密碼學 - 完全保密⟹⟹implies對抗性不可區分性 - 證明
我現在才剛剛開始使用密碼學,並且已經研究了各種定義以獲得完全秘密的密碼。等價定義之一是對抗性不可區分性。在嘗試證明等價性時,我在其中一個方向上遇到了一些麻煩,最終在網上找到了這個證明:
(來源: http: //goutampaul.com/wp-content/uploads/2015/09/lecture4.pdf)
我不明白的是,他們在哪裡使用了系統完全保密的初始假設。有人可以指出嗎?
我是否正確假設底部每行中的第二個 C0 應該是 C1?
希望我至少能夠給出部分答案。三等式的第一步,同時採取了三個步驟:
$$ Pr[M=m_0]=Pr[M=m_1]=\frac{1}{2} $$和$$ Pr[b’=b|M=m_0]=Pr[c\in\mathcal{C}_0] $$和$$ Pr[b’=b|M=m_1]=Pr[c\in\mathcal{C}_1]. $$(是的,似乎第二個 0 應該是 1)。第一個很清楚為什麼它是真的,因為消息是隨機選擇的。然而,後兩個不是那麼明顯。 讓我們看看 $ m = m_0 $ . 應該明確的是, $ b’=b $ 當且僅當 $ {\tt Enc}(m_0)\in\mathcal{C}_0 $ ,由遊戲的定義和方程之前解釋的策略。所以我們可以說
$$ Pr[b’=b|M=m_0]=Pr[{\tt Enc}(m_0)\in\mathcal{C}_0|M=m_0]. $$ 寫作 $ c={\tt Enc}(m_0) $ ,還有待證明的是 $$ Pr[c\in\mathcal{C}_0|M=m_0]=Pr[c\in\mathcal{C}_0]. $$ 現在將此與您引用的文件的定理 2.2 進行比較,該定理給出了完美保密的標準。它不完全相同,但非常相似。我所說的最後一個相等實際上是完全保密的結果,並且絕對不普遍。 例如,假設我們的加密方案為我們的密文提供了與明文相同的最低有效位,並假設 $ m_0 $ 有 lsb 0 和 $ m_1 $ 有 lsb 1。那麼我們可以很容易地選擇 $ \mathcal{C}_0 $ 和 $ \mathcal{C}_1 $ 這樣
$$ Pr[c\in\mathcal{C}_0|M=m_0]=Pr[c\in\mathcal{C}_1|M=m_1]=1. $$ 另一方面,不是兩者 $ Pr[c\in\mathcal{C}_0]=1 $ 和 $ Pr[c\in\mathcal{C}_1]=1 $ .