41、密码学协议与构造的安全性分析

密码学协议与构造的安全性分析

1. CPace协议概述

CPace是一个双轮协议，在用户U和服务器S之间执行。假设用户扮演发起者角色，服务器扮演响应者角色。

协议流程 ：
| 步骤 | 用户操作 | 服务器操作 |
| ---- | ---- | ---- |
| 1 | 计算 $G$、$H1(sid, U, S, pw)$，随机选取 $x \in Z_q$，计算 $X = G^x$ | 计算 $G$、$H1(sid, U, S, pw)$，随机选取 $y \in Z_q$，计算 $Y = G^y$ |
| 2 | 若 $Y = 1$ 则中止，计算 $K = H2(sid, X, Y, Y^x)$ | 若 $X = 1$ 则中止，计算 $K = H2(sid, X, Y, X^y)$ |
| 3 | 交换 $X$ 和 $Y$ | 交换 $X$ 和 $Y$ |

其中，CRS（公共参考串）包含群描述 $G$，$|G| = q$。

2. CPace协议安全性定理

设InvCDH表示在给定随机元素 $A = g^a$ 时计算 $g^{1/a}$ 的问题，$Adv_{InvCDH}^B$ 表示攻击者 $B$ 解决此问题的概率。定理表明，如果在群 $G$ 中InvCDH问题是困难的，那么CPace AGM可以实现 $F_{pwKE}$。

定理内容 ：在具有随机预言机功能的混合模型中，CPace在静态腐败下AGM - 模拟 $F_{pwKE}$。更精确地说，对于（代数）虚拟对手 $D$ 存在一个代数模拟器