0:00:00.000,0:00:03.911
Meu objetivo para os segmentos próximos anos é para mostrar que, se usarmos um PRG seguro Iremos

0:00:03.911,0:00:07.892
obter um fluxo seguro mais seguro. A primeira coisa que temos a fazer é definir é, o que faz

0:00:07.892,0:00:11.679
significa para um fluxo mais seguro para ser seguro? Portanto, sempre que definir a segurança sempre

0:00:11.679,0:00:15.174
defini-lo em termos do que pode fazer o atacante? E qual é o atacante

0:00:15.174,0:00:18.670
tentando fazer? No contexto do fluxo cifras lembrar estas só são utilizados

0:00:18.670,0:00:22.737
com uma chave de uma única vez, e como resultado, o mais invasor a é sempre indo para ver é

0:00:22.737,0:00:26.754
cifra apenas um texto criptografado utilizando a chave que estamos usando. E assim nós vamos

0:00:26.754,0:00:30.772
limitar os atacantes? capacidade de, basicamente, obter apenas um texto cifrado. E em

0:00:30.772,0:00:34.641
fato, mais tarde, vamos permitir que o invasor fazer muito, muito, muito mais, mas

0:00:34.641,0:00:38.460
por enquanto estamos só vai lhe dar uma cifra de texto. E nós queríamos encontrar,

0:00:38.460,0:00:42.560
o que significa para a cifra a ser seguro? Assim, a primeira definição que

0:00:42.560,0:00:46.892
me vem à mente é, basicamente, quer dizer, bem, talvez nós queremos exigir que o atacante

0:00:46.892,0:00:50.718
não pode realmente recuperar a chave secreta. Ok então dado texto [inaudível] você

0:00:50.718,0:00:54.609
não deve ser capaz de recuperar a chave secreta. Mas isso é uma definição terrível

0:00:54.609,0:00:58.717
porque pensar sobre o brilhante caindo [inaudível], mas a forma como criptografar a

0:00:58.717,0:01:02.855
mensagem utilizando uma chave K é basicamente de saída [inaudível] a mensagem. Ok isto

0:01:02.855,0:01:07.427
é um sim cifra brilhante é claro que não faz nada dado uma mensagem apenas

0:01:07.427,0:01:12.000
saída uma mensagem que o texto cifrado. Esta não é uma encriptação particularmente boa

0:01:12.000,0:01:16.029
esquema, no entanto, dado o texto cifrado, principalmente o atacante mensagem pobres

0:01:16.029,0:01:20.493
não pode recuperar a chave porque ele não sabe o que é a chave. E assim, como resultado

0:01:20.493,0:01:24.630
esta cifra claramente que é inseguro, seria considerado seguro nos termos do presente

0:01:24.793,0:01:28.636
exigência de segurança. Portanto, esta definição não será bom. Ok então é

0:01:28.636,0:01:32.317
recuperar a chave do segredo é o caminho errado para definir a segurança. Assim, a próxima coisa que nós

0:01:32.317,0:01:35.999
pode tentar meio que é, basicamente, apenas dizer, bem, talvez o atacante não se preocupa com

0:01:35.999,0:01:39.680
chave secreta, o que ele realmente se preocupa é o texto puro. Então, talvez ele deve ser

0:01:39.680,0:01:43.518
difícil para o atacante recuperar todo o texto sem formatação. Mas mesmo que não

0:01:43.518,0:01:48.223
trabalho, porque vamos pensar sobre o esquema de criptografia seguinte. Então, suponhamos que

0:01:48.223,0:01:53.436
que este esquema de criptografia não é que demora duas mensagens, então eu vou usar dois

0:01:53.436,0:01:58.014
linhas para denotar concatenação de duas mensagens M0 linha, linha M1 significa

0:01:58.014,0:02:03.100
concatenar M0 e M1. E imaginar que o esquema não é realmente ele produz

0:02:03.100,0:02:08.060
M0 no. clara e concatenar para que a criptografia de M1 Talvez ainda

0:02:08.060,0:02:13.337
usando o Bloco de One Time ok? E aqui é o atacante vai ser dado um

0:02:13.337,0:02:17.478
texto cifrado. E seu objetivo seria recuperar os textos inteiros simples. Mas o

0:02:17.478,0:02:21.702
atacante pobres não podem fazer isso porque aqui nós temos talvez M1 criptografada usando o One

0:02:21.702,0:02:25.872
Time Pad para que o atacante não pode realmente recuperar M1 porque sabemos que o

0:02:25.872,0:02:30.043
Time Pad Um dado é seguro apenas um texto cifrado. Então, essa construção

0:02:30.043,0:02:34.055
iria satisfazer a definição, mas, infelizmente, claramente este não é um seguro

0:02:34.055,0:02:37.962
esquema de criptografia, porque nós só vazou metade do texto simples. M0 é

0:02:37.962,0:02:42.185
completamente disponível para o atacante por isso mesmo que ele não pode recuperar todo o

0:02:42.185,0:02:46.462
texto simples ele pode ser capaz de recuperar a maior parte do texto simples, e isso é claramente

0:02:46.462,0:02:50.658
inseguro. Então é claro que já sabe a solução para isso e falamos sobre

0:02:50.658,0:02:54.747
Shanon definição de segurança segredo perfeito, onde Shannon idéia era que, em

0:02:54.747,0:02:58.835
fato, quando as interceptações atacante um texto cifrado, ele deve aprender absolutamente nenhuma

0:02:58.835,0:03:02.818
informações sobre os textos simples. Ele não deve mesmo aprender um pouco sobre o

0:03:02.818,0:03:07.221
texto simples ou até mesmo que ele não deveria saber, ele não deve mesmo ser capaz de prever um pouco

0:03:07.221,0:03:11.205
pouco sobre um lance do texto simples. Absolutamente nenhuma informação sobre o texto sem formatação.

0:03:11.205,0:03:14.926
Então vamos recordar muito brevemente conceito de Shannon de sigilo perfeito

0:03:14.926,0:03:19.442
basicamente dissemos que você sabe que dada uma cifra Dissemos a cifra tem perfeita

0:03:19.442,0:03:25.069
sigilo se dado duas mensagens do mesmo comprimento acontece que a distribuição

0:03:25.069,0:03:30.167
de textos cifrados. No entanto, se escolher uma chave aleatória e olharmos para a distribuição de

0:03:30.167,0:03:34.838
textos cifrados que criptografam M0 temos exatamente a mesma distribuição de quando nós

0:03:34.838,0:03:39.257
encrypt M1. A intuição aqui é que se a consultoria observa os textos cifrados

0:03:39.257,0:03:43.839
então ele não sabe se ele veio a partir da distribuição do resultado da criptografia

0:03:43.839,0:03:48.203
M0 ou veio da distribuição como o resultado de criptografar M1. E como um

0:03:48.203,0:03:52.513
resultado, ele não pode dizer se nós criptografado M0 ou M1. E isso é verdade para todos

0:03:52.513,0:03:56.877
mensagens do mesmo comprimento e como resultado, um atacante pobre não sabe

0:03:56.877,0:04:01.212
que a mensagem foi criptografada. Claro que já disse que esta definição é muito

0:04:01.212,0:04:05.400
forte no sentido de que requer chaves realmente longas se cifra tem curta

0:04:05.400,0:04:09.535
chaves não pode satisfazer esta definição em um fluxo cifras particulares

0:04:09.535,0:04:14.328
pode satisfazer essa definição. Ok, então vamos tentar enfraquecer a definição um pouco

0:04:14.328,0:04:19.114
e vamos pensar para o segmento anterior, e podemos dizer que em vez de exigir

0:04:19.114,0:04:23.841
as duas distribuições para ser absolutamente idênticas o que podemos exigir é, é que

0:04:23.841,0:04:28.686
duas distribuições apenas ser computacionalmente indistinguíveis. Em outras palavras, um pobre

0:04:28.863,0:04:33.353
atacante eficiente não é possível distinguir as duas distribuições mesmo que a

0:04:33.353,0:04:37.815
distribuições pode ser muito, muito, muito diferente. Que acaba de dar uma amostra para

0:04:37.815,0:04:42.580
uma distribuição e uma amostra para outra distribuição o atacante não pode dizer que

0:04:42.580,0:04:47.120
distribuição foi-lhe dada uma amostra. Acontece que esta definição é realmente

0:04:47.120,0:04:51.716
quase certo, mas ainda é um pouco forte demais, que ainda não pode ser satisfeita, de modo

0:04:51.716,0:04:56.200
temos de acrescentar mais uma restrição, e isso é que em vez de dizer que este

0:04:56.200,0:05:00.797
definição deveria ter mantenha durante toda a M0 e M1. É manter para pares somente M0 M1

0:05:00.797,0:05:05.208
que os atacantes podem realmente apresentam. Ok então isso realmente

0:05:05.208,0:05:10.038
nos leva à definição de segurança semântica. E assim, novamente, isso é semântica

0:05:10.038,0:05:15.050
segurança para uma chave de tempo em outras palavras, quando o atacante só é dada uma cifra

0:05:15.050,0:05:19.819
texto. E assim a nossa forma de definir a segurança semântica é através da definição de dois experimentos,

0:05:19.819,0:05:24.562
ok vamos definir 0 experimento e experimento 1. E, mais geralmente vamos

0:05:24.562,0:05:29.230
pensar neles como experimentos B parênteses, onde B pode ser zero ou um. Ok então o

0:05:29.230,0:05:32.890
forma o experimento é definido é o seguinte, temos um adversário que é

0:05:32.890,0:05:37.161
tentando quebrar o sistema. A um adversário, que é meio o análogo de estatística

0:05:37.161,0:05:41.279
testes no mundo de pseudo geradores aleatórios. E então o desafiante faz

0:05:41.279,0:05:45.093
o seguinte, então realmente temos dois adversários, mas os adversários são tão

0:05:45.093,0:05:49.414
semelhante que pode apenas descrevê-los como um desafio único que em um caso leva

0:05:49.414,0:05:53.634
bits de seus insumos definido para zero, e outro caso, leva seus insumos bits definidos como

0:05:53.634,0:05:57.193
um. E deixe-me mostrar-lhe o que esses challengers fazer. A primeira coisa que o

0:05:57.193,0:06:01.349
challenger vai fazer é que vai pegar uma chave aleatória e, em seguida, o adversário

0:06:01.349,0:06:06.076
basicamente está indo para a saída de duas mensagens M0 e M1. Ok então esta é uma explícita

0:06:06.076,0:06:11.039
par de mensagens que o atacante quer ser posta em causa e como de costume não estamos

0:06:11.039,0:06:15.766
tentando esconder o comprimento das mensagens, é necessário que as mensagens de ser igual

0:06:15.766,0:06:21.643
comprimento. E então o desafiante basicamente irá imprimir ou a criptografia de M0

0:06:21.643,0:06:25.890
ou a criptografia de M1, bem assim no experimento 0, o adversário será a saída

0:06:25.890,0:06:30.301
criptografia de M0. No experimento 1, a saída será o challenger de criptografia

0:06:30.301,0:06:34.385
de M1. Razoável de modo que a diferença entre as duas experiências. E então o

0:06:34.385,0:06:38.796
adversário é tentar adivinhar, basicamente, se ele foi dado a criptografia de M0

0:06:38.796,0:06:44.051
ou dada a criptografia de M1. Ok então aqui está um pouco de notação vamos

0:06:44.051,0:06:50.260
definir o Wb eventos para os eventos que um experimento B, a saída do adversário.

0:06:50.260,0:06:55.084
Ok então que é apenas um evento que, basicamente, em experimento de zero significa que W0

0:06:55.084,0:07:00.342
saída do adversário e um experimento em uma W1 significa a saída do adversário um. E

0:07:00.342,0:07:05.291
agora podemos definir a vantagem deste adversário, basicamente para dizer que este é

0:07:05.291,0:07:10.425
chamado a vantagem de segurança semântica do adversário Um contra o regime de E,

0:07:10.425,0:07:15.497
para ser a diferença de que a probabilidade de estes dois eventos. Em outras palavras, estamos

0:07:15.497,0:07:20.136
olhando se o adversário se comporta de maneira diferente, quando foi dada a

0:07:20.136,0:07:24.818
criptografia de M0 a partir de quando ele foi dada a criptografia de M1. E eu quero fazer

0:07:24.818,0:07:29.201
certeza que isso é claro que eu vou dizer isso mais uma vez. Então, em zero experimento era

0:07:29.201,0:07:33.530
dada a criptografia de M0 e na experiência que ele foi dado a criptografia

0:07:33.530,0:07:37.700
de M1. Agora nós estamos apenas interessados em saber se a saída de um adversário ou não.

0:07:37.700,0:07:42.356
... Nestas experiências. Se em ambos os experimentos a saída 1 com adversário

0:07:42.356,0:07:47.013
a mesma probabilidade que significa que o adversário não era capaz de distinguir o

0:07:47.013,0:07:51.549
dois experimentos. Experimentos de zero, basicamente, olha para o adversário, o mesmo

0:07:51.549,0:07:56.206
como a experiência de um, porque em ambos os casos carregar uma com a mesma probabilidade.

0:07:56.206,0:08:01.286
No entanto, se o adversário é capaz de produzir 1 em um experimento com significativa

0:08:01.286,0:08:05.761
probabilidade diferente do que em outro experimento, em seguida, o adversário era

0:08:05.761,0:08:10.266
realmente capaz de distinguir os dois experimentos. Ok então ... Para dizer isso mais

0:08:10.266,0:08:14.455
formalmente, essencialmente, a vantagem mais uma vez porque é a diferença de dois

0:08:14.455,0:08:18.918
probabilidades a vantagem é um número entre zero e um. Se a vantagem é

0:08:18.918,0:08:22.886
próximo de zero o que significa que o adversário não foi capaz de distinguir

0:08:22.886,0:08:27.129
nula experiência de um experimento. No entanto, se a vantagem está perto de uma,

0:08:27.129,0:08:31.538
isso significa que o adversário era muito bem capaz de distinguir a zero a partir de experimento

0:08:31.538,0:08:36.112
experimento um e que realmente significa que ele era capaz de distinguir uma criptografia

0:08:36.112,0:08:40.299
de M0 a partir de uma criptografia de M1, ok? Então essa é a definição. Na realidade

0:08:40.299,0:08:44.055
que é apenas a definição do partido ea definição é exatamente o que

0:08:44.055,0:08:47.714
que seria de esperar, basicamente, vamos dizer que um esquema de criptografia simétrica é

0:08:47.714,0:08:52.346
semanticamente seguro se para todos os adversários eficientes aqui eu vou colocá-las entre aspas

0:08:52.346,0:08:56.932
novamente, "Para todos os adversários eficientes a vantagem é insignificante." Em outras palavras,

0:08:56.982,0:09:01.808
adversário não eficiente pode distinguir a criptografia de M0 da criptografia

0:09:01.808,0:09:06.103
de M1 e basicamente este é o que diz repetidamente que, para estes dois

0:09:06.103,0:09:10.759
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

0:09:10.759,0:09:15.064
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

0:09:15.064,0:09:19.595
definição elegante. Pode não parecer tão imediato, mas eu quero mostrar-lhe algumas

0:09:19.595,0:09:24.410
implicações dessa definição e você verá exatamente por isso que a definição é o caminho

0:09:24.410,0:09:28.601
é. Ok, então vamos olhar alguns exemplos. Assim, o primeiro exemplo é supor

0:09:28.601,0:09:33.190
temos um esquema de criptografia quebrada, em outras palavras, suponha que temos um adversário Um

0:09:33.190,0:09:38.285
que de alguma forma dado o texto cifrado, ele é sempre capaz de deduzir menos

0:09:38.285,0:09:44.149
pouco significativa do texto simples. Ok então, dada a criptografia de M0, este adversário

0:09:44.149,0:09:48.799
é capaz de deduzir o bit menos significativo do M0. Então isso é um terrível

0:09:48.799,0:09:52.911
esquema de criptografia porque basicamente vazamentos o bit menos significativo do

0:09:52.911,0:09:57.128
texto simples apenas dado o texto cifrado. Então, eu quero mostrar-lhe que este regime é

0:09:57.128,0:10:01.609
, portanto, semanticamente seguro para esse tipo de mostra que se um sistema é semanticamente

0:10:01.609,0:10:05.931
assegurar que não há invasor deste tipo. Ok, então vamos ver porque é que o sistema

0:10:05.931,0:10:10.254
não semanticamente segura bem assim o que nós vamos fazer é basicamente nós vamos usar

0:10:10.254,0:10:14.366
adversário nosso que é capaz de aprender as partes de nosso mais insignificantes, vamos

0:10:14.366,0:10:18.372
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

0:10:18.372,0:10:22.755
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

0:10:22.755,0:10:26.987
B algoritmo, vamos ser algoritmo B e este B algoritmo vai usar

0:10:26.987,0:10:31.165
Um algoritmo em sua barriga. Ok então a primeira coisa que vai acontecer é de

0:10:31.165,0:10:35.608
curso o desafiante vai escolher uma chave aleatória. A primeira coisa que vai

0:10:35.608,0:10:39.762
acontecer é que nós precisamos para a saída de duas mensagens. As mensagens que vamos

0:10:39.762,0:10:43.493
para a saída, basicamente, vai ter pedaços significativos de forma diferente. Assim, um

0:10:43.493,0:10:47.727
mensagem vai terminar com zero e uma mensagem vai acabar com um. Agora, o que

0:10:47.727,0:10:51.205
é o adversário vai fazer? O challenger vai nos dar a

0:10:51.205,0:10:55.238
criptografia de qualquer M0 ou M1, dependendo se na experiência 0 ou

0:10:55.238,0:10:59.120
no experimento 1. E então nós apenas transmitir a presente texto cifrado para o adversário

0:10:59.120,0:11:03.871
bem assim o adversário A. Agora, qual é a propriedade de um adversário? Dada a cifra

0:11:03.871,0:11:08.505
texto adversário, A pode nos dizer o que os bits menos significativos do texto simples é.

0:11:08.505,0:11:13.374
Em outras palavras, o adversário vai para a saída dos bits menos significativos de M0 ou M1

0:11:13.374,0:11:17.892
mas baixa e eis que é basicamente o B. bit E então nós somos apenas

0:11:17.892,0:11:23.050
indo para a saída que, como nosso convidado então vamos? s chamar essa coisa B principal Ok então agora este

0:11:23.050,0:11:28.376
descreve o adversário segurança semântica. E agora você me dizer o que é a semântica

0:11:28.376,0:11:33.593
vantagem de segurança deste adversário? Bem, então vamos ver. Em zero experimento, o que é

0:11:33.593,0:11:38.775
a probabilidade de que B gera um adversário? Bem em zero de experiência, é sempre

0:11:38.775,0:11:43.704
dada a criptografia de M zero e, portanto, um adversário sempre é a saída do

0:11:43.704,0:11:48.633
bit menos significativo do M zero, o que sempre acontece de ser zero. No experimento

0:11:48.633,0:11:53.120
zero, B sempre envia zero. Assim, a probabilidade de que produz uma é zero.

0:11:53.120,0:11:57.827
No entanto, em um experimento, estamos dado a criptografia de M1. Então, como é provável

0:11:57.827,0:12:02.783
B adversário para a saída de um experimento em um poço que sempre envia uma, mais uma vez por

0:12:02.783,0:12:07.428
as propriedades de algoritmo A e, por conseguinte, a vantagem é basicamente um.

0:12:07.428,0:12:12.384
Portanto, esta é uma grande vantagem, é tão grande quanto ele vai chegar. O que significa que este

0:12:12.384,0:12:17.091
adversário quebrou completamente o sistema. Ok então nós consideramos, portanto, sob semântica

0:12:17.091,0:12:22.295
segurança, basicamente, apenas deduzir o bit menos significativo é o suficiente para completamente

0:12:22.295,0:12:27.187
quebrar o sistema em uma definição de segurança semântica. Ok, agora o interessante

0:12:27.187,0:12:32.388
coisa aqui, claro, é que este não é apenas sobre o bit menos significativo, em

0:12:32.388,0:12:37.117
fato de a mensagem, por exemplo, o bit mais significativo, você sabe

0:12:37.117,0:12:42.040
bit número sete Talvez o XOR de todos os bits da mensagem e assim por diante

0:12:42.040,0:12:46.552
e assim por diante qualquer tipo de informação, qualquer pouco sobre o texto simples que pode ser

0:12:46.552,0:12:50.814
aprendeu basicamente significa que o sistema não é semanticamente seguro. Assim

0:12:50.814,0:12:55.532
basicamente tudo o que o adversário teria que fazer seria chegar com duas mensagens

0:12:55.532,0:13:00.249
M0 e M1 tal que, sob uma coisa que aprendi é o valor zero e, em seguida,

0:13:00.249,0:13:04.626
coisa a outra, o valor, é um deles. Por exemplo, se um era capaz de aprender a XOR

0:13:04.626,0:13:08.775
bits da mensagem, em seguida, M0 e M1 teria apenas diferente

0:13:08.775,0:13:13.265
XOR para todos os bits de suas mensagens e, em seguida, este seria um adversário

0:13:13.265,0:13:18.174
também ser suficiente para quebrar a segurança semântica. Ok então, basicamente para criptografia

0:13:18.174,0:13:23.203
é semanticamente seguro então nenhum bit de informação é revelada a um

0:13:23.203,0:13:27.392
adversário eficiente. Ok então este é exatamente um conceito de sigilo perfeito só

0:13:27.392,0:13:31.318
aplicada adversários apenas eficientes, em vez de todos os adversários. Assim, a próxima

0:13:31.318,0:13:35.045
coisa que eu quero mostrar é que na verdade o teclado uma vez, de facto, é

0:13:35.045,0:13:38.821
semanticamente seguro, é melhor ser semanticamente seguro porque é de fato,

0:13:38.821,0:13:42.773
é mais do que isso é perfeitamente seguro. Então, vamos ver por que isso é verdade. Bem assim

0:13:42.773,0:13:47.010
de novo, é uma dessas experiências, assim supor que temos um adversário que alega

0:13:47.010,0:13:51.449
para quebrar a segurança semântica do bloco de uma vez. O adversário é o primeiro vai fazer

0:13:51.449,0:13:55.874
é que ele vai de saída duas mensagens M0 e M1 do mesmo comprimento.

0:13:55.874,0:13:59.667
Agora o que ele voltar como um desafio? Como um desafio, ele recebe a criptografia do

0:13:59.667,0:14:03.988
de M0 ou a criptografia de M1 sob a almofada de uma vez.

0:14:03.988,0:14:07.886
E ele está tentando fazer a distinção entre esses dois textos cifrados possíveis que ele recebe, certo?

0:14:07.886,0:14:12.259
No experimento zero, ele recebe a criptografia de M0 e no experimento um, ele recebe o

0:14:12.259,0:14:16.579
criptografia de M1. Bem então deixe-me perguntar-lhe, então qual é a vantagem do adversário

0:14:16.579,0:14:21.297
Um contra a patente tempo um? Então eu me lembro que a propriedade dos que eu

0:14:21.297,0:14:26.208
tinha é que, que K, XOR M0 é distribuído de forma idêntica ao K, XOR M1.

0:14:26.208,0:14:31.187
Em outras palavras, essas distribuições são a distribuição absolutamente idênticos,

0:14:31.187,0:14:36.026
distribuições, idênticos. Esta é uma propriedade do XOR. Se XOR a almofada aleatória

0:14:36.026,0:14:40.674
K com qualquer coisa, seja M0 ou M1, temos uma distribuição uniforme. Assim, em ambos

0:14:40.674,0:14:45.382
casos, algoritmo A é dado como entrada no exactamente a mesma distribuição. Talvez o

0:14:45.382,0:14:50.209
distribuição uniforme em textos cifrados. E, portanto, vai se comportar exatamente o

0:14:50.209,0:14:55.036
mesma em ambos os casos, porque foi dada a distribuição exacta como entrada. E como um

0:14:55.036,0:14:59.699
resultado, a sua vantagem é zero, o que significa que a almofada de uma única vez é semanticamente

0:14:59.723,0:15:04.148
seguro. Agora a coisa interessante aqui não é só é semanticamente seguro, é

0:15:04.148,0:15:08.244
semanticamente seguro para todos os adversários. Nós nem sequer tem que restringir o

0:15:08.244,0:15:12.450
adversários para ser eficiente. Sem adversário, não importa o quão inteligente você é, não

0:15:12.450,0:15:16.875
adversário será capaz de distinguir K XOR M0 a partir de K XOR M1 porque os dois

0:15:16.875,0:15:21.299
distribuições são idênticos. Ok, então o bloco de uma vez é semanticamente seguro. Ok,

0:15:21.299,0:15:25.559
assim que completa a nossa definição de segurança semântico, a próxima coisa que nós estamos

0:15:25.559,0:15:30.093
vai fazer é provar para o PRG seguro, de fato implica que a cifra de fluxo é

0:15:30.093,0:15:31.186
semanticamente seguro.