Будь то Эксперимент для множественной защиты сертификата подлинности:
$ PrivK _ {\ mathcal {A}, \ Pi} ^ {mult} (n) $:
$(m_0^1, ..., m_0^t,m_1^1,..., m_1^t) \leftarrow \mathcal{A}(1^n), |m_0^i|=|m_1^i| \forall i \in [1,t]$
$k\leftarrow Gen(1^n)$
$b \leftarrow \{0,1\}$
$C = (c_b^1, ..., c_b^t) \leftarrow (Enc_k(m_b^1), ..., Enc_k(m_b^t))$
$b' \leftarrow \mathcal{A}(C)$
если $б' = б$ вернуть 1 иначе вернуть 0
Если $PrivK _{\mathcal{A},\Pi}^{mult}(n) = 1$ $\mathcal{А}$ выигрывает. Чтобы криптосистема обладала такой безопасностью, не должно существовать противника, который выиграет этот эксперимент лучше, чем $1/2 + отрицательная(n)$, куда $негл(п)$ является пренебрежимой функцией.
Теперь я хочу построить криптосистему, обладающую такой безопасностью, но не безопасностью KPA, CPA или CCA. Моя идея:
- $ Поколение (1 ^ п) $: Создает единый случайный ключ $k \leftarrow \{0,1\}^n$
- $Enc_k(м)$: Создать единое случайное число $r \leftarrow \{0,1\}^n$ и создать $c = m \oplus PRG(k \oplus r) $. Вывод $(с,г)$
- $Dec_k((c,r))$: Создавать $m = c \oplus PRG(k \oplus r)$ и вывод $м$
Предположим, что PRG является безопасным псевдослучайным генератором, тогда эта криптосистема должна быть защищена с несколькими COA-защищенными (или защищенными с несколькими EAV-IND от Учебник Каца и Линделла (2-е издание))
Это так или я что-то проглядел?