87
другой подход, который несколько проще и обладает преимуществами моделиро-
вания перехватчиков, которые могут адаптивно подбирать открытые тексты для
шифрования, даже после анализа предыдущих шифртекстов. В данном определе-
нии мы дадим перехватчику доступ к «левому или правому» оракулу LRk,b, кото-
рый, получив на входе сообщения равной длины m0, m1, вычисляет шифртекст c
← Enck (mb) и выдает c. Иными словами, если b = 0, тогда
противник получает
шифрование «левого» открытого текста, если b = 1, тогда он получает шифрова-
ние «правого» открытого текста.
Здесь b - случайный бит, выбранный в начале
эксперимента; как и в предыдущих определениях, цель перехватчика - угадать b.
Оно обобщает предыдущее определение надежности многократных сообщений
(определение 3.19), потому что вместо вывода списков (m0,1, ..., m0,t) и (m1,1, ...,
m1,t), одно из сообщений которых должно быть зашифровано, перехватчик мо-
жет последовательно запрашивать LRk,b (m0,1, m1,1), ..., LRk,b (m0,t, m1,t). Оно
также включает в себя доступ перехватчика к оракулу шифрования, поскольку
перехватчик
может просто запросить LRk,b(m, m), чтобы получить Enck (m).
Теперь мы формально определим эксперимент, назвав его экспериментом по LR-
оракулу. Пусть Π
- система шифрования, A -
противник, а n - параметр безопасности:
Эксперимент по LR-оракулу
1. С помощью алгоритма Gen(1n) генерируется ключ k.
2. Выбирается единообразный бит b ∈
{0, 1}.
3. На входе противнику A дается 1n и доступ к оракулу LRk,b (•, •), как опре-
делено выше.
4. Противник A выводит бит br .
5. Результатом эксперимента является 1 если br=b, иначе 0. В первом случае
мы говорим, что А добился успеха.
Достарыңызбен бөлісу: