OAEP密码分析

Question

如果$M_1$和$M_2$是$\operatorname{OAEP}$填充、加密和发送，而对手设法绕过加密并检索$\operatorname{OAEP}(M_1) \oplus \operatorname{OAEP}(M_2)$，是否可以在不事先不知道$M_1$和$M_2$的情况下检索$M_1$或$M_2$？

Answer 1

No，\operatorname{OAEP}(M_1)\oplus\operatorname{OAEP}(M_2)的知识不会泄露关于明文M_1或M_2的信息。特别是，即使在完全了解对方的情况下，也不允许恢复。更普遍地说，它无助于预测M_1和M_2的任何有效的可计算函数。

原因在于\operatorname{OAEP}(M_j)=(\operatorname{MGF}(R_j)\oplus\operatorname{Pad}(M_j))\mathbin\|(H(\operatorname{MGF}(R_j)\oplus\operatorname{Pad}(M_j))\oplus R_j)的定义，其中R_j是一个新的随机变量。因此，关于\operatorname{OAEP}(M_1)\oplus\operatorname{OAEP}(M_2)的知识只给出\begin{align} &\operatorname{MGF}(R_1)\oplus\operatorname{MGF}(R_2)\oplus\operatorname{Pad}(M_1)\oplus\operatorname{Pad}(M_2)\quad\text{ and}\\ &H(\operatorname{MGF}(R_1)\oplus\operatorname{Pad}(M_1))\oplus H(\operatorname{MGF}(R_2)\oplus\operatorname{Pad}(M_2))\oplus R_1\oplus R_2 \end{align}，它不允许重建R_1或R_2，即使完全了解M_1和M_2。然后，在R_1和R_2未知的情况下，我们没有任何关于M_1和M_2的知识。在假设\operatorname{MGF}和H表现为随机函数的前提下，这一挥手论点可以得到严格的证明。