Защита от атак на основе подобранного открытого текста при многократ-

87
другой подход, который несколько проще и обладает преимуществами моделиро-
вания перехватчиков, которые могут адаптивно подбирать открытые тексты для 
шифрования, даже после анализа предыдущих шифртекстов. В данном определе-
нии мы дадим перехватчику доступ к «левому или правому» оракулу LRk,b, кото-
рый, получив на входе сообщения равной длины m0, m1, вычисляет шифртекст c 
← Enck (mb) и выдает c. Иными словами, если b = 0, тогда противник получает 
шифрование «левого» открытого текста, если b = 1, тогда он получает шифрова-
ние «правого» открытого текста. Здесь b - случайный бит, выбранный в начале 
эксперимента; как и в предыдущих определениях, цель перехватчика - угадать b. 
Оно обобщает предыдущее определение надежности многократных сообщений 
(определение 3.19), потому что вместо вывода списков (m0,1, ..., m0,t) и (m1,1, ..., 
m1,t), одно из сообщений которых должно быть зашифровано, перехватчик мо-
жет последовательно запрашивать LRk,b (m0,1, m1,1), ..., LRk,b (m0,t, m1,t). Оно 
также включает в себя доступ перехватчика к оракулу шифрования, поскольку 
перехватчик может просто запросить LRk,b(m, m), чтобы получить Enck (m).
Теперь мы формально определим эксперимент, назвав его экспериментом по LR-
оракулу. Пусть Π - система шифрования, A - противник, а n - параметр безопасности:
Эксперимент по LR-оракулу 
1. С помощью алгоритма Gen(1n) генерируется ключ k.
2. Выбирается единообразный бит b ∈{0, 1}.
3. На входе противнику A дается 1n и доступ к оракулу LRk,b (•, •), как опре-
делено выше.
4. Противник A выводит бит br .
5. Результатом эксперимента является 1 если br=b, иначе 0. В первом случае 
мы говорим, что А добился успеха.

жүктеу/скачать 6.4 Mb.

Достарыңызбен бөлісу: