具有任意長度消息的加密方案

是定義 $ \Pr[\operatorname{PrivK}_{\mathcal A,\Pi}^{eav}(n) = 1] \leq \frac{1}{2} + negl(n) $ 在我們有加密方案的情況下仍然有效 $ \pi (Gen,Enc,Dec) $ 具有任意長度，並且對手 $ \mathcal A $ 沒有輸出等長消息？

這是一種展示特定區分符的方法（這比 tylo 關於填充的討論更精確）。

首先，要求對兩個相同的 1 位消息進行加密；記錄密文的長度。做100次，呼叫你看到的最長密文的長度 $ N $ （顯然，由於加密方式是隨機的，所以允許密文長度變化）。

然後隨機生成 $ N+10 $ 位長消息 $ M $ ，並要求加密 $ M $ ，以及您之前使用的 1 位消息。查看生成的密文長度；如果是 $ \le N $ ，說是1位消息的加密，如果是 $ > N $ ，然後說它的消息 $ M $ .

如果 Oracle 選擇了 1 位消息，此區分器將輸出 ‘it’s the 1 bit message’ 的機率 $ > 0.99 $ （因為這是這種加密不長於相同密文的前 100 次加密的機率）。如果 Oracle 選擇了 N 位消息，此區分器將輸出 ‘it’s $ M $ ’ 機率 $ >1-2^{-10} $ （因為這是可逆算法無法將隨機消息縮小至少 10 位的最大機率）。

引用自：https://crypto.stackexchange.com/questions/40255