Generadores pseudo-aleatorios | Seguridad CPA | Alison
Loading
Apuntes
Study Reminders
Support
Text Version

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Foundations de CryptographyProf. Dr. Ashish Choudhury (ex) Fundación Infosys Fundación de Desarrollo Profesional Profesor Instituto Internacional de Información Tecnología-BangaloreLecture-13CPA SeguridadHola a todos, bienvenidos a la conferencia 12. El plan para esta conferencia es el siguiente. (Tiempo de Slide: 00 :32) En esta conferencia discutiremos las limitaciones de las cipadoras de corriente. E introduciremos el concepto de seguridad de CPA y veremos las motivaciones de los ataques de la CPA en el escenario mundial real. (Consulte el Tiempo de Slide: 00 :46) Así que, recordemos el cifrado de la corriente. Así que en el cifrado de corriente tenemos un generador pseudo-aleatorio, a la derecha, que toma una semilla aleatoria de l bits y le da una salida de L bits y el resultado es pseudo-aleatorio en el sentido de que la salida no puede distinguirse del resultado de un generador de números realmente aleatorio. Por lo tanto, el algoritmo de encriptación del cifrado de corriente, básicamente, expande la semilla para el cifrado usando el generador pseudo-aleatorio al tratar la clave para el algoritmo de cifrado como la semilla para el generador pseudo-aleatorio. Y la salida expandida del generador pseudo-aleatorio se usa como una almohadilla para enmascarar su mensaje. Y en el algoritmo de descifrado, simplemente hacemos la operación inversa. Por lo tanto, es un cifrado de corriente. Por lo tanto, la primera restricción impuesta por el cifrado de corriente es que no es un mensaje múltiple seguro. Eso significa que podemos utilizar el cifrado de corriente sólo para cifrar un mensaje utilizando una clave, no podemos cifrar varios mensajes utilizando la misma clave.Y la razón principal de esto es que el algoritmo de cifrado en cualquier cifrado de corriente es determinista porque dentro del algoritmo de cifrado, vamos a expandir la clave utilizando un pseudo generador aleatorio. Eso significa que si quiero cifrar un texto plano m bajo la clave k, llevará a la misma ciphertext c, a la derecha. Así que si tengo un mensaje dice 00. Y si tengo una clave k, y si quiero cifrar un mensaje 00 usando la misma clave varias veces, siempre obtendré el mismo texto cifrado porque mi algoritmo de cifrado no es aleatorio. No hay aleatoriedad interna como parte del proceso de cifrado de cifrado de corriente. Y en base a esta idea, en realidad podemos dar una instanciación del experimento de seguridad multimensaje COA donde podemos mostrar a un adversario que en realidad puede identificar qué mensaje está encriptado por el retador en el experimento. Así que aquí está la instancia del experimento. Así que ya que este es un experimento de seguridad de COA multi mensaje, nuestro adversario básicamente somete un par de vector de mensajes donde en el vector 0th tenemos 2 mensajes que consisten en todos los 0s.Considerando que en el primer vector m1 el primer bloque de mensaje es el primer mensaje es todos los 0s mientras que el segundo mensaje es todo 1s. Ahora según las reglas del experimento, el retador aquí ejecutará el algoritmo de generación de claves y decidirá al azar el índice m0 o m1 que quiere cifrar. Y por lo tanto prepara el desafío cifrado para el adversario donde el vector del desafío cifrado es denotado por el vector C y consistirá de 2 ciphertext right.Now, notice que la manera en que el adversario ha enviado el par de mensajes de desafío m0 y m1, el adversario sabe que si el vector ciphertext de desafío es un cifrado del vector m0, entonces tanto c1 como c2 serán idénticos porque ambos habrían sido el cifrado del mismo mensaje entonces todos los 0s. Mientras que el adversario sabe que si el texto cifrado es un cifrado del vector de mensaje m1, definitivamente el texto de cifrado c1 será diferente del texto cifrado c2.Porque el mensaje está en el primer vector m1 son diferentes. Así que basado en esta intuición, nuestro adversario va a la salida de la siguiente manera que saldrá el bit b ’ = 0 si y sólo f c1 = c2. Y ahora es fácil ver que nuestro adversario va a dar salida al bit correcto. A saber, identificará correctamente el mensaje de desafío que está encriptado en el lado desafío ciphertext c vector con probabilidad 1.Porque si de hecho el vector 0th está encriptado en el vector C, entonces definitivamente c1 = c2. Mientras que si el vector de mensaje m1 se hubiera cifrado en el reto, ciphertext C, entonces c1 no es igual a c2. Así que claramente nuestro adversario va a ganar este juego con la probabilidad 1, y lo que muestra que en un cifrado de corriente no podemos cifrar varios mensajes usando la misma clave, a lo más podemos cifrar sólo un solo mensaje. (Consulte el Tiempo de Slide: 04 :52) La segunda restricción que es impuesta por el cifrado de corriente es que soporta el cifrado de sólo mensajes de longitud fija. Así que por ejemplo imagine que tenemos un cifrado de corriente sobre el espacio de mensajes de L bits, a la derecha. Por lo tanto, imagine que el remitente tiene un mensaje que tiene un tamaño más que L bits. Por ejemplo, imagine que el remitente tiene un mensaje que consta de 2 L bits. Ahora, una manera ingenua de cifrar este mensaje habría sido dividir su mensaje en 2 bloques cada uno de tamaño L bits, L bits. Y cifrar cada uno de los bloques de mensajes m1 y m2 utilizando la clave k por ejecutar 2 instancias del algoritmo de cifrado de cifrado de corriente derecha y el texto cifrado resultante será c1, c2. Ahora la pregunta es, es este método de dividir su mensaje más grande en bloques más pequeños de tamaño L bits y cifrar cada uno de los bloques de mensajes individuales es COA asegurado o no. Y resulta que la respuesta es no. Esto es debido al problema que era el algoritmo de cifrado de cifrado de corriente es determinista. Eso significa, si tengo un mensaje más grande que consta de varios bloques de L bits, y si tengo bloques de repetición en este mensaje más grande, entonces dondequiera que esté apareciendo ese bloque repetitivo, obtendré los mismos bloques de texto cifrado porque el mismo k utilizado para cifrar todos esos bloques, y no hay aleatoriedad interna como parte del algoritmo de cifrado. Así que basado en esta debilidad, en realidad podemos crear una instancia del experimento de seguridad del mensaje único COA, y mostrar que de hecho son existe una estrategia de adversario, que puede identificar claramente qué mensaje ha sido cifrado por el retador. Así que aquí está la instancia del experimento de seguridad de mensaje único COA. Por lo tanto, en este caso el adversario envía 2 mensajes m0 y m1. Y subrayo que se trata de una instancia de un solo experimento de COA mensaje porque nuestro objetivo es mostrar que hay un adversario que puede distinguir el cifrado aparte de 2 mensajes más grandes donde nuestra estrategia de cifrado es dividir los mensajes más grandes en bloques pequeños y cifrar de forma independiente esos blocks.Así, en este caso básicamente el adversario está sometiendo 2 grandes mensajes, m0 y m1, donde el m0básicamente consiste de 2 bloques de todos los 0s y m1 consistiría en que el primer bloque sea todos los 0s y el segundo bloque todos los 1s. Ahora, el retador prepara el texto cifrado del reto y para ello, básicamente retador ejecuta el algoritmo de generación de claves del cifrado de corriente y obtiene una clave aleatoria y decide al azar el mensaje m0 o m1 para el derecho de cifrado. Así que basado en el índice b que es elegido al azar por el retador, el retador prepara el texto cifrado del desafío que consiste en 2 bloques de texto cifrado c1 y c2. Y observe que aquí el adversario sabe que si el reto cifrado es un cifrado de m0, entonces definitivamente c1 y c2 van a ser los mismos porque nuestro proceso de cifrado es un algoritmo determinista. Por otro lado nuestro adversario sabe que si el reto cifrado C es un cifrado del mensaje m1, entonces definitivamente el bloque de texto de cifrado c1 será diferente del bloque de texto de cifrado c2.Debido a que los bloques internos del mensaje m1 son diferentes. Así, basado en esta estrategia, el adversario va a producir su salida de la siguiente manera que produce b ’ = 0 si y sólo si c1 = c2. Y es fácil ver que la estrategia del adversario en este caso de hecho identifica correctamente qué mensaje se ha cifrado en el desafío ciphertext c con probabilidad 1, eso significa que 100% de probabilidad el adversario va a distinguir aparte el cifrado de m0 de un cifrado de m1. Y por lo tanto este proceso de dividir su mensaje más grande en bloques más pequeños de L bits, L bits y cifrar cada bloque mediante la ejecución de una instancia de cifrado de corriente, pero con la misma clave k no es un derecho de mecanismo seguro. (Consulte el tiempo de la diapositiva: 08 :58) Por lo tanto, como puede ver que tanto las debilidades que hemos señalado en el contexto de la secuencia de cifrado es debido al hecho de que el algoritmo de cifrado en el cifrado de corriente es un algoritmo determinista. Y por lo tanto, ya es hora de que tengamos que ir ahora para un proceso de cifrado aleatorio para eliminar estas 2 deficiencias. (Consulte el tiempo de la diapositiva: 09:16) Así que lo que vamos a hacer ahora es que vamos a introducir un modelo de ataque más fuerte, a saber, el modelo de ataque de texto sin formato, que también llamamos CPA. Y más adelante veremos que cuando construimos el proceso de encriptación, que son CPA seguras, podemos realmente deshacerse de los problemas o de las deficiencias que encontramos en el contexto de la secuencia de cifrado. Así que antes de entrar en los detalles formales del modelo de ataque de la CPA, veamos algunas aplicaciones del mundo real que queremos capturar realmente en nuestro modelo de ataque. Así que este es un ejemplo tomado en el contexto de la segunda guerra mundial. Así que este ejemplo demuestra básicamente cómo básicamente el ejército británico rompió los códigos alemanes al obtener realmente un servicio de encripción de oráculo del ejército alemán. Así que lo que hizo el ejército británico es lo siguiente. Ellos deliberadamente plantaron minas de mar en lugares conocidos que denotan por la ubicación 1, la ubicación 2 y la ubicación 3 y así a la derecha. Y lo que el ejército alemán hizo básicamente es cada vez que realmente encontraron una mina de mar siendo plantada en una ubicación específica, que estaban enviando de vuelta la identidad de esos lugares de vuelta a su sede en una moda cifrada, a la derecha. Así que aquí tenemos al remitente, el ejército alemán que en realidad está descubriendo las ubicaciones de las minas de mar y la sede está actuando como el receptor. Y hay una clave aleatoria clave común establecida entre el remitente y el receptor. Y cada vez que el remitente, a saber, en este contexto, el ejército alemán estaba identificando las ubicaciones de la mina de mar, estaban cifrando la identidad de esas ubicaciones bajo una clave desconocida k y enviándola de vuelta al receptor, a saber, la sede. Y cuando esta comunicación cifrada estaba sucediendo, a la derecha, lo que el ejército británico hizo es básicamente que interceptaron esta comunicación encriptada. Y sabían qué mensaje ha sido realmente encriptado, correcto. Así que lo que no se conoce al ejército británico aquí es la clave k, que no se conoce al ejército británico, pero lo que el ejército británico sabe en este ejemplo particular es qué mensaje se ha cifrado y comunicado al receptor. Así que en cierto sentido, podemos imaginar que en este ejemplo, el ejército británico, está actuando como un adversario, correcto. Porque está sentado entre el remitente y el receptor y de alguna manera está obteniendo un servicio de oráculo de encriptación, en el sentido de que el ejército británico estaba obligando a los alemanes a cifrar los mensajes de la elección del ejército británico. Y eso también sin dejar que el remitente o el receptor sea el ejército alemán, consciente de este hecho, correcto. La razón por la que lo estamos llamando como un oráculo servicios que el remitente que está realmente enviando los mensajes encriptados no es consciente del hecho de que está influenciado para cifrar los mensajes de la elección del adversario. Así que ese es el tipo de escenario de ataque que realmente ha sucedido en el contexto mundial real. Y si usted ve nuestro modelo de ataque sólo modelo de ataque, definitivamente este tipo de escenario no es capturado en nuestro texto de cifrado sólo ataque modelo, porque este es un ataque más potente, que puede suceder y que no se captura correctamente, o no en absoluto capturado en el modelo de ataque de sólo texto cifrado. (Consulte el tiempo de la diapositiva: 12 :38) Ahora vamos a ver otro ejemplo que motiva el modelo de ataque de texto plano elegido. Y esto está de nuevo en el contexto de la guerra mundial. Y aquí el escenario es el siguiente el ejército japonés que en realidad estaban haciendo un seguimiento de los movimientos de la Marina de los EE.UU. y está actuando como remitente y su sede central Japón es el receptor y tienen una clave compartida k. Y de alguna manera, durante la guerra mundial, US Navy interceptó un mensaje que los japoneses están planeando atacar una ubicación llamada AF.So AF era una especie de ubicación codificada. Por lo tanto, después de pasar una cantidad significativa de tiempo, la Marina de los EE.UU. no pudo confirmar a qué corresponde exactamente la ubicación codificada AF. Pero creían firmemente que se erige para las islas de la mitad del camino, que es una pequeña isla en los Estados Unidos. Pero no estaban seguros de si exactamente AF corresponde a la Isla de la mitad o no. Entonces, qué confirmar su intuición o entender básicamente lo que el ejército de EE.UU. hizo es que obtuvieron un servicio de encripción oráculo de los japoneses, básicamente el forzado japonés para cifrar el amessage de su elección y sin dejar que el ejército japonés sabiendo de este hecho. Así que la forma en que lo hizo la Marina de los Estados Unidos es la siguiente. Así que lo que básicamente hicieron es que simplemente, ellos instruyeron a la fuerza que estaba ubicada en la Isla del medio camino para comunicar un mensaje a la sede de los Estados Unidos indicando que los suministros de agua dulce son bajos a la mitad de las islas. Y este mensaje fue enviado en claro, y ellos realmente querían que los japoneses interceptaran este mensaje. Y este mensaje fue interceptado por el ejército japonés. Y tan pronto como el ejército japonés realmente interceptó este mensaje, hicieron una comunicación encriptada de vuelta a su cuartel bajo la clave k que no era conocida por el ejército de los EE.UU. y el mensaje encriptado era básicamente correspondiente al mensaje de que el AF es bajo en el agua. Y la comunicación encriptada fue entonces interceptada por la Marina de los Estados Unidos. Y ahora se puede ver claramente que tan pronto como este mensaje encriptado fue interceptado, la Marina de los EE.UU. fue confirmada que efectivamente AF corresponde a la Isla de la mitad del camino. Así que ahora puedes ver aquí, la Marina de los EE.UU. básicamente actuó como un adversario sentado entre el remitente y el receptor, y de alguna manera obtuvieron un servicio de oráculo de encriptación del remitente, es decir, el ejército japonés en este contexto. Y una vez que se confirmó que AF corresponde a la Isla de la mitad del camino, básicamente terminaron desplegando tropas adicionales en la Isla de Midway. Y los japoneses pensaban que, de hecho, las islas de Midway realmente tenían un bajo suministro de agua, lo que en realidad no era el caso. Así que en realidad estaban apuntando a la Isla del medio camino. Ellos no estaban anticipando que las tropas han sido fortalecidas en la mitad de la Isla. Y en realidad el ejército japonés terminó por sufrir fuertes bajas. Así que de nuevo, este es un ejemplo de un ataque de ataque del mundo real que no puede ser capturado correctamente en el modelo de ataque sólo de texto cifrado. (Consulte Tiempo de Slide: 15 :42) Eso significa que ahora tenemos que ir a un modelo de ataque más fuerte que llamamos modelo de ataque de CPA. Y el escenario en el modelo de ataque de CPA es el siguiente. Tenemos un remitente y un receptor y una clave aleatoria común se acuerda de alguna manera entre las 2 entidades. Y aquí el adversario es asumido para obtener el servicio de encripción oracle ya sea del remitente o del receptor para la simplicidad como asume es conseguir el servicio de encripción oracle del remitente. Así que lo que quiero decir por los servicios de encripción oracle básicamente es que el adversario de alguna manera consigue acceso a la encriptación “ caja ” (entre comillas). Y básicamente el adversario puede influir en el senderto encriptar lo que el adversario de texto plano quiere conseguir encriptado sin realmente dejar que el senderknow o ser consciente del hecho de que el remitente en realidad está encriptando mensajes de adversario ’ schoice.Y esto puede suceder para cualquier número de consultas siempre y cuando el tiempo de ejecución del atacante sea factible o computacionalmente acotado. Así que en este caso, por ejemplo, el adversario primero puede obtener un cifrado del mensaje m1 y luego basado en el cifrado del mensaje m1 puede decidir a continuación qué mensaje debe pedir para el cifrado desde el oráculo de cifrado. Así por ejemplo, m2 y como que puede consultar adaptativamente el cifrado oracle, right. Así que lo que quiero decir por consultas adaptativas es que este adversario no somete todas sus consultas de cifrado en un solo disparo, nuestro adversario podría ser un adversario más inteligente. Y en base a las respuestas que el adversario ha visto desde la interacción anterior con el oráculo de cifrado, puede decidir qué preguntar desde el oráculo de cifrado en las consultas posteriores. En ese sentido nuestro adversario es un adversario adaptativo.Y una vez que el adversario tiene acceso al encryption oracle y ha preparado una base de datos de varios pares (mensajes, ciphertext), todos somos el texto cifrado correspondiente son las cifraciones del texto plano correspondiente bajo la misma clave desconocida k. El objetivo del adversario es el siguiente: un mensaje fresco es encriptado, y es interceptado por nuestro adversario, y el objetivo del adversario es básicamente calcular alguna función del texto plano subyacente en este nuevo texto cifrado. Hago hincapié en que podría darse el caso de que un mensaje nuevo que ha sido cifrado y ahora es interceptado por el adversario podría pertenecer ya a la lista de los mensajes para los que el adversario tendría la consulta de oráculo de cifrado. Cuando decimos que queremos construir un esquema seguro de CPA, nuestro esquema debe cuidar de este escenario como wellright. (Consultar Tiempo de Slide: 18 :07) Así que ahora hagamos que la definición de seguridad de CPA sea un poco más formal a través de nuestro experimento. Así que tenemos un proceso de encriptación públicamente conocido sobre algún espacio de mensajes conocido y tenemos un adversario computacionalmente acotado. Y la nomenclatura del experimento es la siguiente. Llamamos al experimento como? ?????,? ??? con respecto al adversario A colocado contra un esquema Π y este es un único mensaje de seguridad CPA.Básicamente somos el objetivo del atacante es identificar qué mensaje se ha cifrado básicamente, tiene que distinguir el cifrado de separación entre el cifrado de 2 mensajes basados en el servicio de oráculo de cifrado, y n aquí está el parámetro de seguridad derecho. Así que en un nivel muy alto básicamente el juego consta de 4 etapas. Tenemos una fase de entrenamiento pre-desafío, tenemos una fase de desafío, tenemos una fase de entrenamiento post-desafío y tenemos una fase de salida. Si comparamos este experimento con nuestro juego de seguridad COA, entonces la fase de desafío y la fase de salida sigue siendo la misma que en el juego de COA. Las nuevas cosas aquí son la fase de entrenamiento pre-desafío y la fase de entrenamiento post-desafío. Así que vamos un poco más profundo en lo que es exactamente este pre-desafío y las fases de entrenamiento post desafío son. Así que en la fase de entrenamiento pre-desafío, básicamente nuestro adversario obtiene el servicio de encripción oracle. Así que envía varios mensajes de su elección de manera adaptable y pide el cifrado de esos mensajes. Por lo tanto, para el propósito de simplicidad aquí, he representado todas las consultas de oráculo de cifrado que se envían de una sola vez. Pero ese no puede ser el caso, nuestro adversario puede enviar cualquier mensaje de su elección en base a la respuesta que ha visto antes. Así que una vez que estas consultas de cifrado se envían a nuestro contrincante, lo que hace el retador es que tiene que responder a los mismos. Y este modelo básicamente el adversario consigue acceso al servicio de oráculo de cifrado donde puede influir en el remitente para cifrar los mensajes que el adversario siente como, y para responder a las consultas de oráculo de cifrado, lo que hace el retador es, ejecuta el algoritmo de generación de claves o obtiene una clave aleatoria y cifrar los mensajes de cifrado de oracle m1, m2, …, mq según el algoritmo de cifrado del esquema Π derecha. Así que no hay ninguna restricción en el número de consultas, qué tipo de consultas puede someter el adversario para las consultas de oracle de cifrado y así sucesivamente. La única restricción es que el tiempo de ejecución del adversario debe ser computativamente limitado, es decir, debe ser una función polinómica de nuestro parámetro de seguridad que automáticamente impone una restricción en la cola, a saber, el número de consultas que el adversario puede pedir. Por lo tanto, es una fase de entrenamiento pre-desafío. (Tiempo de Slide: 20 :59) Ahora en la fase de desafío, el adversario desafía a nuestro contrincante, y envía un par de mensajes del espacio de texto plano. Dado que se trata de un único experimento de seguridad de mensajes, la única restricción en el par de mensajes de reto es que las longitudes deben ser las mismas. Aparte de que no hay absolutamente ninguna restricción que significa que el mensaje es m0 m1 podría ser cualquiera de los mensajes que el adversario ya ha consultado como parte de las consultas de oráculo de cifrado. Así que para distinguir los mensajes m0 y m1 que se presentó como parte de la fase de desafío, estoy usando un color diferente aquí. Pero el valor sabio podría ser cualquiera de los mensajes que el adversario ya ha consultado en el pasado en la fase de entrenamiento pre-desafío. Ahora, el retador tiene que preparar el texto cifrado del reto y hacer que lo que hace el retador sea al azar decide si cifrar el mensaje m0 o si encriptar un mensaje m1.Y una vez que ha decidido qué mensaje tiene que cifrar, cifra ese mensaje en particular. Así que el mensaje cifrado se denota por mb y con probabilidad medio mb podría ser m0 y con probabilidad medio mb podría ser m1. Y ahora el reto para el adversario es identificar qué se ha cifrado exactamente en c * si es m0 o si es m1. Ahora, lo que hacemos aquí es que en realidad le damos al atacante más poder aquí. Por lo tanto, una vez que el adversario vea el reto cifrado volvemos a dejar que el adversario obtenga acceso al servicio de oráculo de cifrado y esto básicamente modela el hecho de que en la sesión del mundo real entre el remitente y el receptor podría consistir de varios mensajes y el adversario podría estar interesado en identificar o romper la seguridad de sólo un mensaje en particular en esa sesión basada en cualquier consulta de cifrado o de la consulta de la cima se puede obtener antes de que se comunique el texto cifrado y después de que se comunica el texto cifrado. Así que para modelar que, Básicamente estamos dando al adversario un servicio post-desafío de cifrado de oráculo, donde de nuevo puede pedir el cifrado de cualquier mensaje de su elección incluyendo los mensajes de desafío, m0 o m1. No hay absolutamente ninguna restricción. Puede someter de forma adaptativa la consulta oracle de oracle y, en respuesta, aprenderá el cifrado de esos mensajes. La única restricción es que el número de consultas debe ser superior acotado por alguna función polinómica del parámetro de seguridad l.Ahora, una vez que el adversario obtiene esa fase de entrenamiento de pre-desafío, fase de entrenamiento post desafío, en base a las respuestas que ha obtenido, tiene que identificar qué se ha cifrado en el desafío ciphertext c *, a saber, tiene que identificar si es m0 o si es m1 que se ha cifrado en c *. Por lo tanto, esa es una instancia de un solo mensaje un experimento de seguridad de la CPA. Ahora, la definición de la seguridad de la CPA de un solo mensaje es que decimos que nuestro esquema Π es un único mensaje CPA seguro o semánticamente mensaje único CPA seguro, si por cada algoritmo de tiempo polinomio probabilístico que participa en este experimento, hay alguna función insignificante negl (n), de tal manera que la probabilidad de que el adversario gane este experimento, que denotamos como? (? outputs? ’ =?) ≤ 1 +? ??? (?) que significa la probabilidad de que A outputs o identifica el mensaje 2right que se ha cifrado en c *, está limitado por la mitad más esa función insignificante, donde la probabilidad se toma realmente sobre la aleatoriedad de nuestro retador y la aleatoriedad de nuestro adversario. Así que recuerda que todas estas instancias de experimento son experimentos aleatorios, porque el verificador va a utilizar algunas monedas aleatorias para decidir qué mensaje cifrar, cuál es el algoritmo de generación de claves que va a la salida y la aleatoriedad interna que se va a utilizar como parte del proceso de cifrado. Es por eso que la probabilidad es sobre la aleatoriedad sobre el retador. Y de la misma manera que el adversario podría estar pidiendo el cifrado de las consultas oracle, donde la naturaleza de las consultas se puede determinar al azar basado en las monedas internas de la derecha del adversario. Así que esta es nuestra definición de seguridad de CPA de mensaje único. Y lo que esta implicación garantiza es que este proceso de dividir los mensajes más grandes en bloques pequeños y cifrar cada bloque individual por una instancia del esquema Π está garantizado para proporcionarle seguridad de CPA.Por eso, para el resto de nuestro debate, nos centraremos en diseñar el esquema de seguridad de CPA sólo para mensajes de longitud fija. Así que eso me lleva al final de esta conferencia, sólo déjenme resumir lo que habíamos visto en esta conferencia, discutimos las 2 deficiencias de cualquier cifrado de corriente. El primer defecto es que no podemos cifrar múltiples mensajes, es decir, la reutilización de claves es un gran problema. Y el segundo problema es que podemos cifrar mensajes de sólo longitud fija. No podemos utilizar un proceso de cifrado que es COA seguro para un mensaje de longitud fija para cifrar mensajes largos arbitrarios dividiendo los mensajes largos arbitrarios en bloques individuales pequeños y encriptando cada bloque utilizando la misma clave. Eso no le va a dar una garantía de seguridad COA. También introdujimos la noción de seguridad de CPA y habíamos visto alguna motivación real del mundo o ejemplos del mundo real donde el adversario realmente puede lanzar un ataque de CPA. Y habíamos visto que en el mundo de la CPA, la seguridad de un solo mensaje y la seguridad de múltiples mensajes son equivalentes. Gracias.

Notification
You have received a new notification
Click here to view them all