Page 298 - 《软件学报》2020年第12期

P. 298

3964 Journal of Software 软件学报 Vol.31, No.12, December 2020

a
C (a 2 I ⋅b 1 L )+ a k ′ = 1 I ((C 1 L b ) a k 1 I ⋅ L 2 mod ) (1+ n 2 × k 1 I a ′ k 1 I a ) n r n 1 I a mod n 2 ,
C (a 1 I b ⋅ L 2 )+ a k ′ = 1 I ((C L b 2 ) a k 1 I ⋅a 1 L mod ) (1+ n 2 × k 1 I a ′ k 1 I a ) n r n I a 2 mod n 2 ,
a
2
C = ((C ) k a I 2 ⋅ L 2 mod ) (1+ n 2 × k ′ k ) n r n mod ,
n
(a 2 I b ⋅ R 1 )+ a I ′ k 2 1 L b I a 2 I a 2 I a 3
C = ((C ) k a I 2 ⋅a 1 L mod ) (1+ n 2 × k ′ k ) n r n mod n 2 ;
(a 1 I b ⋅ R 2 )+ a I ′ k 2 L b 2 I a 2 I a 2 I a 4
∈
(c 1 I L ,c 1 I R ),(c I L 2 ,c 2 ) {((C (a 2 I ⋅ I R 1 L )+ ′ 1 I ,C (a 1 I b ⋅b L 2 )+ a k ′ 1 I ),(C (a 2 I b ⋅ 1 R )+ a k ′ 2 ,C (a 1 I b R 2 )+ a I k a I ′ k 2 )),
⋅
((C (a 2 I b ⋅ 1 )+ ′ 2 ,C (a 1 I b ⋅ R R 2 )+ a I k ′ k 2 ),(C (a 2 I b 1 L )+ a I ′ 1 I ,C (a 1 I b ⋅ L 2 )+ k a k ′ a 1 I )),
⋅
((C (a 1 I b ⋅ 2 )+ ′ 1 I ,C (a 2 I b ⋅ L 1 L )+ a k ′ 1 I ),(C (a 1 I b ⋅ 2 )+ a k ′ 2 ,C (a 2 I b 1 R )+ k k a I ′ a I 2 )),
⋅ R
((C ,C ),(C ,C ))}.
(a 1 I b ⋅ 2 )+ a I ′ 2 (a 2 I b ⋅ R 1 R )+ k ′ k 2 (a 1 I b ⋅ L 2 )+ a I ′ 1 I (a 2 I ⋅b 1 L )+ a k ′ a k 1 I
无论在模拟协议还是实际协议中,Alice 接收到的有关 Bob(或 S 1 Π 3 )的信息都是经E加密后的密文,一方面,
因为 Alice 没有E的解密密钥;另一方面,又因方案E已被证明在选择明文攻击下具有语义不可区分安全,即经加
密方案E加密生成的密文是语义不可区分的.因此可得:模拟视图( (C ,C ),(C ,C ),(c′ ,c′ ),(c′ ,c′ ) ,I∈
1 L b L b 2 b 1 R b R 2 1 I L 1 I R I L 2 I R 2
{L,R})与真实视图( (C ,C ),(C ,C ),(c ,c ),(c ,c ) ,I∈{L,R})是计算不可区分的.也就说, S Π 3 满足安全
1 L b L b 2 b 1 R b R 2 1 I L 1 I R I L 2 I R 2 1
定义关系式(1a).
II. Alice 私有信息在Π 3 执行完毕后是安全的.
在最坏的情形下,即在 Bob 受控于攻击者的情形下,构造一个模拟器 S Π 3 模拟协议Π 3 的执行过程.显然,模
2
拟器是潜在的、能力最强的攻击者.如果多项式时间内的敌手 S 2 Π 3 获得的信息并不多于 Bob 在实际执行协议中
的视图内容,则称协议Π 3 完成后没有造成 Alice(上、下界为有理数的)区间下、上界 a L ,a R 的泄露,即 Alice 私有
信息是安全的.
假定敌手 S 2 Π 3 控制着 Bob,并且在 Bob 不参与的情况下,能够在多项时间内模拟协议Π 3 执行的全过程.如果
在该假定条件下,多项式时间内的敌手 S Π 3 获得的信息并不多于 Bob 在实际执行协议中的视图内容,则 Alice 私
2
有信息((上、下界为有理数的)区间的下、上界 a L ,a R )是安全的.
首先构造一个在 Bob 受敌手控制的情形下、能够在多项式时间内模拟协议Π 3 整个执行过程的模拟器 S Π 3 ,
2
其输入为:敌手根据 Bob(有理数的)区间端点 b L ,b R 随机选择利于它获取 Alice 有理数域的下、上界 a L ,a R 的数值
, ′′ 、Bob 随机选择的两个不等的随机数 r
bb ,r ,r ,r ∈ Z 以及 Alice 有理数域的下、上界 a L ,a R 对应的整
*
L R 1 L b L b 2 b 1 R b R 2 n
,
型有序对表示 (aa 2 L ),(a 1 R ,a R 2 ) (其中, gcd(aa 2 L ) 1,gcd(a= 1 R ,a R 2 ) 1= ).作为潜在的、能力最强的敌手,模拟器
,
1 L
1 L
S Π 3 产生的视图为 (C ,C ),(C ,C ),(c′ ,c′ ),(c′ ,c′ ) ),其中: C ,C ,C ,C 是 S Π 3 利用 Bob 的公钥通
2 1 L b′ L b′ 2 b′ 1 R b′ R 2 1 I L 1 I R I L 2 I R 2 1 L b′ L b′ 2 b′ 1 R b′ R 2 2
L b′
过计算 C (1 n+ ) r n mod n 2 ,C L b′ = (1 n+ ) L b′ 2 r n mod n 2 ,C b′ = (1 n+ ) b′ 1 R r n mod n 2 ,C b′ = = (1 n+ ) b′ R 2 r n mod n 2
1
1 L b′ 1 L b 2 L b 2 1 R b 1 R R 2 b R 2
得到的;密文 (c′ ,c′ ),(c′ ,c′ ) 是 Alice 经过下述方式构造的.
1 I L 1 I R I L 2 I R 2
(1) 由密文 C ,C ,C ,C ,利用方案E计算:
1 L b′ L b′ 2 b′ 1 R b′ R 2
a
⋅ ′ C = ((C ) a k 1 I ⋅ L 2 mod ) (1+ n 2 × k ′ k ) n r n mod n 2 ,
(a 2 I b 1 L )+ a k ′ 1 I ′ 1 L b 1 I a 1 I a 1 I a
′ C ((C ′ = ) a k 1 I ⋅a 1 L mod ) (1+ n 2 × k ′ k ) n r n mod n 2 ,
(a 1 I ⋅b 2 )+ a k ′ L 1 I L b 2 1 I a 1 I a I a 2
a
C ′ ′ = ((C ′ ) k a I 2 ⋅ L 2 mod ) (1+ n 2 × k ′ k ) n r n mod n 2 ,
(a
k
2 I ⋅b 1 R )+ a I 2 1 L b I a 2 I a 2 I a 3
2
C (a 1 I b ⋅ ′ R 2 ) k′ + a I 2 ((C L b′ = 2 ) k a I 2 a ⋅ 1 L mod ) (1n × 2 + k I a 2 k′ I a 2 ) n r n I a 4 mod n ;
(2) 随机选取一个:

293 294 295 296 297 298 299 300 301 302 303