В соответствии со стандартными определениями CPA-безопасного шифрования с открытым ключом, существуют точно такие же гарантии безопасности для протокола. А --> Б : {Т}, {Р}
и А --> Б : {Т, Р}
. Конфиденциальность и ничего больше.
Доказательство: из любого CPA-защищенного шифрования с открытым ключом мы строим другое следующим образом:
- Мы определяем новое шифрование однобитового сообщения $м$ быть оригинальным шифрованием случайного бита $b$, объединенный с $c:=m\oплюс b$. Расшифровка расшифровывает $b$, затем находит $m=c\oплюс b$.
- Мы определяем, что новое шифрование многобитового сообщения является конкатенацией нового шифрования каждого бита сообщения. Дешифрование расшифровывает отдельные биты и восстанавливает исходное сообщение.
Легко доказать, что новая схема шифрования правильно расшифровывает и является CPA-безопасной. Для этой схемы шифрования и любых сообщений Т
и п
он держит {Т,П}
= {Т},{П}
таким образом, два рассматриваемых метода неразличимы, а значит, одинаково безопасны.
В обоих случаях данные не аутентифицируются. Злоумышленники могут зашифровать любое сообщение и заменить его исходным кодом. И следует предположить, что они могут манипулировать криптограммой, чтобы изменить любую часть открытого текста после расшифровки, включая вставку, переупорядочение, дублирование, изменение бита, добавление константы.
Примечание: существуют схемы шифрования, делающие А --> Б : {Т}, {Р}
восприимчивы к атакам, которые терпят неудачу для А --> Б : {Т, Р}
(например, изменить то, что Б
добирается до {Т'},{П}
с Т'
близкое время, что позволяет найти {П}
до запланированной встречи, следуя Б
пытается пойти на место встречи слишком рано).Я хочу сказать, что постановка задачи не позволяет заключить, что используемая система шифрования является одной из таких негибких криптосистем.
¹ измените бит на байт, если криптосистема разрешает только сообщения с размером, кратным 8 битам.