改善Song等人之加密文件搜寻后使用者解密的效率-中兴大学.PPTVIP

定理與證明(7/8) Proof: Claim 1: (HSE semantic security)=(HSE pair indistinguishable) Claim 2: (HSE pair indistinguishable)=(HSE semantic security) * 定理與證明 (8/8) Claim1: 若有一演算法A輕易區分密文, 即使無法區分搜尋密文其配對成功率亦大於1/2. 反之亦然. 由上述兩點得知HSE semantic security=HSE pair indistinguishable Claim 2: 證明架構類似定理一之證明方法 * 搜尋加密文件的需求性質(1/1) 控制搜索: 根據定理一可看出無論使用者做過多少次HSE之搜尋, 包括伺服器在內的任意攻擊者皆無法進行任意搜索. 隱藏搜尋: 由於使用者搜尋時之關鍵字先行加密後才傳給伺服器進行搜尋, 所以達成此性質. 獨立詢問: 在定理一二中顯示使用者搜尋後並沒有洩露任何可用資訊. 獨立更新: 由於每份文件皆為獨立, 所以更新時更換的文件並不會影響其它文件. * 結論(1/1) 使用近兩倍空間換得使用者解密時手續繁複之困擾. 將搜尋部份之密文排序後可將搜尋時間由O(n)降至O(lg n). 未來目標: 希望能多用一些額外資訊使搜尋時間降為O(1)並使搜尋率達成百分之百正確. * 附錄-定理一證明(1/7) 串流加密法運作如如下, 給定一金鑰k, 用PRG產生q*n位元的亂數與A查詢之關鍵字做XOR運算, A1的第i次查詢與第(i-1)*n+1至i*n位元做XOR運算, 共u次查詢, A2的第j次查詢與第(u+j+1)*n+1至(u+j+2)*n位元做XOR運算. 建構兩演算法B, C, B利用A破解串流加密法(虛擬亂數產生器), C利用A破解對稱式加密法. * 附錄-定理一證明(2/7) B運做如下: 對輸入字串I=(w1,…,wi,wb,wb+1,wi+1,…,wq-2), B利用A取得A(I)=(c0, c0’)與(c1, c1’)或(c0, c1’)與(c1, c0’), 觀察上兩組數可發現固定c’取一cb與之對應, 而由串流加密法安全定義可得, AdvB=|Pr[B(G(k))]-Pr[B(U)]|=|Pr[A]-1/2|≧ε+δ, contradiction. * 附錄-定理一證明(3/7) C運做如下: 對輸入字串I=(w1,…,wi,wb,wb+1,wi+1,…,wq-2), C利用A取得A(I)=(c0, c0’)與(c1, c1’)或(c0, c1’)與(c1, c0’), 觀察上兩組數可發現固定c取一cb’與之對應,而由對稱式加密法安全定義可得 AdvC=|Pr[C]-1/2|≧|Pr[A]-1/2|≧ε+δ, contradiction. * 附錄-定理二證明(4/7) Claim 1: 由於HSE語義上的安全指攻擊者挑選兩關鍵字無法區分密文也無法區分搜尋密文, 而HSE配對不可區分為密文與搜尋密文配對成功的利益為不可忽略的函數, 若密文部份成功區分機率不為可忽略的函數, 則固定搜尋密文配對密文, 則配對成功機率不為可忽略的函數. 反之亦然. 所以得到HSE semantic security=HSE pair indistinguishable. * 附錄-定理二證明(5/7) Claim 2: 若PPT攻擊者A能配對HSE密文與搜尋密文成功率大於ε+δ, 令A=(A1, A2) , AdvA=|Pr[b’=b: k, k’?keygen; (w0, w1) ? A1Enck(.),E(.),h(.); i, j?{0,1}*; c0?Enck(w0); c1?Enck(w1); c0’?h(Ek’(w0)||j||i); c1’?h(Ek’(w1)||j||i); (cb,cb’)? A2Enck(.),E(.),h(c0,c1,c0’,c1’,w0,w1)]|-1/2≧ε+δ * 附錄-定理二證明(6/7) 則建構兩PPT攻擊者B, C利用A區分關鍵字與密文和搜尋密文, 對輸入字串I=(w1,…,wi,wb,wb+1,wi+1,…,wq-2), B利用A得到A(I). Pr[B(G(k))]=Pr[A], Pr[B(U)]=1/2, 所以AdvB=|Pr[B(G(k))]-Pr[B(U)]|= |Pr[A]-1/2| ≧ε+δ≧ε, 則串流加密法(虛擬亂數產生器) 不安全, contradiction. * 附錄-定理二證明(7/7) 對輸入字串I=(w1,…,wi,wb,wb+1,wi+1,…,wq-2), C利