第二十八个知识点：什么是公钥密码学的IND-CCA安全定义？

第二十八个知识点：什么是公钥密码学的IND-CCA安全定义？

我们将在这篇博客中讨论公钥加密的IND-CCA安全。

IND-CCA安全代表选择明文的不可伪造性。这样的安全方案的思想就是给定一个密文，攻击者不能说出给定密文是什么样的明文加密得到的。在这个模型中，攻击者被允许使用加密问询和解密问询。闻讯既可以在第三步和第四步之前也可以在之后。公钥的IND-CCA的find-then-guess安全游戏的描述：

1.生成公钥和私钥\((p_k,s_k)\)。攻击者A能够获得公钥\(p_k\)。

2.私密的指定\(b \leftarrow \{0,1\}\)。

3.攻击者A可以进行解密问询\(Dec_{s_k}\)，和加密问询\(Enc_{p_k}\)。

4.A输出一对消息\((m_0,m_1)\)。

5.我们输出加密\(c = Enc_{p_k}(m_b)\)。

6.攻击者被允许使用更多的加密和解密，例如在第三步中，但是我们不被允许要求解密\(c\)。

7.A输出\(b^{‘}\)。如果\(b = b^{‘}\)，A就获胜了。

我们说A获胜的概率\(Adv(A) = 2*|Pr[A wins]-1/2|\)。如果这个概率是可忽略的（negligible），那么就说这个方案是IND-CCA安全的。

IND-CCA安全有另外一个版本，真实还是随机。主要的不同就是第五步中并不是由攻击者输出的消息。二十一个随机的\(m^{‘}\)。A必须区分它是真的还是随机的。概率和安全和上述定义基本相同。

这两个定义是等价的，如果一个方案在实数或随机意义上对对手a是IND-CCA安全的，我们可以构造一个对手B用于查找和猜测，这样两个优势都是相等的。类似地，如果一个方案对对手a是发现和猜测安全的，我们可以构造一个这样的对手B使得：

\[Adv_{find-and-guess}(A)=2 \cdot Adv_{real-or-random}(B)
\]