On ¡ELFs, ¡Deterministic ¡ Encryption, ¡and ¡ Correlated ¡Input ¡Security Mark ¡Zhandry Princeton ¡University
“mommy > daddy”
In ¡reality… = =
pk c = Enc(pk,“mommy > daddy”) sk
Random ¡Number ¡Cortex: r ¡= ¡0000000000…….
Deterministic ¡Public ¡Key ¡Encryption ¡(DPKE) Pros: Cons: ✓ No ¡randomness ¡needed ✘ Harder ¡to ¡construct ✓ Public ¡equality ¡test ✘ Semantic ¡security ¡impossible ✘ Need ¡unpredictable ¡messages ✘ Multiple ¡messages?
This ¡Work DPKE ¡secure ¡under • Arbitrary ¡computationally ¡unpredictable ¡sources • Constant number ¡of ¡arbitrarily ¡correlated ¡sources • Chosen ¡ciphertext attacks Computational ¡assumption: ¡exponential ¡DDH
Computationally ¡Unpredictable ¡Sources D (x 1 , x 2 , …, x t , aux) Pr[i ≠ j ⇒ x i ≠ x j ] = 1 Pr[x i ’ = x i ] < negl (i, x i ’)
DPKE ¡Experiment ¡0: D Gen (pk, sk) (x 1 , x 2 , …, x t , aux) … Enc pk Enc pk Enc pk (c 1 , c 2 , …, c t , aux, pk) Dec sk
DPKE ¡Experiment ¡1: D Gen (pk, sk) (x 1 , x 2 , …, x t , aux) $ $ $ (c 1 , c 2 , …, c t , aux, pk) Dec sk
Some ¡Prior ¡Work [Wichs’12] t [Brakerski-‑Segev’11] unbounded [Bellare-‑Boldyreva-‑O’Neill’07] (ROM) No ¡BB ¡ reduction ¡to ¡ bounded ¡poly [Fuller-‑O’Neill-‑Reyzin’12] “falsifiable ¡ assumption” log This ¡Work Unbounded ¡ O(1) (exp assump, ¡non ¡BB) [Bellare-‑Fischlin-‑O’Neill-‑Ristenpart’08, 1 [Brakerski-‑Segev’11, ¡Wee’12] Boldyreva-‑Fehr-‑O’Neill’08] D Arbitrary ¡unpred.
Step ¡1: ¡ t=1 , ¡No ¡CCA ¡queries
Extremely ¡Lossy Functions ¡(ELFs) ¡[Z’16] Injective ¡Mode: Lossy Mode: ≈ c | Img | = polynomial* Thm [Z’16]: ¡ Exponential ¡DDH ¡ ⇒ ELFs *Technically ¡ |Img| depends ¡on ¡adversary
PRGs ¡for ¡Comp. ¡Unpred. ¡Sources, ¡ t=1 D $ k (x , aux) Thm [Z’16]: ¡ ELFs ¡ ⇒ PRGs ¡for ¡arbitrary ¡ 1 -‑CU ¡sources G k (y, aux, k)
Upgrading ¡to ¡DPKE Encryption: Decryption: x c Dec sk G k ??? Enc pk $ c
New ¡Tool: ¡Trapdoor ¡ELFs Injective ¡Mode:
Constructing ¡T-‑ELFs … x LTDF LTDF LTDF Compression ¡kills ¡trapdoor = ¡Pairwise ¡independent ¡function
Constructing ¡T-‑ELFs … x LTDF LTDF LTDF In ¡paper: ¡instantiate ¡parameters ¡ such ¡that ¡growth ¡isn’t ¡too ¡big
Upgrading ¡to ¡DPKE Encryption: Decryption: x c Thm: T-‑ELFs ¡+ ¡ Dec sk G k Pseudorandom ¡ctxts + PRG ¡for ¡CU ¡ 1 -‑sources ¡+ DPKE ¡for ¡CU ¡ 1 -‑sources ⇒ Enc pk $ c x
Step ¡2: ¡Constant ¡ t , ¡No ¡CCA ¡queries
PRGs ¡for ¡Comp. ¡Unpred. ¡Sources, ¡ t=O(1) D $ k (x 1 , x 2 , …, x t , aux) … G k G k G k (y 1 , y 2 , …, y t , aux, k)
Step ¡2: ¡Constant ¡ t , ¡No ¡CCA ¡queries Thm: T-‑ELFs ¡+ ¡ Pseudorandom ¡ctxts + PRG ¡for ¡CU ¡ O(1) -‑sources ¡+ DPKE ¡for ¡CU ¡ O(1) -‑sources ⇒
PRG ¡for ¡CU ¡ O(1) -‑ sources Idea ¡1: ¡each ¡ x i gets ¡it’s ¡own ¡PRG ¡for ¡CU ¡ 1 -‑sources D (x 1 , x 2 , …, x t , aux) $ $ $ … G k G k k 1 k 2 G k k t y 1 y 2 y t
PRG ¡for ¡CU ¡ O(1) -‑ sources ? Idea ¡2: ¡Generate ¡ k as ¡function ¡of ¡ x D (x 1 , x 2 , …, x t , aux) … G k G k G k F F F y 1 y 2 y t
PRG ¡for ¡CU ¡ O(1) -‑ sources Idea ¡3: ¡Break ¡circularity ¡using ¡ t -‑wise ¡independence ¡+ ¡ELFs D (x 1 , x 2 , …, x t , aux) … G k G k G k y 1 y 2 y t = ¡ t -‑wise ¡independent ¡func
Step ¡3: ¡CCA ¡Security See ¡paper… Difficulties ¡arise: • Need ¡“branched” ¡T-‑ELFs • T-‑ELFs ¡are ¡much ¡more ¡delicate ¡than ¡LTDFs ⇒ Generic ¡approaches ¡don’t ¡work • Instead, ¡modify ¡construction ¡directly
Now ¡time ¡for ¡a ¡nap ¡…
Recommend
More recommend