Напомним, что противник в игре безопасности IND-CPA получает «лево-правый оракул»:
$$\mathsf{LR}(m_0,m_1):= \mathsf{Enc}_{pk}(m_b)$$
куда $b\in\{0,1\}$ это секретный бит, который противник должен попытаться восстановить.
предположим, что есть противник, который может обнаружить, что два зашифрованных текста зашифрованы из одного и того же открытого текста.
В приведенном выше вы можете видеть, что есть только один хотя шифрованный текст --- $\mathsf{LR}(m_0,m_1)$ возвращает не замужем зашифрованный текст $\mathsf{Enc}_{pk}(m_b)$. Это означает, что я не уверен на 100% в том, что вы хотите спросить. Если мы изменим ваш вопрос на:
Предположим, что есть противник $\mathcal{А}$ который, учитывая два произвольных зашифрованных текста $с, с'$ зашифрованы одним и тем же открытым ключом, могут определить, шифруют ли они одно и то же --- значение может ответить на вопрос
$$\mathsf{Dec}_{sk}(c)\stackrel{?}{=}\mathsf{Dec}_{sk}(c')$$
Может ли этот злоумышленник нарушить безопасность IND-CPA?
Ответ да.
Атака проста --- для отдельных $м_0, м_1, м_2$, запрос $c\gets\mathsf{LR}(m_0, m_1)$, $c'\gets\mathsf{LR}(m_2, m_1)$. Если противник определит, что $с, с'$ зашифровать одно и то же сообщение, затем оба $\mathsf{LR}$ запросы зашифрованы $m_1$, например $б = 1$. В противном случае, $б = 0$.
На самом деле это основа довольно фундаментального результата в шифровании с открытым ключом.
Детерминированное шифрование с открытым ключом невозможно.
Я думаю, что это ссылка на Goldwasser-Micali 1982, но независимо от деталей это один из «ранних» результатов в теоретической криптографии.
Чтобы доказать это, все, что вам нужно сделать, это заметить, что если $\mathsf{LR}$ является детерминированным, создавая противника $\mathcal{А}$ мы упоминали ранее, довольно просто (я дам вам подумать, как это сделать).
Затем мы можем организовать атаку, о которой мы упоминали ранее.
