是否在 OTP 洩漏資訊中使用 2 個不同的密鑰發送相同的消息？

假設一條普通消息（ $ M $ ) 與兩個不同的鍵進行異或 $ K_1,K_2 $ 產生兩個密文 $ C_1,C_2 $ . 因此，

$$ M \oplus K_1 = C_1\ M \oplus K_2 = C_2 $$ 在觀察 $ C_1 $ 和 $ C_2 $ , 對手可以獲得 $ C_1 \oplus C_2 = K_1 \oplus K_2 $ . 這個方案在語義上安全嗎？注意 $ |K_1|=|K_2|=|M| $ 並且密鑰是從均勻分佈的大密鑰空間中隨機選擇的（ $ \approx 2^{255} $ ).

只要鑰匙 $ K_i $ 只使用一次，這在語義上是安全的。要看到它，請觀察如果 $ K_i $ 是一個均勻隨機值 $ {0,1}^{|M|} $ 那麼也是 $ C_i = M \oplus K_i $ .

引用自：https://crypto.stackexchange.com/questions/35179