Security-Definition

資訊論安全類型和完美類型安全之間有什麼區別?

  • December 16, 2021

我很難確定資訊理論和完美安全類型之間差異的確切定義。一個嚴格的定義似乎難以捉摸……

A. Wikipedia將差異歸結為完美類型是資訊論類型的(定義不佳的)特例。“……洩露一些資訊的密碼系統” ——但我認為這兩個特定的安全定義只適用於破解加密,而不是像洩露消息發送時間、長度等外圍的東西。

**B.**電子投票製造商使用熵將差異量化為:-

  1. $ H(K | C) = H(K) $ - 完美的保密
  2. $ H(K | C) < H(K) $ – 資訊論安全

然而#2可以重寫為 $ H(K | C) = H(K) - \delta $ , 這導致 #2 等於 #1 如果 $ \delta \to 0 $ .

**C.*最後是完美安全和無條件安全的區別是什麼?暗示“完美的安全性與資訊論的安全性相同”*。

資訊論安全意味著任何算法(即使是無界的)破壞安全屬性(在安全參數中)的機率可以忽略不計。這與無條件安全性相同:它不依賴於任何計算假設,並且不限於機率性多時間對手。

一個完全安全的協議是這樣的,任何(可能是無限的)對手都有機率 $ 0 $ 破壞安全屬性。這是資訊論安全的一個特例:每一個完全安全的協議都是資訊論安全的,但反之則不然。

舉個簡單的例子,當某個秘密值被一個隨機值掩蔽時,通常會出現這種區別,我們問將掩蔽值與均勻隨機值區分開來有多難。考慮以下協議: $ x $ 是一個整數,比如說,介於 $ 0 $ 和 $ n - 1 $ . 遊戲如下:我們先採樣一個隨機位 $ b $ . 如果 $ b = 0 $ ,我們發送一個隨機值 $ r \gets X $ 到(無界的)對手,從一些集合中採樣 $ R $ , 而如果 $ b=1 $ ,我們採樣一個隨機值 $ r \gets R $ 並且寄出 $ x + r $ 給對手。修復安全參數 $ k $ . 我們說如果攻擊者完全有機率,則該協議具有完美的安全性 $ 1/2 $ 猜測的價值 $ b $ 給定輸入,並且如果對手有機率,則協議具有資訊論安全性 $ 1/2 + \mu(k) $ 猜測的價值 $ b $ , 在哪裡 $ \mu $ 是一個可以忽略的函式。

假設我們辨識 $ [0, n-1] $ 和 $ \mathbb{Z}n $ , 所以 $ x \in \mathbb{Z}{n} $ , 並定義 $ R $ 成為 $ \mathbb{Z}{n} $ 也是。的計算 $ x + r $ 結束了 $ \mathbb{Z}n $ . 在這種情況下,協議顯然是完全安全的,因為採樣 $ r $ 從 $ \mathbb{Z}{n} $ 並返回 $ x+r $ 準確地給出了均勻分佈 $ \mathbb{Z}{n} $ , 對於任何 $ x $ .

另一方面,假設我們設置 $ R = [0, 2^{k} \cdot n] $ 併計算 $ x + r $ 在整數上。然後,很容易證明任何(可能是無限的)對手最多有機率 $ 1/2^{k} $ 將樣本與 $ R $ 從一個樣本 $ x + R $ (這些集合之間的統計距離是 $ 1/2^{k} $ )。因為這是一個可以忽略的函式 $ k $ ,該變體滿足資訊論安全性,但不是完美安全性。

引用自:https://crypto.stackexchange.com/questions/68552