Почему для схем шифрования достаточно идеальной секретности/неразличимости (а не случайности), но не для блочных шифров?
Блочные шифры являются примитивными. Мы хотим, чтобы они представляли собой псевдослучайную перестановку (PRP) и защищали от таких атак, как грубая сила, линейные и дифференциальные атаки.
Когда мы хотим зашифровать/расшифровать, нам нужно Схемы шифрования которые состоят из алгоритмов генерации ключей, шифрования и дешифрования ( неофициально; он определяет, как использовать блочный шифр для шифрования). Для построения схемы нам понадобится режим работы для блочного шифра, в котором определены несколько блочных сообщений, рандомизация (IV, одноразовый номер, настройка) и т. д. Тогда мы можем говорить о неразличимости схем шифрования в рамках модели противника, такой как Ind-CPA.
Даже режим ECB — это схема шифрования, о которой мы должны забыть.
Почему это должна быть случайная перестановка?
Лучшая формализация Почему это должно быть псевдо случайная перестановка.
Доказательства безопасности (Ind-X) основывались на PRP. * блочного шифра (см. доказательства начинаются с позволять $F$ быть PRP), в противном случае доказательство показать непросто. На самом деле теоремы безопасности не требуют существования PRP. Итак, границы установлены с (идеальным) PRP, и если вы начинаете инициализировать эту схему шифрования (реализация) и если блочный шифр не является PRP, то границы не работают.
Если доказано, что блочный шифр не является PRP, то отличитель для этого можно использовать схему шифрования, в которой используется этот блочный шифр.
Если блочный шифр взломан, то режим шифрования не является безопасным для этого блочного шифра.
С другой стороны, почему свойство полной секретности/неразличимости не может быть достаточным для блочного шифра?
Можно говорить о совершенная секретность ограниченного блочного шифра (это схема шифрования), хотя это невозможно доказать, поскольку это подразумевает, что он сломан. Как видите, для этого нужны ограничения, которых у нас нет.
Идеальный шифр против идеальной схемы шифрования
Помните, что блочный шифр — это семейство перестановок, где каждая из них выбирается/представляется ключом; $$F:\{0,1\}^k\times \{0,1\}^b \to \{0,1\}^b$$
Ан идеальный шифр - это модель что мы предполагаем, что блочный шифр представляет собой случайную перестановку для каждого ключа, и эти перестановки не зависят друг от друга. Это слишком много для идеализации, так как нет никакой конструкции для этого при небольшой конструкции, такой как блочный шифр. Нам нужен гном, как в модели Random Oracle. Это снова используется при доказательстве конструкций. Затем, когда вам нужно реализовать эту конструкцию, вы должны обратиться к реальной модели и перед лицом использования блочного шифра для ее реализации.
* Нужно сказать, что режим работы не ограничивается PRP, есть режим работы (CTR, CFB), который может использовать PRF, тогда границы разные, см. лемму PRF-PRF.