Рейтинг:0

Одинаковая ли модель CPA для открытого текста задачи

флаг co

Для схемы шифрования с защитой CPA предположим, что есть злоумышленник, который может обнаружить, что два зашифрованных текста зашифрованы из одного и того же открытого текста.

Эта схема шифрования по-прежнему безопасна для CPA?

Или безопасность CPA только моделирует, может ли злоумышленник узнать, какой открытый текст зашифрован, независимо от вышеуказанной ситуации.

Рейтинг:2
флаг ng

Напомним, что противник в игре безопасности IND-CPA получает «лево-правый оракул»:

$$\mathsf{LR}(m_0,m_1):= \mathsf{Enc}_{pk}(m_b)$$

куда $b\in\{0,1\}$ это секретный бит, который противник должен попытаться восстановить.

предположим, что есть противник, который может обнаружить, что два зашифрованных текста зашифрованы из одного и того же открытого текста.

В приведенном выше вы можете видеть, что есть только один хотя шифрованный текст --- $\mathsf{LR}(m_0,m_1)$ возвращает не замужем зашифрованный текст $\mathsf{Enc}_{pk}(m_b)$. Это означает, что я не уверен на 100% в том, что вы хотите спросить. Если мы изменим ваш вопрос на:

Предположим, что есть противник $\mathcal{А}$ который, учитывая два произвольных зашифрованных текста $с, с'$ зашифрованы одним и тем же открытым ключом, могут определить, шифруют ли они одно и то же --- значение может ответить на вопрос $$\mathsf{Dec}_{sk}(c)\stackrel{?}{=}\mathsf{Dec}_{sk}(c')$$ Может ли этот злоумышленник нарушить безопасность IND-CPA?

Ответ да. Атака проста --- для отдельных $м_0, м_1, м_2$, запрос $c\gets\mathsf{LR}(m_0, m_1)$, $c'\gets\mathsf{LR}(m_2, m_1)$. Если противник определит, что $с, с'$ зашифровать одно и то же сообщение, затем оба $\mathsf{LR}$ запросы зашифрованы $m_1$, например $б = 1$. В противном случае, $б = 0$.

На самом деле это основа довольно фундаментального результата в шифровании с открытым ключом.

Детерминированное шифрование с открытым ключом невозможно.

Я думаю, что это ссылка на Goldwasser-Micali 1982, но независимо от деталей это один из «ранних» результатов в теоретической криптографии. Чтобы доказать это, все, что вам нужно сделать, это заметить, что если $\mathsf{LR}$ является детерминированным, создавая противника $\mathcal{А}$ мы упоминали ранее, довольно просто (я дам вам подумать, как это сделать). Затем мы можем организовать атаку, о которой мы упоминали ранее.

Zi-Yuan Liu avatar
флаг co
Спасибо за четкое объяснение.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.