[Script Info]
Title: 
[Events]
Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text
Dialogue: 0,0:00:00.00,0:00:03.91,Default,,0000,0000,0000,,Meu objetivo para os segmentos próximos anos é para mostrar que, se usarmos um PRG seguro Iremos
Dialogue: 0,0:00:03.91,0:00:07.89,Default,,0000,0000,0000,,obter um fluxo seguro mais seguro. A primeira coisa que temos a fazer é definir é, o que faz
Dialogue: 0,0:00:07.89,0:00:11.68,Default,,0000,0000,0000,,significa para um fluxo mais seguro para ser seguro? Portanto, sempre que definir a segurança sempre
Dialogue: 0,0:00:11.68,0:00:15.17,Default,,0000,0000,0000,,defini-lo em termos do que pode fazer o atacante? E qual é o atacante
Dialogue: 0,0:00:15.17,0:00:18.67,Default,,0000,0000,0000,,tentando fazer? No contexto do fluxo cifras lembrar estas só são utilizados
Dialogue: 0,0:00:18.67,0:00:22.74,Default,,0000,0000,0000,,com uma chave de uma única vez, e como resultado, o mais invasor a é sempre indo para ver é
Dialogue: 0,0:00:22.74,0:00:26.75,Default,,0000,0000,0000,,cifra apenas um texto criptografado utilizando a chave que estamos usando. E assim nós vamos
Dialogue: 0,0:00:26.75,0:00:30.77,Default,,0000,0000,0000,,limitar os atacantes? capacidade de, basicamente, obter apenas um texto cifrado. E em
Dialogue: 0,0:00:30.77,0:00:34.64,Default,,0000,0000,0000,,fato, mais tarde, vamos permitir que o invasor fazer muito, muito, muito mais, mas
Dialogue: 0,0:00:34.64,0:00:38.46,Default,,0000,0000,0000,,por enquanto estamos só vai lhe dar uma cifra de texto. E nós queríamos encontrar,
Dialogue: 0,0:00:38.46,0:00:42.56,Default,,0000,0000,0000,,o que significa para a cifra a ser seguro? Assim, a primeira definição que
Dialogue: 0,0:00:42.56,0:00:46.89,Default,,0000,0000,0000,,me vem à mente é, basicamente, quer dizer, bem, talvez nós queremos exigir que o atacante
Dialogue: 0,0:00:46.89,0:00:50.72,Default,,0000,0000,0000,,não pode realmente recuperar a chave secreta. Ok então dado texto [inaudível] você
Dialogue: 0,0:00:50.72,0:00:54.61,Default,,0000,0000,0000,,não deve ser capaz de recuperar a chave secreta. Mas isso é uma definição terrível
Dialogue: 0,0:00:54.61,0:00:58.72,Default,,0000,0000,0000,,porque pensar sobre o brilhante caindo [inaudível], mas a forma como criptografar a
Dialogue: 0,0:00:58.72,0:01:02.86,Default,,0000,0000,0000,,mensagem utilizando uma chave K é basicamente de saída [inaudível] a mensagem. Ok isto
Dialogue: 0,0:01:02.86,0:01:07.43,Default,,0000,0000,0000,,é um sim cifra brilhante é claro que não faz nada dado uma mensagem apenas
Dialogue: 0,0:01:07.43,0:01:12.00,Default,,0000,0000,0000,,saída uma mensagem que o texto cifrado. Esta não é uma encriptação particularmente boa
Dialogue: 0,0:01:12.00,0:01:16.03,Default,,0000,0000,0000,,esquema, no entanto, dado o texto cifrado, principalmente o atacante mensagem pobres
Dialogue: 0,0:01:16.03,0:01:20.49,Default,,0000,0000,0000,,não pode recuperar a chave porque ele não sabe o que é a chave. E assim, como resultado
Dialogue: 0,0:01:20.49,0:01:24.63,Default,,0000,0000,0000,,esta cifra claramente que é inseguro, seria considerado seguro nos termos do presente
Dialogue: 0,0:01:24.79,0:01:28.64,Default,,0000,0000,0000,,exigência de segurança. Portanto, esta definição não será bom. Ok então é
Dialogue: 0,0:01:28.64,0:01:32.32,Default,,0000,0000,0000,,recuperar a chave do segredo é o caminho errado para definir a segurança. Assim, a próxima coisa que nós
Dialogue: 0,0:01:32.32,0:01:35.100,Default,,0000,0000,0000,,pode tentar meio que é, basicamente, apenas dizer, bem, talvez o atacante não se preocupa com
Dialogue: 0,0:01:35.100,0:01:39.68,Default,,0000,0000,0000,,chave secreta, o que ele realmente se preocupa é o texto puro. Então, talvez ele deve ser
Dialogue: 0,0:01:39.68,0:01:43.52,Default,,0000,0000,0000,,difícil para o atacante recuperar todo o texto sem formatação. Mas mesmo que não
Dialogue: 0,0:01:43.52,0:01:48.22,Default,,0000,0000,0000,,trabalho, porque vamos pensar sobre o esquema de criptografia seguinte. Então, suponhamos que
Dialogue: 0,0:01:48.22,0:01:53.44,Default,,0000,0000,0000,,que este esquema de criptografia não é que demora duas mensagens, então eu vou usar dois
Dialogue: 0,0:01:53.44,0:01:58.01,Default,,0000,0000,0000,,linhas para denotar concatenação de duas mensagens M0 linha, linha M1 significa
Dialogue: 0,0:01:58.01,0:02:03.10,Default,,0000,0000,0000,,concatenar M0 e M1. E imaginar que o esquema não é realmente ele produz
Dialogue: 0,0:02:03.10,0:02:08.06,Default,,0000,0000,0000,,M0 no. clara e concatenar para que a criptografia de M1 Talvez ainda
Dialogue: 0,0:02:08.06,0:02:13.34,Default,,0000,0000,0000,,usando o Bloco de One Time ok? E aqui é o atacante vai ser dado um
Dialogue: 0,0:02:13.34,0:02:17.48,Default,,0000,0000,0000,,texto cifrado. E seu objetivo seria recuperar os textos inteiros simples. Mas o
Dialogue: 0,0:02:17.48,0:02:21.70,Default,,0000,0000,0000,,atacante pobres não podem fazer isso porque aqui nós temos talvez M1 criptografada usando o One
Dialogue: 0,0:02:21.70,0:02:25.87,Default,,0000,0000,0000,,Time Pad para que o atacante não pode realmente recuperar M1 porque sabemos que o
Dialogue: 0,0:02:25.87,0:02:30.04,Default,,0000,0000,0000,,Time Pad Um dado é seguro apenas um texto cifrado. Então, essa construção
Dialogue: 0,0:02:30.04,0:02:34.06,Default,,0000,0000,0000,,iria satisfazer a definição, mas, infelizmente, claramente este não é um seguro
Dialogue: 0,0:02:34.06,0:02:37.96,Default,,0000,0000,0000,,esquema de criptografia, porque nós só vazou metade do texto simples. M0 é
Dialogue: 0,0:02:37.96,0:02:42.18,Default,,0000,0000,0000,,completamente disponível para o atacante por isso mesmo que ele não pode recuperar todo o
Dialogue: 0,0:02:42.18,0:02:46.46,Default,,0000,0000,0000,,texto simples ele pode ser capaz de recuperar a maior parte do texto simples, e isso é claramente
Dialogue: 0,0:02:46.46,0:02:50.66,Default,,0000,0000,0000,,inseguro. Então é claro que já sabe a solução para isso e falamos sobre
Dialogue: 0,0:02:50.66,0:02:54.75,Default,,0000,0000,0000,,Shanon definição de segurança segredo perfeito, onde Shannon idéia era que, em
Dialogue: 0,0:02:54.75,0:02:58.84,Default,,0000,0000,0000,,fato, quando as interceptações atacante um texto cifrado, ele deve aprender absolutamente nenhuma
Dialogue: 0,0:02:58.84,0:03:02.82,Default,,0000,0000,0000,,informações sobre os textos simples. Ele não deve mesmo aprender um pouco sobre o
Dialogue: 0,0:03:02.82,0:03:07.22,Default,,0000,0000,0000,,texto simples ou até mesmo que ele não deveria saber, ele não deve mesmo ser capaz de prever um pouco
Dialogue: 0,0:03:07.22,0:03:11.20,Default,,0000,0000,0000,,pouco sobre um lance do texto simples. Absolutamente nenhuma informação sobre o texto sem formatação.
Dialogue: 0,0:03:11.20,0:03:14.93,Default,,0000,0000,0000,,Então vamos recordar muito brevemente conceito de Shannon de sigilo perfeito
Dialogue: 0,0:03:14.93,0:03:19.44,Default,,0000,0000,0000,,basicamente dissemos que você sabe que dada uma cifra Dissemos a cifra tem perfeita
Dialogue: 0,0:03:19.44,0:03:25.07,Default,,0000,0000,0000,,sigilo se dado duas mensagens do mesmo comprimento acontece que a distribuição
Dialogue: 0,0:03:25.07,0:03:30.17,Default,,0000,0000,0000,,de textos cifrados. No entanto, se escolher uma chave aleatória e olharmos para a distribuição de
Dialogue: 0,0:03:30.17,0:03:34.84,Default,,0000,0000,0000,,textos cifrados que criptografam M0 temos exatamente a mesma distribuição de quando nós
Dialogue: 0,0:03:34.84,0:03:39.26,Default,,0000,0000,0000,,encrypt M1. A intuição aqui é que se a consultoria observa os textos cifrados
Dialogue: 0,0:03:39.26,0:03:43.84,Default,,0000,0000,0000,,então ele não sabe se ele veio a partir da distribuição do resultado da criptografia
Dialogue: 0,0:03:43.84,0:03:48.20,Default,,0000,0000,0000,,M0 ou veio da distribuição como o resultado de criptografar M1. E como um
Dialogue: 0,0:03:48.20,0:03:52.51,Default,,0000,0000,0000,,resultado, ele não pode dizer se nós criptografado M0 ou M1. E isso é verdade para todos
Dialogue: 0,0:03:52.51,0:03:56.88,Default,,0000,0000,0000,,mensagens do mesmo comprimento e como resultado, um atacante pobre não sabe
Dialogue: 0,0:03:56.88,0:04:01.21,Default,,0000,0000,0000,,que a mensagem foi criptografada. Claro que já disse que esta definição é muito
Dialogue: 0,0:04:01.21,0:04:05.40,Default,,0000,0000,0000,,forte no sentido de que requer chaves realmente longas se cifra tem curta
Dialogue: 0,0:04:05.40,0:04:09.54,Default,,0000,0000,0000,,chaves não pode satisfazer esta definição em um fluxo cifras particulares
Dialogue: 0,0:04:09.54,0:04:14.33,Default,,0000,0000,0000,,pode satisfazer essa definição. Ok, então vamos tentar enfraquecer a definição um pouco
Dialogue: 0,0:04:14.33,0:04:19.11,Default,,0000,0000,0000,,e vamos pensar para o segmento anterior, e podemos dizer que em vez de exigir
Dialogue: 0,0:04:19.11,0:04:23.84,Default,,0000,0000,0000,,as duas distribuições para ser absolutamente idênticas o que podemos exigir é, é que
Dialogue: 0,0:04:23.84,0:04:28.69,Default,,0000,0000,0000,,duas distribuições apenas ser computacionalmente indistinguíveis. Em outras palavras, um pobre
Dialogue: 0,0:04:28.86,0:04:33.35,Default,,0000,0000,0000,,atacante eficiente não é possível distinguir as duas distribuições mesmo que a
Dialogue: 0,0:04:33.35,0:04:37.82,Default,,0000,0000,0000,,distribuições pode ser muito, muito, muito diferente. Que acaba de dar uma amostra para
Dialogue: 0,0:04:37.82,0:04:42.58,Default,,0000,0000,0000,,uma distribuição e uma amostra para outra distribuição o atacante não pode dizer que
Dialogue: 0,0:04:42.58,0:04:47.12,Default,,0000,0000,0000,,distribuição foi-lhe dada uma amostra. Acontece que esta definição é realmente
Dialogue: 0,0:04:47.12,0:04:51.72,Default,,0000,0000,0000,,quase certo, mas ainda é um pouco forte demais, que ainda não pode ser satisfeita, de modo
Dialogue: 0,0:04:51.72,0:04:56.20,Default,,0000,0000,0000,,temos de acrescentar mais uma restrição, e isso é que em vez de dizer que este
Dialogue: 0,0:04:56.20,0:05:00.80,Default,,0000,0000,0000,,definição deveria ter mantenha durante toda a M0 e M1. É manter para pares somente M0 M1
Dialogue: 0,0:05:00.80,0:05:05.21,Default,,0000,0000,0000,,que os atacantes podem realmente apresentam. Ok então isso realmente
Dialogue: 0,0:05:05.21,0:05:10.04,Default,,0000,0000,0000,,nos leva à definição de segurança semântica. E assim, novamente, isso é semântica
Dialogue: 0,0:05:10.04,0:05:15.05,Default,,0000,0000,0000,,segurança para uma chave de tempo em outras palavras, quando o atacante só é dada uma cifra
Dialogue: 0,0:05:15.05,0:05:19.82,Default,,0000,0000,0000,,texto. E assim a nossa forma de definir a segurança semântica é através da definição de dois experimentos,
Dialogue: 0,0:05:19.82,0:05:24.56,Default,,0000,0000,0000,,ok vamos definir 0 experimento e experimento 1. E, mais geralmente vamos
Dialogue: 0,0:05:24.56,0:05:29.23,Default,,0000,0000,0000,,pensar neles como experimentos B parênteses, onde B pode ser zero ou um. Ok então o
Dialogue: 0,0:05:29.23,0:05:32.89,Default,,0000,0000,0000,,forma o experimento é definido é o seguinte, temos um adversário que é
Dialogue: 0,0:05:32.89,0:05:37.16,Default,,0000,0000,0000,,tentando quebrar o sistema. A um adversário, que é meio o análogo de estatística
Dialogue: 0,0:05:37.16,0:05:41.28,Default,,0000,0000,0000,,testes no mundo de pseudo geradores aleatórios. E então o desafiante faz
Dialogue: 0,0:05:41.28,0:05:45.09,Default,,0000,0000,0000,,o seguinte, então realmente temos dois adversários, mas os adversários são tão
Dialogue: 0,0:05:45.09,0:05:49.41,Default,,0000,0000,0000,,semelhante que pode apenas descrevê-los como um desafio único que em um caso leva
Dialogue: 0,0:05:49.41,0:05:53.63,Default,,0000,0000,0000,,bits de seus insumos definido para zero, e outro caso, leva seus insumos bits definidos como
Dialogue: 0,0:05:53.63,0:05:57.19,Default,,0000,0000,0000,,um. E deixe-me mostrar-lhe o que esses challengers fazer. A primeira coisa que o
Dialogue: 0,0:05:57.19,0:06:01.35,Default,,0000,0000,0000,,challenger vai fazer é que vai pegar uma chave aleatória e, em seguida, o adversário
Dialogue: 0,0:06:01.35,0:06:06.08,Default,,0000,0000,0000,,basicamente está indo para a saída de duas mensagens M0 e M1. Ok então esta é uma explícita
Dialogue: 0,0:06:06.08,0:06:11.04,Default,,0000,0000,0000,,par de mensagens que o atacante quer ser posta em causa e como de costume não estamos
Dialogue: 0,0:06:11.04,0:06:15.77,Default,,0000,0000,0000,,tentando esconder o comprimento das mensagens, é necessário que as mensagens de ser igual
Dialogue: 0,0:06:15.77,0:06:21.64,Default,,0000,0000,0000,,comprimento. E então o desafiante basicamente irá imprimir ou a criptografia de M0
Dialogue: 0,0:06:21.64,0:06:25.89,Default,,0000,0000,0000,,ou a criptografia de M1, bem assim no experimento 0, o adversário será a saída
Dialogue: 0,0:06:25.89,0:06:30.30,Default,,0000,0000,0000,,criptografia de M0. No experimento 1, a saída será o challenger de criptografia
Dialogue: 0,0:06:30.30,0:06:34.38,Default,,0000,0000,0000,,de M1. Razoável de modo que a diferença entre as duas experiências. E então o
Dialogue: 0,0:06:34.38,0:06:38.80,Default,,0000,0000,0000,,adversário é tentar adivinhar, basicamente, se ele foi dado a criptografia de M0
Dialogue: 0,0:06:38.80,0:06:44.05,Default,,0000,0000,0000,,ou dada a criptografia de M1. Ok então aqui está um pouco de notação vamos
Dialogue: 0,0:06:44.05,0:06:50.26,Default,,0000,0000,0000,,definir o Wb eventos para os eventos que um experimento B, a saída do adversário.
Dialogue: 0,0:06:50.26,0:06:55.08,Default,,0000,0000,0000,,Ok então que é apenas um evento que, basicamente, em experimento de zero significa que W0
Dialogue: 0,0:06:55.08,0:07:00.34,Default,,0000,0000,0000,,saída do adversário e um experimento em uma W1 significa a saída do adversário um. E
Dialogue: 0,0:07:00.34,0:07:05.29,Default,,0000,0000,0000,,agora podemos definir a vantagem deste adversário, basicamente para dizer que este é
Dialogue: 0,0:07:05.29,0:07:10.42,Default,,0000,0000,0000,,chamado a vantagem de segurança semântica do adversário Um contra o regime de E,
Dialogue: 0,0:07:10.42,0:07:15.50,Default,,0000,0000,0000,,para ser a diferença de que a probabilidade de estes dois eventos. Em outras palavras, estamos
Dialogue: 0,0:07:15.50,0:07:20.14,Default,,0000,0000,0000,,olhando se o adversário se comporta de maneira diferente, quando foi dada a
Dialogue: 0,0:07:20.14,0:07:24.82,Default,,0000,0000,0000,,criptografia de M0 a partir de quando ele foi dada a criptografia de M1. E eu quero fazer
Dialogue: 0,0:07:24.82,0:07:29.20,Default,,0000,0000,0000,,certeza que isso é claro que eu vou dizer isso mais uma vez. Então, em zero experimento era
Dialogue: 0,0:07:29.20,0:07:33.53,Default,,0000,0000,0000,,dada a criptografia de M0 e na experiência que ele foi dado a criptografia
Dialogue: 0,0:07:33.53,0:07:37.70,Default,,0000,0000,0000,,de M1. Agora nós estamos apenas interessados em saber se a saída de um adversário ou não.
Dialogue: 0,0:07:37.70,0:07:42.36,Default,,0000,0000,0000,,... Nestas experiências. Se em ambos os experimentos a saída 1 com adversário
Dialogue: 0,0:07:42.36,0:07:47.01,Default,,0000,0000,0000,,a mesma probabilidade que significa que o adversário não era capaz de distinguir o
Dialogue: 0,0:07:47.01,0:07:51.55,Default,,0000,0000,0000,,dois experimentos. Experimentos de zero, basicamente, olha para o adversário, o mesmo
Dialogue: 0,0:07:51.55,0:07:56.21,Default,,0000,0000,0000,,como a experiência de um, porque em ambos os casos carregar uma com a mesma probabilidade.
Dialogue: 0,0:07:56.21,0:08:01.29,Default,,0000,0000,0000,,No entanto, se o adversário é capaz de produzir 1 em um experimento com significativa
Dialogue: 0,0:08:01.29,0:08:05.76,Default,,0000,0000,0000,,probabilidade diferente do que em outro experimento, em seguida, o adversário era
Dialogue: 0,0:08:05.76,0:08:10.27,Default,,0000,0000,0000,,realmente capaz de distinguir os dois experimentos. Ok então ... Para dizer isso mais
Dialogue: 0,0:08:10.27,0:08:14.46,Default,,0000,0000,0000,,formalmente, essencialmente, a vantagem mais uma vez porque é a diferença de dois
Dialogue: 0,0:08:14.46,0:08:18.92,Default,,0000,0000,0000,,probabilidades a vantagem é um número entre zero e um. Se a vantagem é
Dialogue: 0,0:08:18.92,0:08:22.89,Default,,0000,0000,0000,,próximo de zero o que significa que o adversário não foi capaz de distinguir
Dialogue: 0,0:08:22.89,0:08:27.13,Default,,0000,0000,0000,,nula experiência de um experimento. No entanto, se a vantagem está perto de uma,
Dialogue: 0,0:08:27.13,0:08:31.54,Default,,0000,0000,0000,,isso significa que o adversário era muito bem capaz de distinguir a zero a partir de experimento
Dialogue: 0,0:08:31.54,0:08:36.11,Default,,0000,0000,0000,,experimento um e que realmente significa que ele era capaz de distinguir uma criptografia
Dialogue: 0,0:08:36.11,0:08:40.30,Default,,0000,0000,0000,,de M0 a partir de uma criptografia de M1, ok? Então essa é a definição. Na realidade
Dialogue: 0,0:08:40.30,0:08:44.06,Default,,0000,0000,0000,,que é apenas a definição do partido ea definição é exatamente o que
Dialogue: 0,0:08:44.06,0:08:47.71,Default,,0000,0000,0000,,que seria de esperar, basicamente, vamos dizer que um esquema de criptografia simétrica é
Dialogue: 0,0:08:47.71,0:08:52.35,Default,,0000,0000,0000,,semanticamente seguro se para todos os adversários eficientes aqui eu vou colocá-las entre aspas
Dialogue: 0,0:08:52.35,0:08:56.93,Default,,0000,0000,0000,,novamente, "Para todos os adversários eficientes a vantagem é insignificante." Em outras palavras,
Dialogue: 0,0:08:56.98,0:09:01.81,Default,,0000,0000,0000,,adversário não eficiente pode distinguir a criptografia de M0 da criptografia
Dialogue: 0,0:09:01.81,0:09:06.10,Default,,0000,0000,0000,,de M1 e basicamente este é o que diz repetidamente que, para estes dois
Dialogue: 0,0:09:06.10,0:09:10.76,Default,,0000,0000,0000,,mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir
Dialogue: 0,0:09:10.76,0:09:15.06,Default,,0000,0000,0000,,mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir
Dialogue: 0,0:09:15.06,0:09:19.60,Default,,0000,0000,0000,,definição elegante. Pode não parecer tão imediato, mas eu quero mostrar-lhe algumas
Dialogue: 0,0:09:19.60,0:09:24.41,Default,,0000,0000,0000,,implicações dessa definição e você verá exatamente por isso que a definição é o caminho
Dialogue: 0,0:09:24.41,0:09:28.60,Default,,0000,0000,0000,,é. Ok, então vamos olhar alguns exemplos. Assim, o primeiro exemplo é supor
Dialogue: 0,0:09:28.60,0:09:33.19,Default,,0000,0000,0000,,temos um esquema de criptografia quebrada, em outras palavras, suponha que temos um adversário Um
Dialogue: 0,0:09:33.19,0:09:38.28,Default,,0000,0000,0000,,que de alguma forma dado o texto cifrado, ele é sempre capaz de deduzir menos
Dialogue: 0,0:09:38.28,0:09:44.15,Default,,0000,0000,0000,,pouco significativa do texto simples. Ok então, dada a criptografia de M0, este adversário
Dialogue: 0,0:09:44.15,0:09:48.80,Default,,0000,0000,0000,,é capaz de deduzir o bit menos significativo do M0. Então isso é um terrível
Dialogue: 0,0:09:48.80,0:09:52.91,Default,,0000,0000,0000,,esquema de criptografia porque basicamente vazamentos o bit menos significativo do
Dialogue: 0,0:09:52.91,0:09:57.13,Default,,0000,0000,0000,,texto simples apenas dado o texto cifrado. Então, eu quero mostrar-lhe que este regime é
Dialogue: 0,0:09:57.13,0:10:01.61,Default,,0000,0000,0000,,, portanto, semanticamente seguro para esse tipo de mostra que se um sistema é semanticamente
Dialogue: 0,0:10:01.61,0:10:05.93,Default,,0000,0000,0000,,assegurar que não há invasor deste tipo. Ok, então vamos ver porque é que o sistema
Dialogue: 0,0:10:05.93,0:10:10.25,Default,,0000,0000,0000,,não semanticamente segura bem assim o que nós vamos fazer é basicamente nós vamos usar
Dialogue: 0,0:10:10.25,0:10:14.37,Default,,0000,0000,0000,,adversário nosso que é capaz de aprender as partes de nosso mais insignificantes, vamos
Dialogue: 0,0:10:14.37,0:10:18.37,Default,,0000,0000,0000,,usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir
Dialogue: 0,0:10:18.37,0:10:22.76,Default,,0000,0000,0000,,usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir
Dialogue: 0,0:10:22.76,0:10:26.99,Default,,0000,0000,0000,,B algoritmo, vamos ser algoritmo B e este B algoritmo vai usar
Dialogue: 0,0:10:26.99,0:10:31.16,Default,,0000,0000,0000,,Um algoritmo em sua barriga. Ok então a primeira coisa que vai acontecer é de
Dialogue: 0,0:10:31.16,0:10:35.61,Default,,0000,0000,0000,,curso o desafiante vai escolher uma chave aleatória. A primeira coisa que vai
Dialogue: 0,0:10:35.61,0:10:39.76,Default,,0000,0000,0000,,acontecer é que nós precisamos para a saída de duas mensagens. As mensagens que vamos
Dialogue: 0,0:10:39.76,0:10:43.49,Default,,0000,0000,0000,,para a saída, basicamente, vai ter pedaços significativos de forma diferente. Assim, um
Dialogue: 0,0:10:43.49,0:10:47.73,Default,,0000,0000,0000,,mensagem vai terminar com zero e uma mensagem vai acabar com um. Agora, o que
Dialogue: 0,0:10:47.73,0:10:51.20,Default,,0000,0000,0000,,é o adversário vai fazer? O challenger vai nos dar a
Dialogue: 0,0:10:51.20,0:10:55.24,Default,,0000,0000,0000,,criptografia de qualquer M0 ou M1, dependendo se na experiência 0 ou
Dialogue: 0,0:10:55.24,0:10:59.12,Default,,0000,0000,0000,,no experimento 1. E então nós apenas transmitir a presente texto cifrado para o adversário
Dialogue: 0,0:10:59.12,0:11:03.87,Default,,0000,0000,0000,,bem assim o adversário A. Agora, qual é a propriedade de um adversário? Dada a cifra
Dialogue: 0,0:11:03.87,0:11:08.50,Default,,0000,0000,0000,,texto adversário, A pode nos dizer o que os bits menos significativos do texto simples é.
Dialogue: 0,0:11:08.50,0:11:13.37,Default,,0000,0000,0000,,Em outras palavras, o adversário vai para a saída dos bits menos significativos de M0 ou M1
Dialogue: 0,0:11:13.37,0:11:17.89,Default,,0000,0000,0000,,mas baixa e eis que é basicamente o B. bit E então nós somos apenas
Dialogue: 0,0:11:17.89,0:11:23.05,Default,,0000,0000,0000,,indo para a saída que, como nosso convidado então vamos? s chamar essa coisa B principal Ok então agora este
Dialogue: 0,0:11:23.05,0:11:28.38,Default,,0000,0000,0000,,descreve o adversário segurança semântica. E agora você me dizer o que é a semântica
Dialogue: 0,0:11:28.38,0:11:33.59,Default,,0000,0000,0000,,vantagem de segurança deste adversário? Bem, então vamos ver. Em zero experimento, o que é
Dialogue: 0,0:11:33.59,0:11:38.78,Default,,0000,0000,0000,,a probabilidade de que B gera um adversário? Bem em zero de experiência, é sempre
Dialogue: 0,0:11:38.78,0:11:43.70,Default,,0000,0000,0000,,dada a criptografia de M zero e, portanto, um adversário sempre é a saída do
Dialogue: 0,0:11:43.70,0:11:48.63,Default,,0000,0000,0000,,bit menos significativo do M zero, o que sempre acontece de ser zero. No experimento
Dialogue: 0,0:11:48.63,0:11:53.12,Default,,0000,0000,0000,,zero, B sempre envia zero. Assim, a probabilidade de que produz uma é zero.
Dialogue: 0,0:11:53.12,0:11:57.83,Default,,0000,0000,0000,,No entanto, em um experimento, estamos dado a criptografia de M1. Então, como é provável
Dialogue: 0,0:11:57.83,0:12:02.78,Default,,0000,0000,0000,,B adversário para a saída de um experimento em um poço que sempre envia uma, mais uma vez por
Dialogue: 0,0:12:02.78,0:12:07.43,Default,,0000,0000,0000,,as propriedades de algoritmo A e, por conseguinte, a vantagem é basicamente um.
Dialogue: 0,0:12:07.43,0:12:12.38,Default,,0000,0000,0000,,Portanto, esta é uma grande vantagem, é tão grande quanto ele vai chegar. O que significa que este
Dialogue: 0,0:12:12.38,0:12:17.09,Default,,0000,0000,0000,,adversário quebrou completamente o sistema. Ok então nós consideramos, portanto, sob semântica
Dialogue: 0,0:12:17.09,0:12:22.30,Default,,0000,0000,0000,,segurança, basicamente, apenas deduzir o bit menos significativo é o suficiente para completamente
Dialogue: 0,0:12:22.30,0:12:27.19,Default,,0000,0000,0000,,quebrar o sistema em uma definição de segurança semântica. Ok, agora o interessante
Dialogue: 0,0:12:27.19,0:12:32.39,Default,,0000,0000,0000,,coisa aqui, claro, é que este não é apenas sobre o bit menos significativo, em
Dialogue: 0,0:12:32.39,0:12:37.12,Default,,0000,0000,0000,,fato de a mensagem, por exemplo, o bit mais significativo, você sabe
Dialogue: 0,0:12:37.12,0:12:42.04,Default,,0000,0000,0000,,bit número sete Talvez o XOR de todos os bits da mensagem e assim por diante
Dialogue: 0,0:12:42.04,0:12:46.55,Default,,0000,0000,0000,,e assim por diante qualquer tipo de informação, qualquer pouco sobre o texto simples que pode ser
Dialogue: 0,0:12:46.55,0:12:50.81,Default,,0000,0000,0000,,aprendeu basicamente significa que o sistema não é semanticamente seguro. Assim
Dialogue: 0,0:12:50.81,0:12:55.53,Default,,0000,0000,0000,,basicamente tudo o que o adversário teria que fazer seria chegar com duas mensagens
Dialogue: 0,0:12:55.53,0:13:00.25,Default,,0000,0000,0000,,M0 e M1 tal que, sob uma coisa que aprendi é o valor zero e, em seguida,
Dialogue: 0,0:13:00.25,0:13:04.63,Default,,0000,0000,0000,,coisa a outra, o valor, é um deles. Por exemplo, se um era capaz de aprender a XOR
Dialogue: 0,0:13:04.63,0:13:08.78,Default,,0000,0000,0000,,bits da mensagem, em seguida, M0 e M1 teria apenas diferente
Dialogue: 0,0:13:08.78,0:13:13.26,Default,,0000,0000,0000,,XOR para todos os bits de suas mensagens e, em seguida, este seria um adversário
Dialogue: 0,0:13:13.26,0:13:18.17,Default,,0000,0000,0000,,também ser suficiente para quebrar a segurança semântica. Ok então, basicamente para criptografia
Dialogue: 0,0:13:18.17,0:13:23.20,Default,,0000,0000,0000,,é semanticamente seguro então nenhum bit de informação é revelada a um
Dialogue: 0,0:13:23.20,0:13:27.39,Default,,0000,0000,0000,,adversário eficiente. Ok então este é exatamente um conceito de sigilo perfeito só
Dialogue: 0,0:13:27.39,0:13:31.32,Default,,0000,0000,0000,,aplicada adversários apenas eficientes, em vez de todos os adversários. Assim, a próxima
Dialogue: 0,0:13:31.32,0:13:35.04,Default,,0000,0000,0000,,coisa que eu quero mostrar é que na verdade o teclado uma vez, de facto, é
Dialogue: 0,0:13:35.04,0:13:38.82,Default,,0000,0000,0000,,semanticamente seguro, é melhor ser semanticamente seguro porque é de fato,
Dialogue: 0,0:13:38.82,0:13:42.77,Default,,0000,0000,0000,,é mais do que isso é perfeitamente seguro. Então, vamos ver por que isso é verdade. Bem assim
Dialogue: 0,0:13:42.77,0:13:47.01,Default,,0000,0000,0000,,de novo, é uma dessas experiências, assim supor que temos um adversário que alega
Dialogue: 0,0:13:47.01,0:13:51.45,Default,,0000,0000,0000,,para quebrar a segurança semântica do bloco de uma vez. O adversário é o primeiro vai fazer
Dialogue: 0,0:13:51.45,0:13:55.87,Default,,0000,0000,0000,,é que ele vai de saída duas mensagens M0 e M1 do mesmo comprimento.
Dialogue: 0,0:13:55.87,0:13:59.67,Default,,0000,0000,0000,,Agora o que ele voltar como um desafio? Como um desafio, ele recebe a criptografia do
Dialogue: 0,0:13:59.67,0:14:03.99,Default,,0000,0000,0000,,de M0 ou a criptografia de M1 sob a almofada de uma vez.
Dialogue: 0,0:14:03.99,0:14:07.89,Default,,0000,0000,0000,,E ele está tentando fazer a distinção entre esses dois textos cifrados possíveis que ele recebe, certo?
Dialogue: 0,0:14:07.89,0:14:12.26,Default,,0000,0000,0000,,No experimento zero, ele recebe a criptografia de M0 e no experimento um, ele recebe o
Dialogue: 0,0:14:12.26,0:14:16.58,Default,,0000,0000,0000,,criptografia de M1. Bem então deixe-me perguntar-lhe, então qual é a vantagem do adversário
Dialogue: 0,0:14:16.58,0:14:21.30,Default,,0000,0000,0000,,Um contra a patente tempo um? Então eu me lembro que a propriedade dos que eu
Dialogue: 0,0:14:21.30,0:14:26.21,Default,,0000,0000,0000,,tinha é que, que K, XOR M0 é distribuído de forma idêntica ao K, XOR M1.
Dialogue: 0,0:14:26.21,0:14:31.19,Default,,0000,0000,0000,,Em outras palavras, essas distribuições são a distribuição absolutamente idênticos,
Dialogue: 0,0:14:31.19,0:14:36.03,Default,,0000,0000,0000,,distribuições, idênticos. Esta é uma propriedade do XOR. Se XOR a almofada aleatória
Dialogue: 0,0:14:36.03,0:14:40.67,Default,,0000,0000,0000,,K com qualquer coisa, seja M0 ou M1, temos uma distribuição uniforme. Assim, em ambos
Dialogue: 0,0:14:40.67,0:14:45.38,Default,,0000,0000,0000,,casos, algoritmo A é dado como entrada no exactamente a mesma distribuição. Talvez o
Dialogue: 0,0:14:45.38,0:14:50.21,Default,,0000,0000,0000,,distribuição uniforme em textos cifrados. E, portanto, vai se comportar exatamente o
Dialogue: 0,0:14:50.21,0:14:55.04,Default,,0000,0000,0000,,mesma em ambos os casos, porque foi dada a distribuição exacta como entrada. E como um
Dialogue: 0,0:14:55.04,0:14:59.70,Default,,0000,0000,0000,,resultado, a sua vantagem é zero, o que significa que a almofada de uma única vez é semanticamente
Dialogue: 0,0:14:59.72,0:15:04.15,Default,,0000,0000,0000,,seguro. Agora a coisa interessante aqui não é só é semanticamente seguro, é
Dialogue: 0,0:15:04.15,0:15:08.24,Default,,0000,0000,0000,,semanticamente seguro para todos os adversários. Nós nem sequer tem que restringir o
Dialogue: 0,0:15:08.24,0:15:12.45,Default,,0000,0000,0000,,adversários para ser eficiente. Sem adversário, não importa o quão inteligente você é, não
Dialogue: 0,0:15:12.45,0:15:16.88,Default,,0000,0000,0000,,adversário será capaz de distinguir K XOR M0 a partir de K XOR M1 porque os dois
Dialogue: 0,0:15:16.88,0:15:21.30,Default,,0000,0000,0000,,distribuições são idênticos. Ok, então o bloco de uma vez é semanticamente seguro. Ok,
Dialogue: 0,0:15:21.30,0:15:25.56,Default,,0000,0000,0000,,assim que completa a nossa definição de segurança semântico, a próxima coisa que nós estamos
Dialogue: 0,0:15:25.56,0:15:30.09,Default,,0000,0000,0000,,vai fazer é provar para o PRG seguro, de fato implica que a cifra de fluxo é
Dialogue: 0,0:15:30.09,0:15:31.19,Default,,0000,0000,0000,,semanticamente seguro.