關於 Rabin 密碼系統是 CPA（選擇明文攻擊）安全的說明

我是否正確理解沒有隨機填充的教科書 Rabin 加密方案（RSA 中也要求它是 CPA 安全的），CPA 不安全？（沒有這種填充是確定性的），還是我錯過了什麼？

我的困惑來自維基百科文章，該文章聲明它是 CPA 安全的，但提供的描述和範例並未提及任何關於隨機填充的內容。

謝謝。

我是否正確理解沒有隨機填充的教科書 Rabin 加密方案不是 CPA 安全的？

是的，教科書 Rabin 加密不是CPA 安全的。在任何一種變體中，沒有確定性的公鑰加密方案可以是 CPA 安全的。攻擊者通過選擇任意兩個不同的明文，用挑戰者提供的公鑰對其進行加密，通過簡單的比較就可以辨識出哪個明文對應於挑戰者提供的密文，從而贏得了基本的CPA 實驗。

教科書 Rabin 加密在已知的隨機明文攻擊下顯然是安全的，假設分解的硬度，當沒有已知的證據表明 RSA 具有這種屬性時。但是為了獲得針對選擇明文攻擊的安全性，我們需要在消息代表的編碼中具有一些隨機性。為了使這種安全性可證明，我們似乎需要像 OAEP 或 OAEP+ 這樣的精細填充。這樣的證明並不容易，請參閱 Victor Shoup 的OAEP Reconsidered。

---

更新：我編輯了Wikipedia 文章，但我的編輯（從“選擇明文”到“已知隨機明文”）因“這與來源直接矛盾，因此至少需要另一個來源”這一錯誤理由而被撤銷。我希望我能說服應用密碼學手冊 8.13 Note (ii) 中的引用

Rabin 公鑰加密方案屈服於選擇密文攻擊

引用自：https://crypto.stackexchange.com/questions/101497