Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ТЕОРЕМА 3.24
| ОПРЕДЕЛЕНИЕ 3.23 Система шифрования с закрытым ключом Π обла-
дает неразличимым множественным шифрованием в условиях атаки на основе подобранного открытого текста, или является устойчивой к атакам на основе подобранного открытого текста (CPA-устойчивой) при многократном шифро- вании, если для всех вероятностных полиномиально-временных противников A существует такая пренебрежимо малая функция negl, что где вероятность вычисляется по случайности, используемой A, и случайности, используемой в эксперименте. Как следует из нашего более раннего обсуждения, CPA-защита при много- кратном шифровании по крайней мере также сильна, как и все предыдущие определения. В частности, если система шифрования с закрытым ключом 88 устойчива к атакам на основе подобранного открытого текста при многократ- ном шифровании, то она, очевидно, также CPA-устойчива. Важно, что обратное утверждение тоже верно. Иными словами, CPA-защита подразумевает CPA- защита в случае многократного шифрования. (Это контрастирует со случаем подслушивающей стороны. См. предположение 3.20.) Сформулируем следую- щую теорему без доказательства: похожий результат при использовании откры- того ключа доказан в разделе 11.2.2. ТЕОРЕМА 3.24 Любая система шифрования с закрытым ключом, устой- чивая к атакам на основе подобранного открытого текста, также CPA- устойчива при многократном шифровании. Значительное техническое преимущество CPA-защиты: Достаточно доказать, что система CPA-устойчива (при единичном шифровании), и мы без дополни- тельных усилий докажем устойчивость системы к атакам на основе подобран- ного открытого текста при многократном шифровании. Устойчивость к атакам на основе подобранного открытого текста в наши дни яв- ляется минимальным понятием безопасности, которому должна соответствовать система шифрования. Однако в последнее время распространены более строгие требования к характеристикам безопасности, которые мы обсудим в разделе 4.5. Сообщения фиксированной длины против сообщения произвольной дли- ны. Другим достоинством работы с определением CPA-защиты является того, что оно позволяет рассматривать сообщения фиксированной длины без потери общности. В частности, имея CPA-устойчивую систему шифрования фиксиро- ванной длины Π = (Gen, Enc, Dec), можно достаточно легко сконструировать CPA-устойчивую систему шифрования Πr= (Genr, Encr, Decr) для сообщений произвольной длины. Для простоты скажем, Π зашифровывает сообщения дли- ной 1 бит (тем не менее, все, что мы говорим, естественно расширяется без учета длины , поддерживаемой Π). Оставим Genr таким же, как и Gen. Опре- делим Encr для любого сообщения m (обладающего некоторой произвольной длиной A), как Encr (m) = Enck (m1), . . . , Enck (mA ), где mi означает i-тый бит m. Расшифрование осуществляется естественным пустем. Πr является CPA- устойчивой, если Π; доказательство следует из теоремы 3.24. Существуют более эффективные способы шифрования сообщений произ- вольной длины, чем настройка системы шифрования фиксированной длины, как указано выше. Мы изучим это позже в разделе 3.6. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|