密碼學中的轉(zhuǎn)換

密碼學的確很難，諸多概念都是昏昏然不知其所以然。遠遠望著那些方案為啥那么巧妙，只有無限地羨慕、崇拜和不懂。但，好在存在好多好多種轉(zhuǎn)換。甚至可以武斷地說，啥都能轉(zhuǎn)換。我覺得，這個轉(zhuǎn)換大約介于書上說的“通用構造”和“通用改裝”之間。

一、在安全性概念中存在的轉(zhuǎn)換。如安全目標定義中，不可區(qū)分性安全、語義安全之間，以及與攻擊能力CPA、CCA糾纏在一起，就存在一些轉(zhuǎn)換。語義安全是加密方案最基礎的安全定義。只是在加密方案安全性判斷里用IND安全代替了，雖然最早的安全據(jù)說是完善保密安全。IND目標加上CPA的攻擊在對稱加密那里還扭扭捏捏，不是那么利落。到了公鑰加密就干脆多了，比如，和竊聽安全，和IND-CPA安全都等價，甚至連多重加密都含著。等價真好，這樣連轉(zhuǎn)換也不需要了。語義安全，其實就是“啥也不泄露”，不過這個說法太感性，非要嚴格起來，那應該是ideal/real的模擬安全，有點扯遠了，這里的確有點亂。不過因為在公鑰加密中，加密密鑰既是公開的，那就隨便密，重點是，從密文里“啥也看不出來”，因此CPA的攻擊能力就形同虛設。

但IND-CPA的安全就抵御不了攻擊者對密文的主動攻擊（什么是主動，其實費解了很久，現(xiàn)在想大概是延展性改造）。比如，競拍中后面的競價人雖然不知道前面出的什么價，可以保證自己的競價比前面的高。——是的，CCA不過是抵御延展性改造。如果中間人硬要徹底改造發(fā)送方給接受者的信息，——這個安全不是CCA能抗的，那得用簽密或是認證加密。所以，這里搬來兩個從IND-CPA轉(zhuǎn)換為IND-CCA的套路。

1. 第一個轉(zhuǎn)換是CPA向CCA1的轉(zhuǎn)換。有名的Naor-Yung的方案，采用CPA安全的雙加密系統(tǒng)（對同一消息加密）,伴隨給出兩次加密的確是對同一消息進行 的零知識證明。因此需要的工具除了一個CPA的公鑰加密方案，還需要一個適應性非交互式零知識證明系統(tǒng)。證明過程用了游戲轉(zhuǎn)移。

2. ?第二種是從IND-CPA向IND-CCA2的轉(zhuǎn)換。CCA2就是不僅給攻擊者解密能力，還能針對性（適應性）地改造密文。有個改造的方法叫DDN（Dolev、Dword、Naor），基于一個IND-CPA安全的加密方案，一次性強簽名方案，和適應性非交互式零知識證明方案，構造一個CCA2安全的方案。

   有關上述DDN構造的結(jié)論是，如果存在語義安全的公鑰加密方案和適應性安全的零知識證明系統(tǒng)，那么存在CCA2安全的加密方案。又，如果存在陷門置換，那么存在適應性安全的零知識證明系統(tǒng)。故，如果存在陷門置換，那么存在CCA2安全的加密方案。

3. 從IND-CPA轉(zhuǎn)換到IND-CCA的辦法應該不止一種，比如F和O的方法是將一般的弱的對稱和非對稱方案改造成一個CCA安全的非對稱加密方案（RO模型下的）。形狀是這樣：。。。這個方法之前應該也有別的。

   
   

   二、加密體制中的對稱加密到公鑰加密的轉(zhuǎn)換

   方法是用一個obfuscator，據(jù)說是“obfuscatorsthat can transform an arbitrary private-key encryption scheme into asecure public-key encryption scheme.” 好像是一個不太確定存在的神秘武器，可以把一個舊的程序轉(zhuǎn)成新的程序，而功能保持不變。對稱轉(zhuǎn)公鑰，只是該神器的功能之一。

   但是事情也不是那么順利，要滿足幾個條件才可行。比如，如果是不可混淆的確定性的對稱加密，那么私鑰容易算出，就不合適。即使是sampling obfuscators,對概率性的對稱加密也不能轉(zhuǎn)成安全的公鑰加密，如果加密程序有輸入-輸出的依賴性。一般意義的轉(zhuǎn)換的混淆，如果存在的話，必須是一個不能有輸入-輸出依賴特性的sampling obfuscators.

   三、普通加密到同態(tài)加密的轉(zhuǎn)換

   這種似乎玄之又玄，比上述神器還縹緲，沒見具體的方法。大咖們認為，從一個密碼學假設開始，構造一個公鑰加密方案，然后試著讓該方案變得同態(tài)（用加法和乘法造出Eval函數(shù)）。另一種思路稱為數(shù)學方式，從一系列homomorphisms開始，構建一個同態(tài)方案，其中D（sk,.）=；試著使該同態(tài)方案變得安全（也就是讓密文看上去跟隨機數(shù)一樣）。

   四、MPC中的轉(zhuǎn)換

   就太多了，也有點老生常談。

   1.半誠實模型到惡意模型的轉(zhuǎn)換

   如果有一個半誠實安全的協(xié)議，面對惡意敵手，就在于敵手可能不聽話，可能亂來。既然如此，就是強迫敵手沒辦法施展他的惡意行為?？紤]兩點，一個是輸入，一個是隨機帶。所以，GMW compiler的做法是讓對輸入先作承諾（承諾是讓參與方規(guī)矩輸入的好辦法），然后通過增強的擲幣協(xié)議，使得雙方（如果是兩方）得到自己的隨機分布的字符串（作為隨機帶）和對方的字符串的承諾。結(jié)果，每個參與方持有對方的輸入和隨機帶的承諾。想象兩個小孩掐架，一個揪著對方的頭發(fā)，一個抓住對方的耳朵。但凡通過協(xié)議交互得到的消息一定是NP類型的（發(fā)消息的那一方知道證據(jù)），這樣，參與方都可以用ZKP來證明他們確實沒有作惡。除了承諾，零知識證明也是可以強迫參與方不能欺騙的有效手段。既然半誠實可以改惡意，那么隱蔽的也應該能行，只要不嫌麻煩。

   2. 兩方計算中如果只有一方有輸出，另一方?jīng)]輸出的協(xié)議，可以輕易改裝成兩方都得到輸出的安全協(xié)議。

   3. 從一個具備特殊的正確性和誠實驗證者的sigma協(xié)議，加一個完美隱藏的承諾，就造出一個零知識證明ZKP,如果這個承諾是帶陷門的，就可得到一個知識的零知識證明ZKPOK。

   應該還有別的。