Encryption

具有任意長度消息的加密方案

  • September 26, 2016

是定義 $ \Pr[\operatorname{PrivK}_{\mathcal A,\Pi}^{eav}(n) = 1] \leq \frac{1}{2} + negl(n) $ 在我們有加密方案的情況下仍然有效 $ \pi (Gen,Enc,Dec) $ 具有任意長度,並且對手 $ \mathcal A $ 沒有輸出等長消息?

這是一種展示特定區分符的方法(這比 tylo 關於填充的討論更精確)。

首先,要求對兩個相同的 1 位消息進行加密;記錄密文的長度。做100次,呼叫你看到的最長密文的長度 $ N $ (顯然,由於加密方式是隨機的,所以允許密文長度變化)。

然後隨機生成 $ N+10 $ 位長消息 $ M $ ,並要求加密 $ M $ ,以及您之前使用的 1 位消息。查看生成的密文長度;如果是 $ \le N $ ,說是1位消息的加密,如果是 $ > N $ ,然後說它的消息 $ M $ .

如果 Oracle 選擇了 1 位消息,此區分器將輸出 ‘it’s the 1 bit message’ 的機率 $ > 0.99 $ (因為這是這種加密不長於相同密文的前 100 次加密的機率)。如果 Oracle 選擇了 N 位消息,此區分器將輸出 ‘it’s $ M $ ’ 機率 $ >1-2^{-10} $ (因為這是可逆算法無法將隨機消息縮小至少 10 位的最大機率)。

引用自:https://crypto.stackexchange.com/questions/40255