В соответствии со стандартными определениями CPA-безопасного шифрования с открытым ключом, существуют точно такие же гарантии безопасности для протокола. А --> Б : {Т}, {Р} и А --> Б : {Т, Р}. Конфиденциальность и ничего больше.
Доказательство: из любого CPA-защищенного шифрования с открытым ключом мы строим другое следующим образом:
- Мы определяем новое шифрование однобитового сообщения $м$ быть оригинальным шифрованием случайного бита $b$, объединенный с $c:=m\oплюс b$. Расшифровка расшифровывает $b$, затем находит $m=c\oплюс b$.
- Мы определяем, что новое шифрование многобитового сообщения является конкатенацией нового шифрования каждого бита сообщения. Дешифрование расшифровывает отдельные биты и восстанавливает исходное сообщение.
Легко доказать, что новая схема шифрования правильно расшифровывает и является CPA-безопасной. Для этой схемы шифрования и любых сообщений Т и п он держит {Т,П} = {Т},{П} таким образом, два рассматриваемых метода неразличимы, а значит, одинаково безопасны.
В обоих случаях данные не аутентифицируются. Злоумышленники могут зашифровать любое сообщение и заменить его исходным кодом. И следует предположить, что они могут манипулировать криптограммой, чтобы изменить любую часть открытого текста после расшифровки, включая вставку, переупорядочение, дублирование, изменение бита, добавление константы.
Примечание: существуют схемы шифрования, делающие А --> Б : {Т}, {Р} восприимчивы к атакам, которые терпят неудачу для А --> Б : {Т, Р} (например, изменить то, что Б добирается до {Т'},{П} с Т' близкое время, что позволяет найти {П} до запланированной встречи, следуя Б пытается пойти на место встречи слишком рано).Я хочу сказать, что постановка задачи не позволяет заключить, что используемая система шифрования является одной из таких негибких криптосистем.
¹ измените бит на байт, если криптосистема разрешает только сообщения с размером, кратным 8 битам.
