 在完美保密加密方案中，密文的先验概率等于其后验概率，即Pr ⁡ [ C = c ∣ M = m ] = Pr ⁡ [ C = c ] \Pr[C=c | M=m] = \Pr[C=c]Pr[C=c∣M=m]=Pr[C=c]。
• 这个从之前例子中可以体会到，无论是什么明文被加密，密文出现的概率不变。
• 从右到左证明：

• 两边同时乘以Pr ⁡ [ M = m ] / Pr ⁡ [ C = c ] \Pr[M=m]/\Pr[C=c]Pr[M=m]/Pr[C=c]，得到
• Pr ⁡ [ C = c ∣ M = m ] ⋅ Pr ⁡ [ M = m ] / Pr ⁡ [ C = c ] = Pr ⁡ [ M = m ] \Pr[C=c | M=m] \cdot \Pr[M=m] / \Pr[C=c] = \Pr[M=m]Pr[C=c∣M=m]⋅Pr[M=m]/Pr[C=c]=Pr[M=m]
• 应用贝叶斯定理，左边等于 Pr ⁡ [ M = m ∣ C = c ] ⋅ Pr ⁡ [ C = c ] / Pr ⁡ [ C = c ] = Pr ⁡ [ M = m ∣ C = c ] \Pr[M=m | C=c] \cdot \Pr[C=c] / \Pr[C=c] = \Pr[M=m | C=c]Pr[M=m∣C=c]⋅Pr[C=c]/Pr[C=c]=Pr[M=m∣C=c]
• 得到完美保密定义：Pr ⁡ [ M = m ∥ C = c ] = Pr ⁡ [ M = m ] \Pr[M=m \| C=c] = \Pr[M=m]Pr[M=m∥C=c]=Pr[M=m]

• 从左到右证明略。
• 从另一个方向思考，在完美保密中，密文出现概率根据明文概率分布和密钥概率分布以及加密算法可以预先计算。给定任意明文，对加密结果的预期与预先计算结果是一样。

7. 完美不可区分性（Perfect Indistinguishability）

• 数学表达：Pr ⁡ [ C = c ∣ M = m 0 ] = Pr ⁡ [ C = c ∣ M = m 1 ] \Pr[C=c | M=m_0] = \Pr[C=c | M=m_1]Pr[C=c∣M=m0]=Pr[C=c∣M=m1]。这个公式表明，对于两个不同的明文 m 0 m_0m0 和 m 1 m_1m1，产生同一密文 c cc 的概率是相等的。
• 含义：在完美保密加密方案中，任意两个明文加密后为相同密文的概率是相同的。换句话说，无论用什么明文，加密后得到相同密文的概率是相同的。证明见幻灯片。
• 不可区分是什么意思？任意明文加密成某个密文的概率都相同，攻击者无法区分出密文是由哪个明文加密得到的，具体见后面的窃听者不可区分实验。

补充理解：

• 不可区分性：这个属性意味着对于外部的攻击者来说，他们无法通过观察密文来推测出原始明文是什么。换句话说，攻击者无法区分出密文是由哪个明文加密得到的。
• 安全性：这种不可区分性提供了强大的安全保障。即使敌手知道可能的明文集合，他们也不能确定加密的密文对应于哪个具体的明文。
• 举例：假设有两个可能的明文：“attack at dawn” 和 “retreat at dusk”。在完美保密的加密方案中，这两个明文被加密成同一个密文的概率应该是一样的。因此，即使敌手捕获了密文，他们也无法确定实际的指令是进攻还是撤退。

理论和实际应用

• 理论意义：完美不可区分性是一个理论上的理想标准，它要求加密算法达到极高的安全水平。
• 实际应用：在实际中，完全达到这种理想状态可能很困难，特别是在有限资源和实际约束的情况下。因此，实际的加密方案通常寻求达到“计算上的不可区分性”（computational indistinguishability），这是一个相对较弱但在实践中更可行的安全标准。

完美不可区分性作为一个理想化的概念，在加密理论中起着基础和指导作用，帮助设计者理解和追求更高水平的安全性。然而，在实际应用中，通常会根据可用资源和具体需求，对这一标准进行适当的调整和权衡。

8. 一次一密（One-Time Pad (Vernam’s Cipher)）

• 将明文以比特串的形式与相同长度的密钥按位异或得到密文。解密时将密文与密钥按比特异或得到明文。这种加密方案称为“一次一密”。
• 是一种完美保密的加密方案，道理和前面给出的一个比特异或加密的例子一样。证明见幻灯片。
• 问题：除了一次一密，还有没有其它实现完美保密的方案？

9. 完美保密的局限性

• 很容易观察到一次一密加密方案中密钥需要和明文一样长，难以存储和分享。把比特串长度换一个表达方式，换成比特串数量——比特串所构成空间的规模，意味着密钥数量需要和明文数量一样多。
• 那如果密钥长度比明文短，或者说密钥数量比明文少，能否实现完美保密？答案是否定的。要实现完美保密一定需要密钥空间大于等于明文空间，即∣ K ∣ ≥ ∣ M ∣ |\mathcal{K}| \ge |\mathcal{M}|∣K∣≥∣M∣。

• 采用反证法证明，假设密钥数量比明文数量少∣ K ∣ < ∣ M ∣ |\mathcal{K}| < |\mathcal{M}|∣K∣<∣M∣，则不可能实现完美保密。
• 将从一个密文c cc解密得到的所有明文集合，表示为M ( c ) = def { m ^ ∣ m ^ = D e c k ( c )  for some  k ^ ∈ K } \mathcal{M}(c) \overset{\text{def}}{=} \{ \hat{m} | \hat{m} = \mathsf{Dec}_k(c)\ \text{for some}\ \hat{k} \in \mathcal{K} \}M(c)=def{m^∣m^=Deck(c) for some k^∈K}。
• 对于一个密钥k kk，最多有个一个明文m mm使得m = D e c k ( c ) m = \mathsf{Dec}_k(c)m=Deck(c)。这是因为如果有多个明文的话，就根本不是一个加密方案。
• 因此，从一个密文解密出来的明文数量不会超过密钥数量，也就不超过明文总数： ∣ M ( c ) ∣ ≤ ∣ K ∣ < ∣ M ∣ |\mathcal{M}(c)|\le |\mathcal{K}| < |\mathcal{M}|∣M(c)∣≤∣K∣<∣M∣.
• 那么，一定存在一个明文m ′ m'm′是无法由c cc解密出来的，即 Pr ⁡ [ M = m ′ ∣ C = c ] = 0 ≠ Pr ⁡ [ M = m ′ ] \Pr[M=m'|C=c] = 0 \neq \Pr[M = m']Pr[M=m′∣C=c]=0=Pr[M=m′]。因此，不是完美保密。

• 尽管有这个局限性，但一次一密也可以用在实践中，例如美国和苏联之间的“Red line”。

10. 二次加密：真实世界案例

• 二次加密：真实世界案例

• c ⊕ c ′ = ( m ⊕ k ) ⊕ ( m ′ ⊕ k ) = m ⊕ m ′ . c\oplus c'=(m\oplus k)\oplus (m'\oplus k)=m\oplus m'.c⊕c′=(m⊕k)⊕(m′⊕k)=m⊕m′.
• 如果一个密钥用了两次，那么敌手会得到两次明文的异或值，这显然不是完美保密了，而且根据异或值结合之前学习的自然语言统计模式分析可以破解出明文。
• 一个例子真实世界例子是，在MS-PPTP协议中，通信双方采用同一个密钥来加密双向相互发送的两个消息。
• 改进方法是双方各两个方向（分别作为源和目的）的通信使用不同的密钥。

11. 香农定理（Shannon’s Theorem）

• 香农定理（Shannon’s Theorem）

• 前面的完美保密相关定义的可操作性不高，原因是不容易直接获得明文概率分布。香农定理使得完美保密的可操作性得到了很大提高。
• 当明文空间、密钥空间和密文空间规模相同时，加密方案是完美保密的，当且仅当满足两个条件：

• （1）每个密钥是从密钥空间中均匀随机生成的；
• （2）对于任意明文和密文对，存在唯一的密钥使得该明文加密成该密文。
• 证明见幻灯片。

12. 香农定理的例题

• 请根据香农定理来分析。这里从更通用的形式来了解一次一密。
• 讲义中通常不给出例题答案

13. 窃听不可区分实验（Eavesdropping Indistinguishability Experiment）

• 窃听不可区分实验（Eavesdropping Indistinguishability Experiment）这里引入密码学中最重要的思想实验：存在一个挑战者，挑战敌手不能破解加密方案，并配合敌手做一个实验。

1. 敌手根据自己的策略选择两个不同的长度相同的明文，并发送给挑战者；
   
2. 挑战者随机挑选其中一个明文，并新生成一个密钥，用加密方案来加密选中的明文，得到密文（称为一个挑战），并将密文发送给敌手；
   
3. 敌手根据收到的密文，猜测哪一个明文被加密了。如果猜对了，则敌手在这次实验中成功。
   

• 实验中的一个重点在于实验可重复足够多次。每次实验中挑战者都是生成新的密钥。
  

14. 敌手不可区分（Adversarial Indistinguishability）

• 敌手不可区分（Adversarial Indistinguishability）

• 下面给出一个新的完美保密的定义：对于完美保密的加密方案，在窃听不可区分实验中，任意敌手成功的概率等于1/2。
• 1/2是敌手采用瞎猜策略时成功的概率。因此，完美保密也意味着任意敌手在实验中不会获得比瞎猜更好的结果，或者说敌手获得密文后也不会比瞎猜策略获得更大的优势。后面还会反复学习这一概念。
• 直觉理解为什么是敌手不可区分是一个完美保密的等价定义：

• 无论明文如何分布，也无论敌手如何挑选两个明文，在实验中由挑战者随机二选一，明文空间缩减为二，每个明文被选中的概率为1/2。
• 如果加密方案是完美保密的，则敌手获得密文后猜测明文的后验似然也是1/2。
• 如果加密方案不是完美保密的，则意味着敌手可以利用某个明文和密文获得比瞎猜更大的优势，则敌手成功的概率不等于1/2。

• 例题：其中∥ \|∥表示比特串连接，LSB表示最低有效位（the least significant bit）。如果你觉得是完美保密，请指出其和一次一密的关系；否则，请说明在不可区分实验中敌手如何成功。

15. 总结

• 总结

• 完美保密 = 完美不可区分 = 敌手不可区分

• 知道密文对猜测明文没有帮助
• 给定明文对推测密文没有帮助
• 任意明文加密成某个密文的概率是相同的

• 完美保密是可获得的。一次一密。
• 香农定理（可操作的完美保密）