函数加密体制（二） (7-1)

4 安全定义

第2节给出了函数加密的语法定义，现在给出函数加密方案的安全定义。本节给的是基于游戏的定义，第5节讨论基于模拟的定义。

设ε 是一个函数加密方案，其功能 F 定义在 (K，X) 上。我们的目标是定义针对自适应攻击者的安全性，他会反复请求攻击者选择的密钥 skₖ ( k∈K )。正如我们将要看到的那样，定义针对此类攻击者的安全性比人们最初预期的要微妙得多。问题是如何在语义安全游戏中定义挑战密文。像往常一样，一旦攻击者获得了他想要的所有秘密钥，他将输出两个挑战消息 m₀，m₁ ∈ X ，挑战者返回从 m₀，m₁ 中随机选择的加密结果 c 。明显地，如果攻击者拥有一个密钥 skₖ (k∈K) 有 F(k，m₀) ≠ F(k，m₁)，则他很容易回答挑战密文 c 通过下式：

0 dec(skₖ，c)＝F(k，m₀)

{ 。

1 otherωise

条件1：因此，为了使（安全）定义是可满足的，我们必须严格限制攻击者对 m₀，m₁ 的选择，应该要求它们满足 F(k，m₀)＝F(k，m₁) （对于 ∀k∈K ，攻击者可能拥有的私钥 skₖ ）。

由于空密钥ϵ 会泄露明文长度，条件1中还需要确保 |m₀|＝|m₁| ，如语义安全的标准PKE定义。

This problematic system, however, would clearly not achieve the simulation-based definition of security presented in Section 5 since if x is chosen at random, the real-life adversary would be able to recover x always, while the simulator would not be able to recover a without breaking the one-wayness of the permutation π.

数学联邦政治世界观提示您：看后求收藏（同人小说网http://tongren.me），接着再看更方便。