Cryptography 完美保密定义_Cryptography

Cryptography 完美保密定义

cryptography

Cryptography 完美保密定义,cryptography,Cryptography,我的问题是，我们知道，通过消息的统一分发，可以实现完全保密。但是，如果消息分布不均匀，会是什么呢？那么，我们将如何定义完全保密为了给出令人信服的答案，最好讨论几种定义安全性的可能方法。正确的定义并不明显，历史上需要大量的研究和迭代才能找到大多数人认为“一次性pad”是非常安全的。一次性pad是一种非常古老的技术，它在二战前就已经为人所知这个想法是这样的：你是间谍，我是你的间谍掌门人。我想把你送到国外去收集秘密，然后把它们还给我。为了我们能够交流，我首先写了一整本书，里面都是随机数。（比如说

我的问题是，我们知道，通过消息的统一分发，可以实现完全保密。但是，如果消息分布不均匀，会是什么呢？那么，我们将如何定义完全保密

为了给出令人信服的答案，最好讨论几种定义安全性的可能方法。正确的定义并不明显，历史上需要大量的研究和迭代才能找到

大多数人认为“一次性pad”是非常安全的。一次性pad是一种非常古老的技术，它在二战前就已经为人所知

这个想法是这样的：你是间谍，我是你的间谍掌门人。我想把你送到国外去收集秘密，然后把它们还给我。为了我们能够交流，我首先写了一整本书，里面都是随机数。（比如说，有些机器会机械地抛硬币，然后打印零或一。）我有一份，你有一份，其他人没有

当您想向我发送

字节的消息时，您可以从书中获取

字节，并将它们与您的字节进行异或。（然后你将你的书签向前推进

字节。）当我从你那里收到

字节时，我将它们与书中的下一个

字节异或，然后向前推进我的书签

即使敌人拦截了你所有的消息，如果我们考虑它们是如何作为书中的（随机）位的函数，则敌方接收方的消息被分发为独立的硬币翻转。事实上，对于您发送的任何固定消息，

message xor book

是完全随机的，如果

book

是随机的

因此，这个方案是完全安全的——密文在统计上独立于明文，因此对手对你的消息一无所知

问题是，您必须在私下交换与公开交换相同数量的字节。当您在网上进行信用卡销售时，您不能假定事先有私人交换关键材料。因此，减少所需关键材料的数量非常重要

另一方面，如果您将

字节消息的密钥材料减少到

字节以下，那么可以证明您将无法实现此安全级别。对于不同的消息，密文分布必须不同——即使您可以显示，随着字节数变小，它们之间的统计距离也会变大

在现代密码学中，放松定义的通常方法是试图将注意力限制在计算受限的对手身上

形式化两个分布的统计距离的一种方法，

D1

和

D2

，就是说距离是所有测试函数的最大值

T:{strings}->{0，1}

期望值的差异

E{x~D_1}[T（x）]

与

E{x~D_2}[T（x）]

然后，我们可以通过只关注可有效计算的测试函数

来修改定义，例如，在多项式时间、次指数时间或其他时间。（通常是“安全参数”。）

如果

D1

和

D2

的统计距离对于计算范围内的对手来说很小，我们有时会说，

D1

和

D2

是无法区分的

然后，我们可以说，如果对于任何固定消息

，在随机种子/密钥的概率上，密文的分布与均匀分布是不可区分的，则密码协议是安全的

人们普遍认为，在合理的密码假设下，即使密钥比消息短得多，也可以实现这一点。但如果不证明P，就不能严格证明这是真的NP和许多其他困难的事情。例如，我们需要更严格的伪随机生成器构造，即使在这种情况下，生成器的计算成本比对手高，而对手的计算成本仍然未知

注意，在这种形式主义中，消息分布是什么并不重要。无论您是接收消息，然后对其进行压缩，然后对其进行加密，还是对纯英语文本进行加密，目标都是，对于每个固定的消息字符串，种子/密钥中的随机性都会产生一个愚弄对手的分发

还有其他方法可以使安全性正式化，但我认为这是一种体面的方法

重点:

如果安全条件适用于任何固定消息，那么它也适用于任何固定消息分发（通过平均参数）。这使得这个定义非常可靠。

为了给出令人信服的答案，最好讨论一下定义安全性的几种可能方法。正确的定义并不明显，历史上需要大量的研究和迭代才能找到