【扯蛋证明】FE和HE不满足语义安全

1、PKE语义安全性证明

$$\begin{gathered} A——m_0,m_1⟶C \\ ⟵c_b,b=0/1—— \\ ——guessb=0/1\to \end{gathered}$$

首先强调公钥加密的两个特点：正确性、可证明安全性==语义安全性

1）正确性。公钥和私钥相对应，明文在经过加解密之后恢复正确。

2）可证明安全性。相同的明文经过相同的公钥加密之后，会得到不同的密文,同时也可以使用相同的私钥进行解密。根据密文，攻击者无法判断明文任意比特的信息。

2、用PKE语义安全性证明思路不能证明FE的语义安全性

$$\begin{gathered} A——m_0,m_1⟶C \\ \leftarrow c_b,b=0,1—— \\ Aknownd{f}_{k_1}、d{f}_{k_{ϵ}}、f_{k_1} \end{gathered}$$

**定义攻击者的已知能力：**此时根据FE函数加密的特性，用户已知至少两个私钥$d{f}_{k_1}和d{f}_{k_{ϵ}}$，当让用户也知道$f_{k_1}$。此处定义攻击者的能力具备一般用户的能力。

破解b的方法：使用$d{f}_{k_{ϵ}}$可以得到密文的长度，使用$d{f}_{k_1}$进行解密能够得到$f_1(m_b)$,与$f_1(m_0)，f_1(m_1)$进行比较，即可推出b。

FE的语义安全性有属于他自己的证明方式，不能用PKE语义安全性思路简单证明。

3、用PKE语义安全性证明思路，证明HE不满足语义安全性的错误思路

$$\begin{gathered} A——m_0,m_1⟶C \\ \leftarrow c_b,b=0,1—— \\ Aknownpk,m_1=f(m_0),thehomomorphismoftheEnc \end{gathered}$$

**定义攻击者的已知能力：**此时根据HE函数加密的特性，用户已知Enc加密函数具有的同态特征，攻击者具备一般用户的的能力之外，由于公钥加密中C使用的公钥和加密算法也是公开的，所以这些也可以被攻击者所知。

破解b的方法： A可以计算出$c_0和c_1$，由PKE的语义安全性可以知道，$c_0和c_1$对安全性并不造成威胁，因为加密中使用了随机数，使得每次加密的密文都不同；但在同态加密的环境下，情况就会发生改变。

假设Enc加密方法使用paillier Encryption，支持的同态性：
$$Enc(m_1{)}^{m_2}=Enc(m_1\cdot m_2)、Enc(m_1{)}^k=Enc(m_1\cdot k)$$
攻击者可以构造$m_1=4m_0$,根据同态性，可以知道$Enc(m_0{)}^4=Enc(m_1)$,那么如果$b=0$时，我们可以利用${c_b}^4是否等于c_1$来判断$b=0$；反之，则可以推断出$b=1$。

**错误的原因：**上述证明， 是存在一个问题的。上述描述的加密支持的同态性在密文形态下是不满足的，只有在解密、消除随机数之后才能成立，比如说$Enc(m_0{)}^4=Enc(m_1)$，应该写成$Dec(Enc(m_0{)}^4)==Dec(Enc(m_1))=m_1$我们应该是并不能比较${c_b}^4是否等于c_1$来判断b的取值的。

HE的语义安全性有属于他自己的证明方式，不能用PKE语义安全性思路简单证明。