Definition Hardcore-Prädikat Hardcore-Prädikat

Hardcore-Prädikat

Ziel:Destilliere Komplexität des Invertierens auf ein Bit.

DefinitionHardcore-Prädikat

SeiΠ_f eine Einwegfunktion. Seihc ein deterministischer pt Alg mit Ausgabe eines Bitshc(x)bei Eingabex ∈D.hc heißt

Hardcore-Prädikatfürf falls für alle ppt AlgorithmenAgilt:

Ws[A(1ⁿ,I,f(x)) =hc(x)]]≤ ¹₂+negl(n).

Intuition:Bildf(x)hilft nicht beim Berechnen vonhc(x).

Spiel zum Berechnen des Hardcore-Prädikats

CompHC_A,Πf(n)

I←Gen(1ⁿ) x←Samp(I)

y←f_I(x) (1ⁿ, I, y)

Ausgabe:

(1 fallshc(x) =h 0 sonst

A

Berechneh.

h

Fallshcein Hardcoreprädikat ist, so gilt für alle pptA

Ws[CompHCA,Π_f(n) =1]=Ws[A(1ⁿ,I,f(x)) =hc(x)]]≤ ¹₂+negl(n).

Hardcore-Prädikate

hc(x) :=lsb(x)(least significant bit) ist ein Hardcoreprädikat für die RSA EinwegpermutationΠ_RSA(unter der RSA Annahme).

Es kann kein festes Hardcoreprädikathcfür alle Einwegfunktionen geben.

Warum? SeiΠ_f Einwegfunktion mit Hardcoreprädikathc. Dann ist Πgmitg(x) :=f(x)||hc(x)auch eine Einwegfunktion, aberhckein Hardcoreprädikat vonΠ_g.

Aber: Man kann jede EinwegfunktionΠ_f zu einer Einwegfunktion Πgmit einem festen Hardcoreprädikat verändern.

Goldreich-Levin Hardcore-Prädikat

Satzvon Goldreich-Levin

SeiΠ_f eine Einwegpermutation. Dann existiert eine EinwegpermutationΠ_gmit Hardcoreprädikathc.

Konstruktion:(ohne Beweis)

Seif eine Einwegpermutation mit Definitionsbereich{0,1}ⁿ. Seix =x₁. . .xn∈ {0,1}ⁿ. Konstruiere

g(x,r) := (f(x),r)mitr ∈_R{0,1}ⁿ. Offenbar istgebenfalls eine Einwegpermutation.

Wir konstruieren ein Hardcore-Prädikathc fürgmittels hc(x,r) =hx,ri=Pn

i=1x_ir_i mod2.

Beweis der Hardcore-Eigenschaft ist nicht-trivial.

Verschlüsselung aus Trapdoor-Einwegpermutation

Algorithmus Πcpa

SeiΠ_f eine Td-Einwegpermutation mit Hardcore-Prädikathc.

1 Gen:(I,td)←Gen(1ⁿ). Ausgabepk =Iundsk =td.

2 Enc:Fürm∈ {0,1}setzex ←Sample(I)und berechne c ←(f(x),hc(x)⊕m).

3 Dec:Für Chiffretextc= (c₁,c₂)berechnex :=Inv_td(c₁)und m:=c₂⊕hc(x).

Intuition:

hc(x)ist “pseudozufällig” gegebenf(x).

D.h.hc(x)⊕mist ununterscheidbar von 1-Bit One-Time Pad.

Bsp: Verschlüsselung mit RSA-Td-Einwegpermutation

Algorithmus Π^rsa_cpa

SeiΠrsadie RSA Td-Einwegpermutation mit Hardcore-Prädikathc.

1 Gen:(N,e,d)←GenRSA(1ⁿ). Ausgabepk = (N,e)und sk = (N,d).

2 Enc:Fürm∈ {0,1}wähler ∈_RZ^∗_N und berechne c ←(r^emodN,hc(r)⊕m).

3 Dec:Für Chiffretextc= (c₁,c₂)berechner :=c₁^d modN und m←c₂⊕hc(r).

CPA-Sicherheit unserer Konstruktion

SatzCPA-Sicherheit vonΠ_cpa

SeiΠ_f eine Trapdoor-Einwegpermutation mit Hardcore-Prädikathc.

Dann istΠcpaCPA-sicher.

Beweis:

SeiAein Angreifer mit Erfolgsws(n) =Ws[PubK_A,Π^cpa

f(n) =1].

OBdA(m₀,m₁)← A(pk)mit{m₀,m₁}={0,1}. (Warum?) VerwendenA, umA⁰ im SpielCompHCA⁰,Π_f(n)zu konstruieren.

Algorithmus AngreiferA⁰ Eingabe:1ⁿ,I,y =f(x)∈D

1 Setzepk ←Iund berechne(m₀,m₁)← A(pk).

2 Wähleb,z ∈_R{0,1}. Setzec₂←m_b⊕z.

3 b⁰← A(y,c₂) Ausgabe:h=

(z fallsb=b⁰ .

Angreifer A

für das Hardcore-Prädikat

CompHC_A,Πf(n)

I←Gen(1ⁿ) x←Samp(I) y:=f_I(x)

Ausgabe:

(1 hc(x) =h 0 sonst

(1ⁿ, I, y)

h

A⁰

pk=I (1ⁿ, pk)

b, z∈R{0,1}

c2= (mb⊕z) (c1=y, c2)

Ausgabe:

h=

(z ifb=b⁰ z⊕1else

A

(m₀, m₁)

b⁰

CPA-Sicherheit von Π

Beweis:Fortsetzung

Seix =f⁻¹(y). Idee: A⁰rätz =hc(x).

Es giltWs[A⁰(f(x)) =hc(x)] =

1

2·Ws[b=b⁰ |z =hc(x)] + ¹₂·Ws[b6=b⁰|z6=hc(x)].

1. Fallz =hc(x):(y,c₂)ist korrekte Verschlüsselung vonm_b, d.h.

Ws[b=b⁰|z =hc(x)] =(n).

2. Fallz 6=hc(x): Es gilt (y,c₂) = (f(x),z⊕m_b)

= (f(x),z⊕1⊕m_b⊕1) = (f(x),hc(x)⊕m_b⊕1).

D.h.(y,c₂)ist korrekte Verschlüsselung vonm_b⊕1=m1−b. Ws[b6=b⁰|z 6=hc(x)] =Ws[1−b=b⁰ |z⊕1=hc(x)] =(n).

Dahc ein Hardcore-Prädikat ist, folgt

1

2+negl(n)≥Ws[A⁰(f(x)) =hc(x)] =(n).