(Отказ от ответственности: я новичок в криптографии, поэтому, пожалуйста, помните об этом в своих ответах).
В симметричной криптографии с закрытым ключом противник $\математический А$ снабжены оракулами шифрования и дешифрования $\mathcal O_{\text{Enc}},\mathcal O_{\text{Dec}}$ выигрывает игру IND-CCA, если последовательно угадывает, какой из двух открытых текстов $m_0,m_1\в \mathcal M$ соответствует заданному (каким-то оракулом $\mathcal O_{LR}$) шифр $c^*=\text{Enc}_k(m_{b\in\{0,1\}})$, то есть если он может выводить $b'=b$ с вероятностью больше половины. С другой стороны, $\математический А$ с теми же оракулами выигрывает игру OW-CCA, если дан шифр $c^*=\text{Enc}_k(m^*)$ он может выводить $м'=м^*$.
Я хочу показать, что IND-CCA подразумевает OW-CCA. Аргумент должен звучать так: предположим, что IND-CCA выполняется, но существует $\математический А$ что нарушает OW-CCA. затем $\математический А$ можно использовать для создания противника $\mathcal B$ что нарушает IND-CCA. Детали, однако, ускользают от меня; может ли кто-нибудь помочь с ними?
Редактировать. Самая простая конструкция, которую я могу придумать, выглядит следующим образом: вызвать оракула $\mathcal O_{LR}$ на пару $м_0,м_1$ чтобы получить $с^*$. Каждый раз $\mathcal B$ вызывает оракул, мы передаем запрос $\математический А$эквивалентный оракул, а затем переслать ответ $\mathcal B$. Поскольку мы предполагаем, что $\математический А$ в конечном итоге побеждает, он вернет значение $м'$ что соответствует либо $m_0$ (в этом случае мы возвращаем его $b'=0$) или же $m_1$ (в этом случае возвращается $b'=1$). Из нашего предположения, что IND-CCA не может быть нарушена, следует, что $\математический А$ тоже не может существовать.
Это работает?
