88
устойчива к атакам на основе подобранного открытого текста при многократ-
ном шифровании, то она, очевидно, также CPA-устойчива. Важно, что обратное
утверждение тоже верно.
Иными словами, CPA-защита
подразумевает CPA-
защита в случае многократного шифрования. (Это контрастирует со случаем
подслушивающей стороны. См. предположение 3.20.) Сформулируем следую-
щую теорему без доказательства: похожий результат при использовании откры-
того ключа доказан в разделе 11.2.2.
ТЕОРЕМА 3.24 Любая система шифрования с закрытым ключом, устой-
чивая к атакам на основе подобранного открытого текста, также CPA-
устойчива при многократном шифровании.
Значительное техническое преимущество CPA-защиты: Достаточно доказать,
что система CPA-устойчива (при единичном шифровании), и мы без дополни-
тельных усилий докажем устойчивость системы к атакам на основе подобран-
ного открытого текста при многократном шифровании.
Устойчивость к атакам на основе подобранного открытого текста в наши дни яв-
ляется минимальным понятием безопасности, которому должна соответствовать
система шифрования. Однако в последнее время распространены более строгие
требования к
характеристикам безопасности, которые мы обсудим в разделе 4.5.
Сообщения фиксированной длины против
сообщения произвольной дли-
ны. Другим достоинством работы с определением CPA-защиты является того,
что оно позволяет рассматривать сообщения фиксированной длины без потери
общности. В частности, имея CPA-устойчивую систему шифрования
фиксиро-
ванной длины Π = (Gen, Enc, Dec), можно достаточно легко сконструировать
CPA-устойчивую систему шифрования Πr= (Genr, Encr, Decr) для сообщений
произвольной длины. Для простоты скажем, Π зашифровывает сообщения дли-
ной 1 бит (тем не менее, все, что мы говорим, естественно расширяется без
учета длины , поддерживаемой Π). Оставим Genr таким же, как и Gen. Опре-
делим Encr для любого сообщения m (обладающего некоторой произвольной
длиной A), как Encr (m) = Enck (m1), . . . , Enck (mA ), где mi означает i-тый бит
m. Расшифрование осуществляется естественным пустем. Πr является CPA-
устойчивой, если Π; доказательство следует из теоремы 3.24.
Существуют более эффективные способы
шифрования сообщений произ-
вольной длины, чем настройка системы шифрования фиксированной длины,
как указано выше. Мы изучим это позже в разделе 3.6.
Достарыңызбен бөлісу: