椭圆曲线集成加密方案(ECIES)提供IND-CCA2安全吗？

Question

我正在寻找一个更快的替代RSA与OAEP作为IND-CA2公钥方案。椭圆曲线集成加密方案可能是一个候选方案，但我不确定它是否提供IND-CCA2安全性。

那么问题是ECIES是否默认提供IND-CCA2安全性？如果没有，应该修改什么以使它提供呢？

Answer 1

那么问题是，ECIES是否默认提供IND-CCA2安全性？

是的，确实如此。卡茨和林德尔在现代密码学中有一个证据，但我会让耶胡达给出一个答案。这个答案将以DHIES (PDF)为基础，它是ECIES的推广，本质上是与公钥进行短暂的DH密钥交换，散列共享秘密，并使用散列秘密对负载执行加密-然后mac认证的加密。

本文将安全性界描述为

\mathrm{Adv}^{\text{ind-cca-fg}}_\text{DHIES}(t,q,\mu,c) \leq \mathrm{Adv}^{\text{ind-cpa-fg}}_\text{SYM}(t,0,0)+ 2\cdot\mathrm{Adv}^{\text{odh}}_{\mathcal G,H}(t,q)+ 2\cdot\mathrm{Adv}^{\text{suf-cma}}_\text{MAC}(t,1,c,q,\mu)

以t为对手时间复杂度的上限，q为解密查询次数的上限，\mu为向解密神谕请求的比特数的上限，c为挑战密文长度的上限。\mathrm{Adv}^{\text{suf-cma}}_\text{MAC}是MAC的安全，\mathrm{Adv}^{\text{ind-cpa-fg}}_\text{SYM}是对称密码的CPA安全。

现在只剩下\mathrm{Adv}^{\text{odh}}_{\mathcal G,H}了，这是对手能够区分(g^u,g^v,H(g^{uv}))和(g^u,g^v,R)的优势，R,u,v是从组或哈希输出集随机抽样的。此外，对手还可以访问甲骨文计算\mathcal H_v(X)=H(X^v)。

因此，如果上述Oracle Hellman (ODH)假设对于给定的组(并且应该是椭圆曲线)是困难的，如果对称密码和MAC是安全的，那么ECIES也是安全的。