Provable-Security

計數器模式 (CTR) 和多 CPA

  • February 14, 2015

我不確定計數器模式 (CTR) 加密是否安全。

使用安全分組密碼實例化的 CTR 模式加密在通常的定義下是 IND-CPA 安全的(Bellare等人,1997 年Rogaway,2011 年)。

“mult-CPA”這個詞似乎沒有被廣泛使用,但它可以在這些德語演講幻燈片中找到(Kiltz,2011)。在幻燈片中,它的定義(在幻燈片 66 上)與普通 IND-CPA 安全性類似,不同之處在於,它不僅僅是單個消息 $ m_0 $ 和 $ m_1 $ ,攻擊者被允許送出兩個消息向量 $ M_0 = (m_0^1, m_0^2, \dots, m_0^t) $ 和 $ M_1 = (m_1^1, m_1^2, \dots, m_1^t) $ 長度 $ t $ 給挑戰者,其中個人資訊 $ m_0^i $ 和 $ m_1^i $ 所有人都有相同的長度 $ i $ ,並接收加密消息的向量 $ (E(m_b^1), E(m_b^2), \dots, E(m_b^t)) $ 作為回報。

相同的幻燈片還包含一個證明,證明上述定義的多 CPA 安全性等同於普通的 IND-CPA 安全性。證明採用混合參數的形式,本質上表明,如果攻擊者可以區分長度的加密向量 $ t $ 在具有優勢的多 CPA 博弈中 $ \epsilon $ 通過隨機猜測,他們還可以在普通的 IND-CPA 遊戲中區分單個加密消息,從而具有優勢 $ \frac\epsilon t $ .

引用自:https://crypto.stackexchange.com/questions/22943