CPA-安全的圓周率圓周率Pi意味著 CPA 安全性Π||Π||…||圓周率圓周率||圓周率||…||圓周率Pi||Pi||ldots||Pi

Katz 和 Lindell 的書聲稱，從定理：

1. 任何 CPA 安全的私鑰加密方案對於多重加密也是 CPA 安全的。

遵循以下事實：

2. 如果 $ (Gen,Enc,Dec) $ 是一個固定長度（ $ M_n = {0,1}^n $ ) CPA-secure ES 然後 $ (Gen,Enc’,Dec’) $ 和 $ M_n’ = ({0,1}^n)^{*} $ 和 $ Enc_k’(m) = Enc_k(m^{(1)})||\ldots||Enc_k(m^{(s)}) $ 也是 CPA 安全的。

為什麼會這樣？

更讓我印象深刻的是，與 1. 類似的定理適用於 CCA 安全性：

3. 任何 CCA 安全的私鑰加密方案對於多重加密也是 CCA 安全的。

但是，在後一種情況下，構造不成立（根據我的幻燈片）：

4. 假設 $ (Gen,Enc,Dec) $ 是 CCA 安全的 $ M_n = {0,1}^n $ 那麼可以證明 $ (Gen,Enc’,Dec’) $ 不是 CCA 安全的。

(1) 的證明在對稱加密一章中沒有給出，因為它需要了解第 7 章中講授的混合證明技術。然而，該論點在第 11 章中針對非對稱情況進行了證明（參見定理 11.6 和證明第 383 頁）。基本上相同的證明也適用於對稱情況（除了不是歸約 $ \mathcal{A}’ $ 在第 385 頁計算明文本身 $ j<i $ 和 $ j>i $ 分別在步驟 2(a) 和 2(c) 中，它要求其加密預言機執行此操作並使用響應）。

關於 CCA 安全性，多重加密的證明也確實通過了。但是，與 CPA 安全性不同，它並不意味著您可以將密文連接成一個密文。也就是說，您可以加密多條消息，但不能通過連接來加密較長的消息。原因是如果你通過連接密文（你稱之為新密文）來加密一條長消息，那麼攻擊者可以丟棄最後一個子密文並請求解密（允許請求解密，因為這不一樣收到密文）。

引用自：https://crypto.stackexchange.com/questions/64151