قد تتطلب عمليات نشر عملية لآليات تضمين المفتاح (KEMs) وجود خوادم كبيرة يستخدم كل منها مفاتيحه العامة للتواصل مع ملايين العملاء المحتملين في آن واحد. بينما يعتبر تعريف الأمان القياسي IND-CCA لآليات تضمين المفتاح تحديًا واحدًا لمفتاح عام واحد ونصًا مشفرًا واحدًا، قد يكون من المناسب النظر في سيناريوهات متعددة الأهداف حيث يهدف الخصم إلى كسر أحد العديد من النصوص المشفرة التحديّة، لأحد العديد من المفاتيح العامة التحديّة. تم بناء العديد من آليات تضمين المفتاح بعد الكوانتم من خلال تطبيق تحويل Fujisaki-Okamoto (FO) على مخطط تشفير المفتاح العام (PKE). على الرغم من أن تحويل FO يسبب فقدانًا قليلاً في الأمان لخاصية IND-CCA القياسية للتحدي الواحد، إلا أن هذا لا ينطبق في سيناريو متعدد الأهداف. تم التعرف على هجمات ضد آليات تضمين المفتاح FO المُعتمدة في المعايير ذات فضاء رسائل بطول 128 بت (FrodoKEM-640 و HQC-128) والتي تصبح ممكنة إذا تم تقديم العديد من النصوص المشفرة التحديّة للخصم (مثلاً، 2⁶4). تستغل هذه الهجمات التشفير الحتمي الناتج عن تحويل FO الذي يسمح بتحويل تجربة IND-CCA إلى مسألة بحث في فضاء الرسائل، والذي قد لا يكون كبيرًا بما يكفي لتجنب التصادمات بين القيم التي يتم حسابها مسبقًا والقيم التحديّة في بعض الحالات. طريقة فعالة من حيث التكلفة لتضخيم صعوبة هذه المسألة البحثية هي إضافة ملح عشوائي ولكنه عام أثناء التضمين. رغم أن نسخًا معدلة من FrodoKEM و HQC استخدمت الملح، لم يكن هناك دليل يثبت أن استخدام الملح يوفر أمانًا متعدد النصوص المشفرة. في هذا العمل، قمنا بتحليل رسمي لتحويل Fujisaki-Okamoto مع الملح، في نموذج الأوركل العشوائي الكلاسيكي والكوانتمي (ROM)؛ بالنسبة لـ ROM الكلاسيكي، نُظهر أن أمان IND-CCA متعدد الأهداف لآلية التضمين الناتجة يرتبط ارتباطًا وثيقًا بأمان IND-CPA متعدد الأهداف لمخطط التشفير الأساسي. تشير نتائجنا إلى أنه، بالنسبة لـ FrodoKEM و HQC على مستوى أمان 128 بت، يمكن لاستبدال تحويل FO بالنسخة المملحة استعادة 62 بتًا من أمان متعدد الأهداف، مع زيادة طفيفة جدًا في العبء.
درس جلابوش وآخرون (Mon,) هذا السؤال.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: