Мне нужна помощь в понимании семантической безопасности, в частности, в части «игры».
Но во-первых, насколько я понимаю, является ли семантическая безопасность «более слабым» и более гибким способом определить, достаточно ли безопасна криптографическая функция для использования? Я понимаю, что определение полной секретности часто слишком жесткое, и, следовательно, семантическая безопасность дает некоторую свободу действий в определении того, что является достаточно безопасным. И официальное определение таково: схема шифрования семантически безопасна, если противник не может угадать с большей вероятностью, чем 1/2, является ли данный зашифрованный текст шифрованием сообщения m0 или m1.
Существует популярное объяснение с использованием «игры», в которую играют претендент и противник, однако я немного смущен тем, как это работает.
Может ли кто-нибудь помочь мне понять «игру» и то, как она используется для определения того, является ли что-то семантически безопасным? Как
Игра:
Претендент выбирает случайный ключ k
Противник сначала отправляет 2 сообщения, m1 и m0 претенденту.
Претендент либо выводит шифрование m1, либо m0.
Противник пытается угадать, дали ли ему шифрование
m0 или m1
для b = 0,1 Wb: = [событие, что exp(b) = 1]
Advss[A,E]: = |Pr[W0] - Pr[W1] | элемент [0,1]
Простое определение, которое я видел, чтобы обобщить вышеизложенное, звучит так: «Злоумышленник отправляет два сообщения с открытым текстом одинаковой длины претенденту и получает одно зашифрованное сообщение; семантическая безопасность означает, что злоумышленник не может различить, какое сообщение с открытым текстом было зашифровано».
Вопрос 1: На шаге 3 говорится, что в эксперименте 1 претендент выведет зашифрованный текст m1, а в эксперименте 0 — зашифрованный текст m0. Поправьте меня, если я ошибаюсь, но претендент отправит только ОДНО сообщение, либо зашифрованный текст m1, либо правильно m0, а не оба?
Вопрос 2: Я не понимаю ту часть, где игра пытается увидеть, может ли противник различить, какое незашифрованное текстовое сообщение было зашифровано. Как противник сможет это сделать, если претендент раскроет только один зашифрованный текст? Потому что всегда есть 1/2 двусмысленности.А когда были случаи, когда успешно и безуспешно различал их два?