標准模型(Standard Model)
標准模型下,敵手只受時間和計算能力的約束,而沒有其他假設,如果在此條件下,可以將密碼學方案歸約到困難性問題上,則稱為該歸約是基於標准模型的,也稱方案具有在標准模型下的可證明安全性。然而在實際中,很多方案在標准模型下建立安全性歸約是比較困難的,也就是難於證明在安全模型下的安全性。因此為了降低證明的難度,往往在安全性歸約過程中加入其他的假設條件,就是下面將要討論的隨機預言機模型。
隨機預言機模型(Random Oracle Model)
隨機預言機模型在安全模型之上,加入了針對散列函數的隨機預言機假設。這種假設下進行安全歸約得到的安全性也稱為隨機預言機模型下的可證明安全性。隨機預言機模型,是從散列函數抽象出來的一種模型,是在可證明安全中被廣泛使用的證明方法。隨機預言機是一種散列函數,我們可以把它理解為完美的散列函數:
1)一致性:對於相同的輸入,其輸出必然相同;
2)可計算性:輸出的計算可以在多項式時間內完成;原像碰撞 pre-image resistant
3)均勻分布性:預言機的輸出在取值空間內均勻分布,無碰撞。抗碰撞性 collision resistant
在隨機預言機模型中,假定敵手不會利用散列函數的弱點來攻擊密碼學方案,否則該方案不安全。換句話說,即使將方案中的實際散列函數換成隨機預言機,敵手仍然可以成功攻擊,該方案不安全。隨機預言機雖然廣泛應用與密碼學方案的證明,為可證明安全提供了很大的方便,但人們對隨機預言機模型下的安全性證明的有效性仍存在爭議的。隨機預言機是一種過於理想的假設,要求敵手不利用散列函數的弱點來對方案進行攻擊。而在現實中,並不存在這樣一種完美的散列函數,因此在隨機預言機模型下安全的一些方案,在使用真實的散列函數之后,就不再安全了。因為這種模型下的證明是一種具有很強假設性的,即敵手不可以利用散列函數的弱點。但是在現實中,散列函數是確定的,其輸出並不能保證是完全隨機且均勻分布的。所以,隨機預言機模型下證明安全的一些方案,在用真實的散列函數代替隨機預言機后,就不再安全了。盡管如此,基於隨機預言機模型的安全證明除了散列函數外的環節都可以達到安全要求,目前大多數的可證明安全方案也是基於隨機預言機模型的。因此,隨機預言機模型仍被認為是可證明安全中最成功的應用。
參考:
https://blog.csdn.net/u012601009/article/details/53081266