1
00:00:00,000 --> 00:00:03,911
Meu objetivo para os segmentos próximos anos é para mostrar que, se usarmos um PRG seguro Iremos

2
00:00:03,911 --> 00:00:07,892
obter um fluxo seguro mais seguro. A primeira coisa que temos a fazer é definir é, o que faz

3
00:00:07,892 --> 00:00:11,679
significa para um fluxo mais seguro para ser seguro? Portanto, sempre que definir a segurança sempre

4
00:00:11,679 --> 00:00:15,174
defini-lo em termos do que pode fazer o atacante? E qual é o atacante

5
00:00:15,174 --> 00:00:18,670
tentando fazer? No contexto do fluxo cifras lembrar estas só são utilizados

6
00:00:18,670 --> 00:00:22,737
com uma chave de uma única vez, e como resultado, o mais invasor a é sempre indo para ver é

7
00:00:22,737 --> 00:00:26,754
cifra apenas um texto criptografado utilizando a chave que estamos usando. E assim nós vamos

8
00:00:26,754 --> 00:00:30,772
limitar os atacantes? capacidade de, basicamente, obter apenas um texto cifrado. E em

9
00:00:30,772 --> 00:00:34,641
fato, mais tarde, vamos permitir que o invasor fazer muito, muito, muito mais, mas

10
00:00:34,641 --> 00:00:38,460
por enquanto estamos só vai lhe dar uma cifra de texto. E nós queríamos encontrar,

11
00:00:38,460 --> 00:00:42,560
o que significa para a cifra a ser seguro? Assim, a primeira definição que

12
00:00:42,560 --> 00:00:46,892
me vem à mente é, basicamente, quer dizer, bem, talvez nós queremos exigir que o atacante

13
00:00:46,892 --> 00:00:50,718
não pode realmente recuperar a chave secreta. Ok então dado texto [inaudível] você

14
00:00:50,718 --> 00:00:54,609
não deve ser capaz de recuperar a chave secreta. Mas isso é uma definição terrível

15
00:00:54,609 --> 00:00:58,717
porque pensar sobre o brilhante caindo [inaudível], mas a forma como criptografar a

16
00:00:58,717 --> 00:01:02,855
mensagem utilizando uma chave K é basicamente de saída [inaudível] a mensagem. Ok isto

17
00:01:02,855 --> 00:01:07,427
é um sim cifra brilhante é claro que não faz nada dado uma mensagem apenas

18
00:01:07,427 --> 00:01:12,000
saída uma mensagem que o texto cifrado. Esta não é uma encriptação particularmente boa

19
00:01:12,000 --> 00:01:16,029
esquema, no entanto, dado o texto cifrado, principalmente o atacante mensagem pobres

20
00:01:16,029 --> 00:01:20,493
não pode recuperar a chave porque ele não sabe o que é a chave. E assim, como resultado

21
00:01:20,493 --> 00:01:24,630
esta cifra claramente que é inseguro, seria considerado seguro nos termos do presente

22
00:01:24,793 --> 00:01:28,636
exigência de segurança. Portanto, esta definição não será bom. Ok então é

23
00:01:28,636 --> 00:01:32,317
recuperar a chave do segredo é o caminho errado para definir a segurança. Assim, a próxima coisa que nós

24
00:01:32,317 --> 00:01:35,999
pode tentar meio que é, basicamente, apenas dizer, bem, talvez o atacante não se preocupa com

25
00:01:35,999 --> 00:01:39,680
chave secreta, o que ele realmente se preocupa é o texto puro. Então, talvez ele deve ser

26
00:01:39,680 --> 00:01:43,518
difícil para o atacante recuperar todo o texto sem formatação. Mas mesmo que não

27
00:01:43,518 --> 00:01:48,223
trabalho, porque vamos pensar sobre o esquema de criptografia seguinte. Então, suponhamos que

28
00:01:48,223 --> 00:01:53,436
que este esquema de criptografia não é que demora duas mensagens, então eu vou usar dois

29
00:01:53,436 --> 00:01:58,014
linhas para denotar concatenação de duas mensagens M0 linha, linha M1 significa

30
00:01:58,014 --> 00:02:03,100
concatenar M0 e M1. E imaginar que o esquema não é realmente ele produz

31
00:02:03,100 --> 00:02:08,060
M0 no. clara e concatenar para que a criptografia de M1 Talvez ainda

32
00:02:08,060 --> 00:02:13,337
usando o Bloco de One Time ok? E aqui é o atacante vai ser dado um

33
00:02:13,337 --> 00:02:17,478
texto cifrado. E seu objetivo seria recuperar os textos inteiros simples. Mas o

34
00:02:17,478 --> 00:02:21,702
atacante pobres não podem fazer isso porque aqui nós temos talvez M1 criptografada usando o One

35
00:02:21,702 --> 00:02:25,872
Time Pad para que o atacante não pode realmente recuperar M1 porque sabemos que o

36
00:02:25,872 --> 00:02:30,043
Time Pad Um dado é seguro apenas um texto cifrado. Então, essa construção

37
00:02:30,043 --> 00:02:34,055
iria satisfazer a definição, mas, infelizmente, claramente este não é um seguro

38
00:02:34,055 --> 00:02:37,962
esquema de criptografia, porque nós só vazou metade do texto simples. M0 é

39
00:02:37,962 --> 00:02:42,185
completamente disponível para o atacante por isso mesmo que ele não pode recuperar todo o

40
00:02:42,185 --> 00:02:46,462
texto simples ele pode ser capaz de recuperar a maior parte do texto simples, e isso é claramente

41
00:02:46,462 --> 00:02:50,658
inseguro. Então é claro que já sabe a solução para isso e falamos sobre

42
00:02:50,658 --> 00:02:54,747
Shanon definição de segurança segredo perfeito, onde Shannon idéia era que, em

43
00:02:54,747 --> 00:02:58,835
fato, quando as interceptações atacante um texto cifrado, ele deve aprender absolutamente nenhuma

44
00:02:58,835 --> 00:03:02,818
informações sobre os textos simples. Ele não deve mesmo aprender um pouco sobre o

45
00:03:02,818 --> 00:03:07,221
texto simples ou até mesmo que ele não deveria saber, ele não deve mesmo ser capaz de prever um pouco

46
00:03:07,221 --> 00:03:11,205
pouco sobre um lance do texto simples. Absolutamente nenhuma informação sobre o texto sem formatação.

47
00:03:11,205 --> 00:03:14,926
Então vamos recordar muito brevemente conceito de Shannon de sigilo perfeito

48
00:03:14,926 --> 00:03:19,442
basicamente dissemos que você sabe que dada uma cifra Dissemos a cifra tem perfeita

49
00:03:19,442 --> 00:03:25,069
sigilo se dado duas mensagens do mesmo comprimento acontece que a distribuição

50
00:03:25,069 --> 00:03:30,167
de textos cifrados. No entanto, se escolher uma chave aleatória e olharmos para a distribuição de

51
00:03:30,167 --> 00:03:34,838
textos cifrados que criptografam M0 temos exatamente a mesma distribuição de quando nós

52
00:03:34,838 --> 00:03:39,257
encrypt M1. A intuição aqui é que se a consultoria observa os textos cifrados

53
00:03:39,257 --> 00:03:43,839
então ele não sabe se ele veio a partir da distribuição do resultado da criptografia

54
00:03:43,839 --> 00:03:48,203
M0 ou veio da distribuição como o resultado de criptografar M1. E como um

55
00:03:48,203 --> 00:03:52,513
resultado, ele não pode dizer se nós criptografado M0 ou M1. E isso é verdade para todos

56
00:03:52,513 --> 00:03:56,877
mensagens do mesmo comprimento e como resultado, um atacante pobre não sabe

57
00:03:56,877 --> 00:04:01,212
que a mensagem foi criptografada. Claro que já disse que esta definição é muito

58
00:04:01,212 --> 00:04:05,400
forte no sentido de que requer chaves realmente longas se cifra tem curta

59
00:04:05,400 --> 00:04:09,535
chaves não pode satisfazer esta definição em um fluxo cifras particulares

60
00:04:09,535 --> 00:04:14,328
pode satisfazer essa definição. Ok, então vamos tentar enfraquecer a definição um pouco

61
00:04:14,328 --> 00:04:19,114
e vamos pensar para o segmento anterior, e podemos dizer que em vez de exigir

62
00:04:19,114 --> 00:04:23,841
as duas distribuições para ser absolutamente idênticas o que podemos exigir é, é que

63
00:04:23,841 --> 00:04:28,686
duas distribuições apenas ser computacionalmente indistinguíveis. Em outras palavras, um pobre

64
00:04:28,863 --> 00:04:33,353
atacante eficiente não é possível distinguir as duas distribuições mesmo que a

65
00:04:33,353 --> 00:04:37,815
distribuições pode ser muito, muito, muito diferente. Que acaba de dar uma amostra para

66
00:04:37,815 --> 00:04:42,580
uma distribuição e uma amostra para outra distribuição o atacante não pode dizer que

67
00:04:42,580 --> 00:04:47,120
distribuição foi-lhe dada uma amostra. Acontece que esta definição é realmente

68
00:04:47,120 --> 00:04:51,716
quase certo, mas ainda é um pouco forte demais, que ainda não pode ser satisfeita, de modo

69
00:04:51,716 --> 00:04:56,200
temos de acrescentar mais uma restrição, e isso é que em vez de dizer que este

70
00:04:56,200 --> 00:05:00,797
definição deveria ter mantenha durante toda a M0 e M1. É manter para pares somente M0 M1

71
00:05:00,797 --> 00:05:05,208
que os atacantes podem realmente apresentam. Ok então isso realmente

72
00:05:05,208 --> 00:05:10,038
nos leva à definição de segurança semântica. E assim, novamente, isso é semântica

73
00:05:10,038 --> 00:05:15,050
segurança para uma chave de tempo em outras palavras, quando o atacante só é dada uma cifra

74
00:05:15,050 --> 00:05:19,819
texto. E assim a nossa forma de definir a segurança semântica é através da definição de dois experimentos,

75
00:05:19,819 --> 00:05:24,562
ok vamos definir 0 experimento e experimento 1. E, mais geralmente vamos

76
00:05:24,562 --> 00:05:29,230
pensar neles como experimentos B parênteses, onde B pode ser zero ou um. Ok então o

77
00:05:29,230 --> 00:05:32,890
forma o experimento é definido é o seguinte, temos um adversário que é

78
00:05:32,890 --> 00:05:37,161
tentando quebrar o sistema. A um adversário, que é meio o análogo de estatística

79
00:05:37,161 --> 00:05:41,279
testes no mundo de pseudo geradores aleatórios. E então o desafiante faz

80
00:05:41,279 --> 00:05:45,093
o seguinte, então realmente temos dois adversários, mas os adversários são tão

81
00:05:45,093 --> 00:05:49,414
semelhante que pode apenas descrevê-los como um desafio único que em um caso leva

82
00:05:49,414 --> 00:05:53,634
bits de seus insumos definido para zero, e outro caso, leva seus insumos bits definidos como

83
00:05:53,634 --> 00:05:57,193
um. E deixe-me mostrar-lhe o que esses challengers fazer. A primeira coisa que o

84
00:05:57,193 --> 00:06:01,349
challenger vai fazer é que vai pegar uma chave aleatória e, em seguida, o adversário

85
00:06:01,349 --> 00:06:06,076
basicamente está indo para a saída de duas mensagens M0 e M1. Ok então esta é uma explícita

86
00:06:06,076 --> 00:06:11,039
par de mensagens que o atacante quer ser posta em causa e como de costume não estamos

87
00:06:11,039 --> 00:06:15,766
tentando esconder o comprimento das mensagens, é necessário que as mensagens de ser igual

88
00:06:15,766 --> 00:06:21,643
comprimento. E então o desafiante basicamente irá imprimir ou a criptografia de M0

89
00:06:21,643 --> 00:06:25,890
ou a criptografia de M1, bem assim no experimento 0, o adversário será a saída

90
00:06:25,890 --> 00:06:30,301
criptografia de M0. No experimento 1, a saída será o challenger de criptografia

91
00:06:30,301 --> 00:06:34,385
de M1. Razoável de modo que a diferença entre as duas experiências. E então o

92
00:06:34,385 --> 00:06:38,796
adversário é tentar adivinhar, basicamente, se ele foi dado a criptografia de M0

93
00:06:38,796 --> 00:06:44,051
ou dada a criptografia de M1. Ok então aqui está um pouco de notação vamos

94
00:06:44,051 --> 00:06:50,260
definir o Wb eventos para os eventos que um experimento B, a saída do adversário.

95
00:06:50,260 --> 00:06:55,084
Ok então que é apenas um evento que, basicamente, em experimento de zero significa que W0

96
00:06:55,084 --> 00:07:00,342
saída do adversário e um experimento em uma W1 significa a saída do adversário um. E

97
00:07:00,342 --> 00:07:05,291
agora podemos definir a vantagem deste adversário, basicamente para dizer que este é

98
00:07:05,291 --> 00:07:10,425
chamado a vantagem de segurança semântica do adversário Um contra o regime de E,

99
00:07:10,425 --> 00:07:15,497
para ser a diferença de que a probabilidade de estes dois eventos. Em outras palavras, estamos

100
00:07:15,497 --> 00:07:20,136
olhando se o adversário se comporta de maneira diferente, quando foi dada a

101
00:07:20,136 --> 00:07:24,818
criptografia de M0 a partir de quando ele foi dada a criptografia de M1. E eu quero fazer

102
00:07:24,818 --> 00:07:29,201
certeza que isso é claro que eu vou dizer isso mais uma vez. Então, em zero experimento era

103
00:07:29,201 --> 00:07:33,530
dada a criptografia de M0 e na experiência que ele foi dado a criptografia

104
00:07:33,530 --> 00:07:37,700
de M1. Agora nós estamos apenas interessados em saber se a saída de um adversário ou não.

105
00:07:37,700 --> 00:07:42,356
... Nestas experiências. Se em ambos os experimentos a saída 1 com adversário

106
00:07:42,356 --> 00:07:47,013
a mesma probabilidade que significa que o adversário não era capaz de distinguir o

107
00:07:47,013 --> 00:07:51,549
dois experimentos. Experimentos de zero, basicamente, olha para o adversário, o mesmo

108
00:07:51,549 --> 00:07:56,206
como a experiência de um, porque em ambos os casos carregar uma com a mesma probabilidade.

109
00:07:56,206 --> 00:08:01,286
No entanto, se o adversário é capaz de produzir 1 em um experimento com significativa

110
00:08:01,286 --> 00:08:05,761
probabilidade diferente do que em outro experimento, em seguida, o adversário era

111
00:08:05,761 --> 00:08:10,266
realmente capaz de distinguir os dois experimentos. Ok então ... Para dizer isso mais

112
00:08:10,266 --> 00:08:14,455
formalmente, essencialmente, a vantagem mais uma vez porque é a diferença de dois

113
00:08:14,455 --> 00:08:18,918
probabilidades a vantagem é um número entre zero e um. Se a vantagem é

114
00:08:18,918 --> 00:08:22,886
próximo de zero o que significa que o adversário não foi capaz de distinguir

115
00:08:22,886 --> 00:08:27,129
nula experiência de um experimento. No entanto, se a vantagem está perto de uma,

116
00:08:27,129 --> 00:08:31,538
isso significa que o adversário era muito bem capaz de distinguir a zero a partir de experimento

117
00:08:31,538 --> 00:08:36,112
experimento um e que realmente significa que ele era capaz de distinguir uma criptografia

118
00:08:36,112 --> 00:08:40,299
de M0 a partir de uma criptografia de M1, ok? Então essa é a definição. Na realidade

119
00:08:40,299 --> 00:08:44,055
que é apenas a definição do partido ea definição é exatamente o que

120
00:08:44,055 --> 00:08:47,714
que seria de esperar, basicamente, vamos dizer que um esquema de criptografia simétrica é

121
00:08:47,714 --> 00:08:52,346
semanticamente seguro se para todos os adversários eficientes aqui eu vou colocá-las entre aspas

122
00:08:52,346 --> 00:08:56,932
novamente, "Para todos os adversários eficientes a vantagem é insignificante." Em outras palavras,

123
00:08:56,982 --> 00:09:01,808
adversário não eficiente pode distinguir a criptografia de M0 da criptografia

124
00:09:01,808 --> 00:09:06,103
de M1 e basicamente este é o que diz repetidamente que, para estes dois

125
00:09:06,103 --> 00:09:10,759
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

126
00:09:10,759 --> 00:09:15,064
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

127
00:09:15,064 --> 00:09:19,595
definição elegante. Pode não parecer tão imediato, mas eu quero mostrar-lhe algumas

128
00:09:19,595 --> 00:09:24,410
implicações dessa definição e você verá exatamente por isso que a definição é o caminho

129
00:09:24,410 --> 00:09:28,601
é. Ok, então vamos olhar alguns exemplos. Assim, o primeiro exemplo é supor

130
00:09:28,601 --> 00:09:33,190
temos um esquema de criptografia quebrada, em outras palavras, suponha que temos um adversário Um

131
00:09:33,190 --> 00:09:38,285
que de alguma forma dado o texto cifrado, ele é sempre capaz de deduzir menos

132
00:09:38,285 --> 00:09:44,149
pouco significativa do texto simples. Ok então, dada a criptografia de M0, este adversário

133
00:09:44,149 --> 00:09:48,799
é capaz de deduzir o bit menos significativo do M0. Então isso é um terrível

134
00:09:48,799 --> 00:09:52,911
esquema de criptografia porque basicamente vazamentos o bit menos significativo do

135
00:09:52,911 --> 00:09:57,128
texto simples apenas dado o texto cifrado. Então, eu quero mostrar-lhe que este regime é

136
00:09:57,128 --> 00:10:01,609
, portanto, semanticamente seguro para esse tipo de mostra que se um sistema é semanticamente

137
00:10:01,609 --> 00:10:05,931
assegurar que não há invasor deste tipo. Ok, então vamos ver porque é que o sistema

138
00:10:05,931 --> 00:10:10,254
não semanticamente segura bem assim o que nós vamos fazer é basicamente nós vamos usar

139
00:10:10,254 --> 00:10:14,366
adversário nosso que é capaz de aprender as partes de nosso mais insignificantes, vamos

140
00:10:14,366 --> 00:10:18,372
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

141
00:10:18,372 --> 00:10:22,755
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

142
00:10:22,755 --> 00:10:26,987
B algoritmo, vamos ser algoritmo B e este B algoritmo vai usar

143
00:10:26,987 --> 00:10:31,165
Um algoritmo em sua barriga. Ok então a primeira coisa que vai acontecer é de

144
00:10:31,165 --> 00:10:35,608
curso o desafiante vai escolher uma chave aleatória. A primeira coisa que vai

145
00:10:35,608 --> 00:10:39,762
acontecer é que nós precisamos para a saída de duas mensagens. As mensagens que vamos

146
00:10:39,762 --> 00:10:43,493
para a saída, basicamente, vai ter pedaços significativos de forma diferente. Assim, um

147
00:10:43,493 --> 00:10:47,727
mensagem vai terminar com zero e uma mensagem vai acabar com um. Agora, o que

148
00:10:47,727 --> 00:10:51,205
é o adversário vai fazer? O challenger vai nos dar a

149
00:10:51,205 --> 00:10:55,238
criptografia de qualquer M0 ou M1, dependendo se na experiência 0 ou

150
00:10:55,238 --> 00:10:59,120
no experimento 1. E então nós apenas transmitir a presente texto cifrado para o adversário

151
00:10:59,120 --> 00:11:03,871
bem assim o adversário A. Agora, qual é a propriedade de um adversário? Dada a cifra

152
00:11:03,871 --> 00:11:08,505
texto adversário, A pode nos dizer o que os bits menos significativos do texto simples é.

153
00:11:08,505 --> 00:11:13,374
Em outras palavras, o adversário vai para a saída dos bits menos significativos de M0 ou M1

154
00:11:13,374 --> 00:11:17,892
mas baixa e eis que é basicamente o B. bit E então nós somos apenas

155
00:11:17,892 --> 00:11:23,050
indo para a saída que, como nosso convidado então vamos? s chamar essa coisa B principal Ok então agora este

156
00:11:23,050 --> 00:11:28,376
descreve o adversário segurança semântica. E agora você me dizer o que é a semântica

157
00:11:28,376 --> 00:11:33,593
vantagem de segurança deste adversário? Bem, então vamos ver. Em zero experimento, o que é

158
00:11:33,593 --> 00:11:38,775
a probabilidade de que B gera um adversário? Bem em zero de experiência, é sempre

159
00:11:38,775 --> 00:11:43,704
dada a criptografia de M zero e, portanto, um adversário sempre é a saída do

160
00:11:43,704 --> 00:11:48,633
bit menos significativo do M zero, o que sempre acontece de ser zero. No experimento

161
00:11:48,633 --> 00:11:53,120
zero, B sempre envia zero. Assim, a probabilidade de que produz uma é zero.

162
00:11:53,120 --> 00:11:57,827
No entanto, em um experimento, estamos dado a criptografia de M1. Então, como é provável

163
00:11:57,827 --> 00:12:02,783
B adversário para a saída de um experimento em um poço que sempre envia uma, mais uma vez por

164
00:12:02,783 --> 00:12:07,428
as propriedades de algoritmo A e, por conseguinte, a vantagem é basicamente um.

165
00:12:07,428 --> 00:12:12,384
Portanto, esta é uma grande vantagem, é tão grande quanto ele vai chegar. O que significa que este

166
00:12:12,384 --> 00:12:17,091
adversário quebrou completamente o sistema. Ok então nós consideramos, portanto, sob semântica

167
00:12:17,091 --> 00:12:22,295
segurança, basicamente, apenas deduzir o bit menos significativo é o suficiente para completamente

168
00:12:22,295 --> 00:12:27,187
quebrar o sistema em uma definição de segurança semântica. Ok, agora o interessante

169
00:12:27,187 --> 00:12:32,388
coisa aqui, claro, é que este não é apenas sobre o bit menos significativo, em

170
00:12:32,388 --> 00:12:37,117
fato de a mensagem, por exemplo, o bit mais significativo, você sabe

171
00:12:37,117 --> 00:12:42,040
bit número sete Talvez o XOR de todos os bits da mensagem e assim por diante

172
00:12:42,040 --> 00:12:46,552
e assim por diante qualquer tipo de informação, qualquer pouco sobre o texto simples que pode ser

173
00:12:46,552 --> 00:12:50,814
aprendeu basicamente significa que o sistema não é semanticamente seguro. Assim

174
00:12:50,814 --> 00:12:55,532
basicamente tudo o que o adversário teria que fazer seria chegar com duas mensagens

175
00:12:55,532 --> 00:13:00,249
M0 e M1 tal que, sob uma coisa que aprendi é o valor zero e, em seguida,

176
00:13:00,249 --> 00:13:04,626
coisa a outra, o valor, é um deles. Por exemplo, se um era capaz de aprender a XOR

177
00:13:04,626 --> 00:13:08,775
bits da mensagem, em seguida, M0 e M1 teria apenas diferente

178
00:13:08,775 --> 00:13:13,265
XOR para todos os bits de suas mensagens e, em seguida, este seria um adversário

179
00:13:13,265 --> 00:13:18,174
também ser suficiente para quebrar a segurança semântica. Ok então, basicamente para criptografia

180
00:13:18,174 --> 00:13:23,203
é semanticamente seguro então nenhum bit de informação é revelada a um

181
00:13:23,203 --> 00:13:27,392
adversário eficiente. Ok então este é exatamente um conceito de sigilo perfeito só

182
00:13:27,392 --> 00:13:31,318
aplicada adversários apenas eficientes, em vez de todos os adversários. Assim, a próxima

183
00:13:31,318 --> 00:13:35,045
coisa que eu quero mostrar é que na verdade o teclado uma vez, de facto, é

184
00:13:35,045 --> 00:13:38,821
semanticamente seguro, é melhor ser semanticamente seguro porque é de fato,

185
00:13:38,821 --> 00:13:42,773
é mais do que isso é perfeitamente seguro. Então, vamos ver por que isso é verdade. Bem assim

186
00:13:42,773 --> 00:13:47,010
de novo, é uma dessas experiências, assim supor que temos um adversário que alega

187
00:13:47,010 --> 00:13:51,449
para quebrar a segurança semântica do bloco de uma vez. O adversário é o primeiro vai fazer

188
00:13:51,449 --> 00:13:55,874
é que ele vai de saída duas mensagens M0 e M1 do mesmo comprimento.

189
00:13:55,874 --> 00:13:59,667
Agora o que ele voltar como um desafio? Como um desafio, ele recebe a criptografia do

190
00:13:59,667 --> 00:14:03,988
de M0 ou a criptografia de M1 sob a almofada de uma vez.

191
00:14:03,988 --> 00:14:07,886
E ele está tentando fazer a distinção entre esses dois textos cifrados possíveis que ele recebe, certo?

192
00:14:07,886 --> 00:14:12,259
No experimento zero, ele recebe a criptografia de M0 e no experimento um, ele recebe o

193
00:14:12,259 --> 00:14:16,579
criptografia de M1. Bem então deixe-me perguntar-lhe, então qual é a vantagem do adversário

194
00:14:16,579 --> 00:14:21,297
Um contra a patente tempo um? Então eu me lembro que a propriedade dos que eu

195
00:14:21,297 --> 00:14:26,208
tinha é que, que K, XOR M0 é distribuído de forma idêntica ao K, XOR M1.

196
00:14:26,208 --> 00:14:31,187
Em outras palavras, essas distribuições são a distribuição absolutamente idênticos,

197
00:14:31,187 --> 00:14:36,026
distribuições, idênticos. Esta é uma propriedade do XOR. Se XOR a almofada aleatória

198
00:14:36,026 --> 00:14:40,674
K com qualquer coisa, seja M0 ou M1, temos uma distribuição uniforme. Assim, em ambos

199
00:14:40,674 --> 00:14:45,382
casos, algoritmo A é dado como entrada no exactamente a mesma distribuição. Talvez o

200
00:14:45,382 --> 00:14:50,209
distribuição uniforme em textos cifrados. E, portanto, vai se comportar exatamente o

201
00:14:50,209 --> 00:14:55,036
mesma em ambos os casos, porque foi dada a distribuição exacta como entrada. E como um

202
00:14:55,036 --> 00:14:59,699
resultado, a sua vantagem é zero, o que significa que a almofada de uma única vez é semanticamente

203
00:14:59,723 --> 00:15:04,148
seguro. Agora a coisa interessante aqui não é só é semanticamente seguro, é

204
00:15:04,148 --> 00:15:08,244
semanticamente seguro para todos os adversários. Nós nem sequer tem que restringir o

205
00:15:08,244 --> 00:15:12,450
adversários para ser eficiente. Sem adversário, não importa o quão inteligente você é, não

206
00:15:12,450 --> 00:15:16,875
adversário será capaz de distinguir K XOR M0 a partir de K XOR M1 porque os dois

207
00:15:16,875 --> 00:15:21,299
distribuições são idênticos. Ok, então o bloco de uma vez é semanticamente seguro. Ok,

208
00:15:21,299 --> 00:15:25,559
assim que completa a nossa definição de segurança semântico, a próxima coisa que nós estamos

209
00:15:25,559 --> 00:15:30,093
vai fazer é provar para o PRG seguro, de fato implica que a cifra de fluxo é

210
00:15:30,093 --> 00:15:31,186
semanticamente seguro.