Chosen-Plaintext-Attack

攻擊者在IND-ATK和NM-ATK定義上的區別

  • December 10, 2017

我在一篇論文中閱讀了 IND-ATK 和 NM-ATK 的定義。讓 $ \Pi = \left( Gen, Enc, Dec \right) $ 是一個公鑰方案。然後讓 $ A = \left( A_{1}, A_{2} \right) $ 成為攻擊的對手 $ \Pi $ 在 IND-ATK 的意義上。讓 $ B = \left(B_{1}, B_{2} \right) $ 成為攻擊的對手 $ \Pi $ 在 NM-ATK 的意義上。

的輸入 $ A_{1} $ 和 $ B_{1} $ 都是公鑰 $ pk $ . 的輸出 $ A_{1} $ 是 $ (x_{0}, x_{1}, s_{A} ) $ 但其中之一 $ B_{1} $ 是 $ (M, s_{B}) $ .

是什麼讓輸出不同?為什麼不輸出 $ B_{1} $ 只包含兩條消息而不是一組消息?

實際上, $ A_{2} $ 和 $ B_{2} $ 兩者都用於在某種意義上比較兩條消息。

你說:

實際上, $ A_2 $ 和 $ B_2 $ 都用於決定兩個消息中的哪一個被加密以進行質詢。

然而,事實並非如此。IND和NM博弈的定義不同。這一差異在同一篇論文的本段中進行了總結

$$ Section 2.3 $$:

給定密文 y,對手的目標不是(與不可區分性一樣)了解其明文的某些內容 $ x $ ,但只輸出一個向量 $ \mathbf y $ 被解密的密文 $ \mathbf x $ 與 $ x $ , 意思是 $ R(\mathbf x, x) $ 對某些關係成立 $ R $ .

引用自:https://crypto.stackexchange.com/questions/52985