基于可更新缓存的偏移量BBB安全可调块密码及相关认证加密方案分析

### 基于可更新缓存的偏移量BBB安全可调块密码及相关认证加密方案分析 #### 1. 良好概率比率的界定 设 $\tau$ 为一个良好的记录。在现实世界中，函数 $f_1$ 有 $q$ 个不同的输入，函数 $f_2$ 有 $q$ 个不同的输入，函数 $\pi$ 有 $t$ 个不同的输入。因此， \[Pr_{O1}[\tau] = \frac{1}{N^{2q}(N)^t}\] 在理想世界中，在线阶段有 $\sigma$ 个输出是均匀随机采样的。离线阶段再均匀采样 $q$ 个值，最后从满足 $r$ 个非冗余方程的良好集合中采样 $t$ 个变量（稍后计算 $r$）。由于 $\sigma < N/n^2L^2$，且没有发生任何不良事件，满足应用镜像理论的条件。因此，使用镜像理论可得： \[Pr_{O0}[\tau] \leq \frac{1}{N^{\sigma + q} \cdot N^r(N)^t} \leq \frac{1}{N^{\sigma + q - r}(N)^t}\] 为了计算 $r$，我们注意到每次重复使用随机数（nonce）都会给系统增加一个非冗余方程。因此，$r = \sigma - q$，进而得到： \[Pr_{O0}[\tau] \leq \frac{1}{N^{2q}(N)^t}\] 所以，我们有： \[\frac{Pr_{O1}[\tau]}{Pr_{O0}[\tau]} \geq 1\] 应用 H - 系数技术，其中 $\epsilon_1 = n\sigma L/N$ 且 $\epsilon_2 = 0$，即可完成证明。 #### 2. OTBC - 3 的应用：OCB + 认证加密方案 利用可调块密码 OTBC - 3，我们定义了一种认证加密方案 OCB +，它的效率与 OCB3 相当，同时在不影响 OCB3 认证保证的前提下，提供了更高程度的隐私保证。 ##### 2.1 随机数处理 OCB + 使用一个 $n - 2$ 位的随机数 $N$，最后两位用于域分离。具体如下： - $N \parallel 00$ 用于处理消息块。 - $N \parallel 01$ 用于处理标签。 - $N \parallel 10$ 用于处理关联数据。 ##### 2.2 不完整块的处理 不完整块可以采用与 OCB3 相同的处理方式，即修改不完整块的掩码常量。这对隐私边界的影响不大，由于本文的重点是提高 OCB3 的隐私保证，因此我们省略了在 OCB + 中处理不完整块的具体细节。 ##### 2.3 安全声明 我们声称，只要每个消息允许的最大长度 $L$（即使用相同随机数加密的最大块数）较小，OCB + 就可以提供超越生日界的隐私和超越生日界的认证。具体而言，有如下定理： **定理 5**：考虑一个 OCB + 的区分器 $A$，它可以向挑战者发起 $q$ 个使用不同随机数的加密查询（共 $\sigma$ 个块）和 $q'$ 个解密查询。假设第 $i$ 条消息和第 $i$ 个关联数据的长度分别为 $\ell_i$ 和 $k_i$，其中 $\ell_i, k_i \leq L$ 对所有 $i \in [q_e]$ 成立。只要 $\sigma \leq N/n^2L^2$，我们有： \[Adv_{OCB +}^{NAEAD}(A) \leq \fra