相关密钥攻击下的安全机制研究

### 相关密钥攻击下的安全机制研究 #### 1. 相关定义 在相关密钥攻击（RKA）的背景下，有两个重要的定义： - **RKA - PRF 安全**：设 $F: K × X → Y$ 且 $\Phi \subset Func(K, K)$。对于一个 $\Phi$ 受限的 RKA 敌手 $A$，且该敌手从不重复查询，其 RKA - PRF 优势定义为： $Adv^{rkaPRF}_F(A, \Phi) = 2 Pr[rkaPRF^A \Rightarrow true] - 1$ - **RKA - PRP 安全**：设 $F: K × X → X$ 且 $\Phi \subset Func(K, K)$。对于一个 $\Phi$ 受限的 RKA 敌手 $A$，且该敌手从不重复查询，其 RKA - PRP 优势定义为： $Adv^{rkaPRP}_F(A, \Phi) = 2 Pr[rkaPRP^A \Rightarrow true] - 1$ #### 2. 基于随机数的 AEAD 方案的 RKA 安全概念 ##### 2.1 随机数选择 在经典场景中，安全概念通常限制于尊重随机数的敌手，即敌手在加密查询中从不重复使用随机数。但在 RKA 场景下，这种限制需要更新。例如，Alice 和 Bob 使用 AEAD 方案进行多次会话通信，每次会话中 Alice 用计数器作为新随机数发送加密消息，且两次会话间用函数 $F$ 更新密钥。由于计数器可能重置，Alice 可能在不同会话中重复使用随机数，敌手就能观察到相关密钥下使用相同随机数的加密情况。同样，不同设备有相关密钥时，各设备保证自身随机数唯一，但相关设备间可能出现随机数碰撞。所以，我们定义 RKA 敌手为 RKA - 尊重随机数的，当且仅当它从不重复随机数和 RKD 函数的对。 ##### 2.2 AEAD 方案的 RKA 安全概念 我们将 AEAD 方案的安全扩展到 RKA 场景，采用 Rogaway 和 Shrimpton 的统一安全概念，敌手可访问两个预言机 $Enc$ 和 $Dec$，目标是区分真实世界（预言机实现加密和解密算法）和理想世界（第一个预言机返回随机比特，第二个拒绝任何密文）。为使新的 RKA 安全概念可实现，对敌手有标准限制： - 敌手不能将加密查询的响应转发到解密查询。 - 敌手不能重复对加密预言机的查询。 我们得到 s - RKA - AE 概念，定义如下： 设 $\Sigma = (Enc, Dec)$ 是一个 AEAD 方案，$\Phi \subset Func(K, K)$。对于一个 RKA - 尊重随机数且 $\Phi$ 受限的 RKA 敌手 $A$，且从不重复/转发对 $Enc$ 的查询，其 RKA - AE 优势定义为： $Adv^{s - rka - AE}_\Sigma(A, \Phi) = 2 Pr[s - rka - AE^A \Rightarrow true] - 1$ 安全游戏 s - rka - AE 如下： ```plaintext Game s - rka - AE b ←$ {0, 1} K ←$ K b′ ←A^{Enc,Dec}() return (b′ = b) Enc(N, A, M, ϕ) if b = 0 C ←Enc(ϕ(K), N, A, M) else C ←$ {0, 1}^c return C Dec(N, A, C, ϕ) if b = 0 M ←Dec(ϕ(K), N, A, C) else M ←⊥ return M ``` 当 AEAD 方案由多个有各自密钥的小模块构建时，其 RKD 函数集是各模块 RKD 函数集的笛卡尔积。为避免敌手绕过底层原语的随机数尊重属性，我们引入较弱的 RKA - AE 安全概念，禁止一些特定查询。定义如下： 设 $\Sigma = (Enc, Dec)$ 是一个 AEAD 方案，$\Phi = \Phi_e × \Phi_m \subset Func(K, K)$。对于一个 RKA - 尊重随机数且 $\Phi$ 受限的 RKA 敌手 $A$，且从不重复/转发对 $Enc$ 的查询，其 RKA - AE 优势定义为： $Adv^{rka - AE}_\Sigma(A, \Phi) = 2 Pr[rka - AE^A \Rightarrow true] - 1$ 安全游戏 rka - AE 如下： ```plaintext Game rka - AE b ←$ {0, 1} (Ke ∥Km) ←$ K S ←∅ b′ ←A^{Enc,Dec}() return (b′ = b) Enc(N, A, M, ϕe, ϕm) if ∃ϕ′_e ≠ ϕe st (N, ϕ′_e, ϕm) ∈ S retur ```