藤崎冈本 t 柱用于城镇声音 ⇐ 文章草稿

[Anonymous]

“Fujisaki-Okamoto 变换”（通常缩写为“FO 变换”）是一种密码技术，用于从更简单的弱安全加密方案构建安全公钥加密 (PKE) 方案或密钥封装机制 (KEM)。它最初由 Eiichiro Fujisaki 和 Tatsuaki Okamoto 于 1999 年提出，将随机预言机|随机预言机模型中的 IND-CPA 安全方案转换为 IND-CCA 安全方案。
2017 年，Hofheinz、Hövelmanns 和 Kiltz 提供了该转换的模块化分析，将其分解为更小的、可组合的步骤（“T”和“U”转换）。这种模块化方法在 NIST 后量子密码学标准化流程候选方案的设计中被大量使用。
== 模块化定义 ==
2017 年的分析将 FO 变换分解为两个不同的变换：“T 变换”和“U 变换”。这些可以组合起来形成各种风格的 FO 变换，例如 FO^{\not\bot} （隐式拒绝）和 FO^{\bot} （显式拒绝）。
=== T 变换 ===
转换“T”将概率性公钥加密方案 \mathsf{PKE} 转换为确定性公钥加密方案 \mathsf{PKE}_{det}。它通过使用哈希函数“G”从消息中导出加密随机性来实现这一点。

对于消息“m”和公钥“pk”：
:\mathsf{Enc}^{det}(pk, m) = \mathsf{Enc}(pk, m; G(m))

“T”转换提供了从“明文检查攻击（OW-PCA）下的单向性”到标准“选择明文攻击下的单向性（OW-CPA）”的安全性降低。
=== U 变换 ===
转换“U”将确定性 PKE 方案转换为 IND-CCA 安全密钥封装机制 (KEM)。它使用哈希函数“H”来派生共享对称密钥，并在解封装期间合并重新加密检查以确保有效性。

对于随机消息“m”（充当种子）：
* ''封装''：密文为c \leftarrow \mathsf{Enc}^{det}(pk, m)。共享密钥是K \leftarrow H(m, c)。 * ''解封装''：接收方解密''c''得到''m'''。然后，他们重新加密“m”以检查它是否与“c”匹配。如果c = \mathsf{Enc}^{det}(pk, m')，则返回键K \leftarrow H(m', c)。否则，返回拒绝符号或伪随机密钥。
=== 组合 FO 变换 ===
一般的 Fujisaki-Okamoto 变换被定义为这些模块的组合：
:\mathsf{FO} = U \circ T

它将弱安全 (OW-CPA) 概率加密方案转变为强安全 (IND-CCA) KEM。
==变体==
模块化分析根据 FO 转换如何处理解密失败（显式拒绝与隐式拒绝）和哈希输入来识别 FO 转换的四个主要变体。

==安全==
模块化分析证明，如果底层 PKE 正确并且 OW-CPA 安全，则生成的 KEM 在随机预言模型 (ROM) 中是 IND-CCA 安全的。

*“紧密性”：变体 \mathsf{FO}^{\not\bot} 和 \mathsf{FO}_m^{\not\bot} 的减少是严格的，这意味着安全损失最小。 *“量子安全”：分析扩展到量子随机预言模型（QROM）。隐式拒绝变体 (\mathsf{FO}^{\not\bot}) 在后量子设置中是首选，因为它们避免了利用解密失败预言的攻击。
== 应用==
模块化FO变换广泛应用于后量子密码|后量子密钥封装机制中以实现IND-CCA安全。值得注意的例子包括：
* 凯伯
* 弗罗多KEM
* 新希望

==来源==
*
密码算法
后量子密码学