Лемма разветвления

Лемма разветвления (Шаблон:Lang-en) — лемма в области криптографических исследований.

На практике, лемма разветвления широко используется для доказательства безопасности различных схем цифровой подписи и других криптографических конструкций на основе случайного оракулаШаблон:Sfn.

Доказана и впервые использована Дэвидом Поинтчевалом и Шаблон:Iw в «Доказательствах безопасности схем подписи», опубликованных в материалах Шаблон:Iw в 1996 годуШаблон:SfnШаблон:Sfn. В их статье лемма о разветвлении определена в терминах противника, который атакует схему цифровой подписи, созданную в модели случайного оракулаШаблон:Sfn (идеализированная хеш-функция, которая на каждый новый запрос выдаёт случайный ответ, равномерно распределённый по области значений, с условием, что если один и тот же запрос поступит дважды, то ответ должен быть одинаковым). Они показывают, что если злоумышленник может подделать подпись с пренебрежимо малой вероятностью, то есть существует некоторая вероятность того, что тот же противник с той же случайной лентой может создать вторую подделку в атаке с другим случайным оракулом.

Лемма была позже обобщена Шаблон:Iw и Грегори Невеном.Шаблон:Sfn

Первоначальный вариант леммы Шаблон:Sfn, сформулированный и доказанный Поинтчевалом и Стерном, выглядит следующим образом:

Пусть ${\displaystyle (G,\mathrm{\Sigma },V)}$ — общая схема цифровой подписи с секретным параметром ${\displaystyle k}$. Пусть ${\displaystyle A}$ — вероятностная машина Тьюринга с некоторым полиномиальным временем работы, вход которой состоит только из открытых данных. Обозначим через ${\displaystyle Q}$ количество запросов, которые ${\displaystyle A}$ может задать случайному оракулу. Предположим, что в течение времени ${\displaystyle T}$, ${\displaystyle A}$ дает с вероятностью ${\displaystyle \epsilon \ge \frac{7Q}{2^k}}$, валидную подпись ${\displaystyle (m,{\sigma }_1,h,{\sigma }_2)}$. Тогда есть другая машина, которая имеет контроль над А и производит две валидные подписи ${\displaystyle (m,{\sigma }_1,h,{\sigma }_2)}$ и ${\displaystyle (m,{\sigma }_1,h^{\prime },{\sigma }_2^{\prime })}$ такие, что ${\displaystyle h\ne h^{\prime }}$ за ожидаемое время ${\displaystyle T_0\le \frac{84480TQ}{\epsilon }}$.

Также существует обобщенный вариант этой леммыШаблон:Sfn , сформулированный и доказанный Белларом и Невеном. В отличие от классического варианта леммы Поинтчевала и Стерна, обобщенная лемма оперирует не со схемами подписей и случайными оракулами, а скорее концентрируется на выходном поведении алгоритма, когда он запускается дважды на связанных входах. Это делает её легко применимой в контекстах, отличных от стандартных схем подписи, и отделяет вероятностный анализ от фактического моделирования в доказательстве безопасности, что позволяет использовать более легкие для проверки доказательства. Для понимания связи между леммами следует воспринимать ${\displaystyle x}$ как открытый ключ и набор чисел ${\displaystyle (h_1,...,h_q)}$ как ответы на запросы случайного оракула.
Формулировка обобщенной леммы разветвления:

Зафиксируем целое число ${\displaystyle q\ge 1}$ и набор ${\displaystyle H}$ размером ${\displaystyle h\ge 2}$. Пусть ${\displaystyle A}$ — вероятностная машина Тьюринга, которая на вход получает набор ${\displaystyle (x,h_1,...,h_q;r)}$, где ${\displaystyle r}$ — случайная лента для ${\displaystyle A}$. Пусть ${\displaystyle A}$ возвращает пару ${\displaystyle (J,y)}$, где ${\displaystyle J}$ является целым числом в диапазоне ${\displaystyle (0,...,q)}$, а второй элемент называется побочным выводом. Предположим далее, что ${\displaystyle IG}$ — это распределение вероятностей, из которого берется ${\displaystyle x}$. Вероятность принятия ${\displaystyle A}$ обозначаемая ${\displaystyle acc}$, определяется как вероятность того, что ${\displaystyle J\ge 1}$ в эксперименте

${\displaystyle \text{x ← IG; }{h}_1,...,h_q\text{ ← H; (J,σ) ←}A(x,h_1,...,h_q)}$

Определим «алгоритм разветвления» ${\displaystyle F_A}$ для заданной машины Тьюринга A, который принимает входные данные ${\displaystyle x}$, следующим образомШаблон:Sfn:

1. Выберем случайную ленту ${\displaystyle r}$ для ${\displaystyle A}$.
2. Выберем ${\displaystyle h_1,...,h_q}$ равномерно из ${\displaystyle H}$.
3. Запустим ${\displaystyle A}$ c набором ${\displaystyle (h_1,...,h_q;r)}$ на входе, чтобы получить набор ${\displaystyle (J,y)}$.
4. Если ${\displaystyle J=0}$, то вернуть ${\displaystyle (0,0,0)}$.
5. Выберем ${\displaystyle h_1^{\prime },...,h_q^{\prime }}$ равномерно из ${\displaystyle H}$.
6. Запустим A с набором ${\displaystyle (x,h_1,...,h_{J-1},h_J^{\prime },...,h_q^{\prime };r)}$ на входе, чтобы получить набор ${\displaystyle (J^{\prime },y^{\prime })}$.
7. Если ${\displaystyle J^{\prime }=J}$ и ${\displaystyle h_J\ne h_J^{\prime }}$, вернуть ${\displaystyle (1,y,y^{\prime })}$, в противном случае вернуть ${\displaystyle (0,0,0)}$.

Пусть ${\displaystyle frk}$ будет вероятностью того, что ${\displaystyle F_A}$ выдает тройной результат, начиная с 1, при условии, что вход ${\displaystyle x}$ выбран произвольно из ${\displaystyle IG}$:

${\displaystyle \text{frk}=Pr[\text{b=1: x ← IG; (b, σ, σ′) ← }{F}_A(x)].}$

Тогда:

${\displaystyle \text{frk}\ge \text{acc}\cdot (\frac{\text{acc}}{q}-\frac{1}{h})(1)}$

Что равносильно

${\displaystyle \text{acc}\le (\frac{\text{q}}{h}+\sqrt{\text{q}\cdot \text{frk}})(2)}$

Идея состоит в том, что A запускается два раза в связанных исполнениях, где процесс «разветвляется» в определённый момент, когда некоторые, но не все входные данные были исследованы. Точка, в которой процесс разветвляется, может быть тем, что мы хотим определить позже, возможно, основываясь на поведении A в первый раз: вот почему утверждение леммы выбирает точку ветвления ${\displaystyle J}$ на основании выходных данных A. Требование о том, что ${\displaystyle h_J\ne h_J^{\prime }}$ является техническим требованием, используемым многими леммами. (Обратите внимание, что поскольку ${\displaystyle h_J}$ и ${\displaystyle h_J^{\prime }}$ выбираются случайным образом из ${\displaystyle H}$, то, если ${\displaystyle h}$ большое, что нормально, вероятность того, что два этих значения не будут различаться, чрезвычайно мала.)

Например, пусть ${\displaystyle A}$ будет алгоритмом взлома схемы цифровой подписи в модели случайного оракула. Тогда ${\displaystyle x}$ будет открытым параметром (включая открытый ключ), который атакует ${\displaystyle A}$, а ${\displaystyle h_i}$ будет выводом случайного оракула на его ${\displaystyle i}$-й отдельный вход. Лемма разветвления полезна, когда было бы возможно, учитывая две разные случайные подписи одного и того же сообщения, решить некоторую сложную проблему. Однако противник, который подделывает один раз, порождает того, кто подделывает дважды одно и то же сообщение с немалой вероятностью благодаря лемме о разветвлении. Когда ${\displaystyle A}$ пытается подделать сообщение ${\displaystyle m}$, мы считаем вывод ${\displaystyle A}$ следующим образом ${\displaystyle (J,y)}$, где ${\displaystyle y}$ — подделка, а ${\displaystyle J}$ таков, что ${\displaystyle m}$ был ${\displaystyle J}$-м уникальным запросом к случайному оракулу (можно предположить, что ${\displaystyle A}$ запросит ${\displaystyle m}$ в некоторый момент, если ${\displaystyle A}$ должен быть успешным с незначительной вероятностью). (Если ${\displaystyle A}$ выдает неправильную подделку, мы считаем, что выходные данные ${\displaystyle (0,y)}$.)

По лемме разветвления вероятность ${\displaystyle frk}$ получения двух хороших подделок ${\displaystyle y}$ и ${\displaystyle y^{\prime }}$ для одного и того же сообщения, но с разными случайными выходами оракула (то есть ${\displaystyle h_J}$ ≠ ${\displaystyle h_J^{\prime }}$) не пренебрежимо мала, когда параметр ${\displaystyle acc}$ также не незначителен. Это позволяет нам доказать, что если основная сложная проблема действительно сложна, то никакой злоумышленник не может подделать подписи. В этом суть доказательства, данного Пойнтхевалом и Стерном для модифицированной схемы подписи Эль-ГамаляШаблон:Sfn.

ДокажемШаблон:Sfn сначала ${\displaystyle \text{(1)}}$, потом докажем что из ${\displaystyle \text{(1)}}$ следует ${\displaystyle \text{(2)}}$. Пусть для каждого ${\displaystyle \text{x}}$ величина ${\displaystyle acc(x)}$ будет обозначает вероятность того, что ${\displaystyle J\ge 1}$ в эксперименте

${\displaystyle h_1,...,h_q\text{ ← H; (J,σ) ←}A(x,h_1,...,h_q)}$.

Также пусть ${\displaystyle frk(x)=Pr[\text{b=1: (b, σ, σ′) ← }{F}_A(x)]}$.
Мы утверждаем, что для любого ${\displaystyle x,}$

${\displaystyle frk(x)\ge acc(x)\cdot (\frac{acc(x)}{q}-\frac{1}{h})(3)}$.

Затем, зная ${\displaystyle \text{x ← IG}}$ и с учетом что ${\displaystyle E[acc(x)]=acc}$, получаем

${\displaystyle frk=E[frk(x)]\ge E[acc(x)\cdot (\frac{acc(x)}{q}-\frac{1}{h})]=}$

${\displaystyle =\frac{E[acc(x{)}^2]}{q}-\frac{E[acc(x)]}{h}\ge \frac{E[acc(x){]}^2}{q}-\frac{E[acc(x)]}{h}=acc\cdot (\frac{\text{acc}}{q}-\frac{1}{h}).}$

Что доказывает ${\displaystyle (1)}$. Перейдем к доказательству утверждения ${\displaystyle (3)}$.
Для любого входа ${\displaystyle x}$ с вероятностями, взятыми из ${\displaystyle F_A}$, мы имеем

${\displaystyle frk(x)=Pr[I=I^{\prime }\wedge I\ge 1\wedge h_I\ne h_I^{\prime }]\ge Pr[I=I^{\prime }\wedge I\ge 1]-Pr[I\ge 1\wedge h_I\ne h_I^{\prime }]=}$

${\displaystyle =Pr[I=I^{\prime }\wedge I\ge 1]-\frac{Pr[I\ge 1]}{h}=Pr[I=I^{\prime }\wedge I\ge 1]-\frac{acc(x)}{h}}$

Осталось показать что ${\displaystyle Pr[I=I^{\prime }\wedge I\ge 1]\ge \frac{acc(x{)}^2}{q}}$.
Обозначим через ${\displaystyle 𝐑}$ множество, в котором работает данная машина Тьюринга A.
Пусть для каждого ${\displaystyle i\in \{1,...,q\}}$ соответствующий ${\displaystyle X_i:𝐑\times H^{i-1}\text{→ [0,1]}}$ определяется значением ${\displaystyle X_i(\rho ,h_1,...,h_{i-1})}$ в

${\displaystyle Pr[J=i:h_1,...,h_q\text{ ← H; (J,σ) ←}A(x,h_1,...,h_q;\rho )]}$ для всех ${\displaystyle \rho \in 𝐑}$ и ${\displaystyle h_1,...,h_q\in H}$.

${\displaystyle X_i}$ здесь рассматривается как случайная величина с равномерным распределением. Тогда

${\displaystyle Pr[I=I^{\prime }\wedge I\ge 1]={\displaystyle \sum _{i=1}^q}Pr[I=i\wedge I^{\prime }=i]={\displaystyle \sum _{i=1}^q}Pr[I=i]\cdot Pr[I^{\prime }=i|I=i]=}$

${\displaystyle ={\displaystyle \sum _{i=1}^q}\sum _{\rho ,h_1,...,h_{i-1}}{X}_i(\rho ,h_1,...,h_{i-1}{)}^2\cdot \frac{1}{|𝐑|\cdot |H{|}^{i-1}}={\displaystyle \sum _{i-1}^q}E[X_i^2]\ge {\displaystyle \sum _{i-1}^q}E[X_i{]}^2}$. Пусть ${\displaystyle x_i=E[X_i]}$ для ${\displaystyle x\in 1,...,q}$. Тогда
${\displaystyle {\displaystyle \sum _{i=1}^q}E[X_i{]}^2\ge \frac{1}{q}\cdot {({\displaystyle \sum _{i=1}^q}E[X_i])}^2=\frac{1}{q}\cdot acc(x{)}^2.}$ Это доказывает ${\displaystyle (3)}$, и, следовательно, ${\displaystyle (1)}$. Докажем теперь ${\displaystyle (2)}$. С учетом ${\displaystyle (1)}$ получим, что
${\displaystyle {(acc-\frac{q}{2h})}^2=ac{c}^2-acc\cdot \frac{q}{h}+\frac{q^2}{4h^2}\le q\cdot frk+\frac{q^2}{4h^2}.}$
Взяв с обеих сторон квадратный корень, и учтя, что

${\displaystyle \sqrt{a+b}\le \sqrt{a}+\sqrt{b}}$ для любых вещественных ${\displaystyle a,b\ge 0,}$

получим:

${\displaystyle acc-\frac{q}{2h}\le \sqrt{q\cdot frk}+\sqrt{\frac{q^2}{4h^2}}=\sqrt{q\cdot frk}+\frac{q}{2h}}$, откуда следует ${\displaystyle (2)}$.

Лемма доказана.

Ограничение, создаваемое леммой о разветвлении, не является жестким. Авторы Поинтчевал и Стерн предложили несколько способов для повышения уровня безопасности цифровых подписей и слепой подписи, основываясь на лемме разветвления.Шаблон:Sfn Однако Шаблон:Iw осуществил атаку на слепые схемы подписей ШнорраШаблон:Sfn, которые, как утверждалось, были надежно защищены Поинтчевалом и Стерном. Шнорр также предложил усовершенствования для защиты схем слепых подписей, основанных на проблеме дискретного логарифмирования.Шаблон:Sfn

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья