計數器模式 (CTR) 和多 CPA

我不確定計數器模式 (CTR) 加密是否安全。

使用安全分組密碼實例化的 CTR 模式加密在通常的定義下是 IND-CPA 安全的（Bellare等人，1997 年；Rogaway，2011 年）。

“mult-CPA”這個詞似乎沒有被廣泛使用，但它可以在這些德語演講幻燈片中找到（Kiltz，2011）。在幻燈片中，它的定義（在幻燈片 66 上）與普通 IND-CPA 安全性類似，不同之處在於，它不僅僅是單個消息 $ m_0 $ 和 $ m_1 $ ，攻擊者被允許送出兩個消息向量 $ M_0 = (m_0^1, m_0^2, \dots, m_0^t) $ 和 $ M_1 = (m_1^1, m_1^2, \dots, m_1^t) $ 長度 $ t $ 給挑戰者，其中個人資訊 $ m_0^i $ 和 $ m_1^i $ 所有人都有相同的長度 $ i $ ，並接收加密消息的向量 $ (E(m_b^1), E(m_b^2), \dots, E(m_b^t)) $ 作為回報。

相同的幻燈片還包含一個證明，證明上述定義的多 CPA 安全性等同於普通的 IND-CPA 安全性。證明採用混合參數的形式，本質上表明，如果攻擊者可以區分長度的加密向量 $ t $ 在具有優勢的多 CPA 博弈中 $ \epsilon $ 通過隨機猜測，他們還可以在普通的 IND-CPA 遊戲中區分單個加密消息，從而具有優勢 $ \frac\epsilon t $ .

引用自：https://crypto.stackexchange.com/questions/22943