為雙重加密選擇密文安全性

如果 $ E_k $ 是 CCA 安全加密方案，那麼為什麼是 $ E′{(k_1,k_2)}(M)=E{k_2}(E_{k_1}(M)) $ , $ D′{(k_1,k_2)}(C)=D{k_1}(D_{k_2}(C)) $ 不 CCA 安全時 $ k_2 $ 是已知的。有沒有辦法可以用密鑰製作新密碼 $ (k_1, k_2) $ 這樣無論對手找到哪個密鑰，它的 CCA 都是安全的？

我在這裡的困惑是如何使用 key $ k_2 $ 已知會破壞 CCA 安全性，為什麼這很重要，因為我們在執行攻擊時不將這些方案視為黑盒嗎？如果我有 $ k_1 $ 相反，這會有什麼不同嗎？我對關於新密碼使用的第二部分一無所知 $ k_1, k_2 $ 並且仍然是一個安全的 CCA。任何想法或提示將不勝感激。

為了理解雙重加密的 CCA 安全案例，我閱讀了 Yevgeniy Dodis 和 Jonathan Katz 在 2005 年的論文Chosen-Ciphertext Security of Multiple Encryption。

在本文的幫助下，現在我能夠理解為什麼對於提到的加密方案，當密鑰時它不再是 CCA 安全的 $ k_2 $ 眾所周知！對於那些在理解 CCA 多重加密方案方面有問題的人，一定要讀一讀。

引用自：https://crypto.stackexchange.com/questions/86147