WEBVTT

00:00:00.000 --> 00:00:03.911
Meu objetivo para os segmentos próximos anos é para mostrar que, se usarmos um PRG seguro Iremos

00:00:03.911 --> 00:00:07.892
obter um fluxo seguro mais seguro. A primeira coisa que temos a fazer é definir é, o que faz

00:00:07.892 --> 00:00:11.679
significa para um fluxo mais seguro para ser seguro? Portanto, sempre que definir a segurança sempre

00:00:11.679 --> 00:00:15.174
defini-lo em termos do que pode fazer o atacante? E qual é o atacante

00:00:15.174 --> 00:00:18.670
tentando fazer? No contexto do fluxo cifras lembrar estas só são utilizados

00:00:18.670 --> 00:00:22.737
com uma chave de uma única vez, e como resultado, o mais invasor a é sempre indo para ver é

00:00:22.737 --> 00:00:26.754
cifra apenas um texto criptografado utilizando a chave que estamos usando. E assim nós vamos

00:00:26.754 --> 00:00:30.772
limitar os atacantes? capacidade de, basicamente, obter apenas um texto cifrado. E em

00:00:30.772 --> 00:00:34.641
fato, mais tarde, vamos permitir que o invasor fazer muito, muito, muito mais, mas

00:00:34.641 --> 00:00:38.460
por enquanto estamos só vai lhe dar uma cifra de texto. E nós queríamos encontrar,

00:00:38.460 --> 00:00:42.560
o que significa para a cifra a ser seguro? Assim, a primeira definição que

00:00:42.560 --> 00:00:46.892
me vem à mente é, basicamente, quer dizer, bem, talvez nós queremos exigir que o atacante

00:00:46.892 --> 00:00:50.718
não pode realmente recuperar a chave secreta. Ok então dado texto [inaudível] você

00:00:50.718 --> 00:00:54.609
não deve ser capaz de recuperar a chave secreta. Mas isso é uma definição terrível

00:00:54.609 --> 00:00:58.717
porque pensar sobre o brilhante caindo [inaudível], mas a forma como criptografar a

00:00:58.717 --> 00:01:02.855
mensagem utilizando uma chave K é basicamente de saída [inaudível] a mensagem. Ok isto

00:01:02.855 --> 00:01:07.427
é um sim cifra brilhante é claro que não faz nada dado uma mensagem apenas

00:01:07.427 --> 00:01:12.000
saída uma mensagem que o texto cifrado. Esta não é uma encriptação particularmente boa

00:01:12.000 --> 00:01:16.029
esquema, no entanto, dado o texto cifrado, principalmente o atacante mensagem pobres

00:01:16.029 --> 00:01:20.493
não pode recuperar a chave porque ele não sabe o que é a chave. E assim, como resultado

00:01:20.493 --> 00:01:24.630
esta cifra claramente que é inseguro, seria considerado seguro nos termos do presente

00:01:24.793 --> 00:01:28.636
exigência de segurança. Portanto, esta definição não será bom. Ok então é

00:01:28.636 --> 00:01:32.317
recuperar a chave do segredo é o caminho errado para definir a segurança. Assim, a próxima coisa que nós

00:01:32.317 --> 00:01:35.999
pode tentar meio que é, basicamente, apenas dizer, bem, talvez o atacante não se preocupa com

00:01:35.999 --> 00:01:39.680
chave secreta, o que ele realmente se preocupa é o texto puro. Então, talvez ele deve ser

00:01:39.680 --> 00:01:43.518
difícil para o atacante recuperar todo o texto sem formatação. Mas mesmo que não

00:01:43.518 --> 00:01:48.223
trabalho, porque vamos pensar sobre o esquema de criptografia seguinte. Então, suponhamos que

00:01:48.223 --> 00:01:53.436
que este esquema de criptografia não é que demora duas mensagens, então eu vou usar dois

00:01:53.436 --> 00:01:58.014
linhas para denotar concatenação de duas mensagens M0 linha, linha M1 significa

00:01:58.014 --> 00:02:03.100
concatenar M0 e M1. E imaginar que o esquema não é realmente ele produz

00:02:03.100 --> 00:02:08.060
M0 no. clara e concatenar para que a criptografia de M1 Talvez ainda

00:02:08.060 --> 00:02:13.337
usando o Bloco de One Time ok? E aqui é o atacante vai ser dado um

00:02:13.337 --> 00:02:17.478
texto cifrado. E seu objetivo seria recuperar os textos inteiros simples. Mas o

00:02:17.478 --> 00:02:21.702
atacante pobres não podem fazer isso porque aqui nós temos talvez M1 criptografada usando o One

00:02:21.702 --> 00:02:25.872
Time Pad para que o atacante não pode realmente recuperar M1 porque sabemos que o

00:02:25.872 --> 00:02:30.043
Time Pad Um dado é seguro apenas um texto cifrado. Então, essa construção

00:02:30.043 --> 00:02:34.055
iria satisfazer a definição, mas, infelizmente, claramente este não é um seguro

00:02:34.055 --> 00:02:37.962
esquema de criptografia, porque nós só vazou metade do texto simples. M0 é

00:02:37.962 --> 00:02:42.185
completamente disponível para o atacante por isso mesmo que ele não pode recuperar todo o

00:02:42.185 --> 00:02:46.462
texto simples ele pode ser capaz de recuperar a maior parte do texto simples, e isso é claramente

00:02:46.462 --> 00:02:50.658
inseguro. Então é claro que já sabe a solução para isso e falamos sobre

00:02:50.658 --> 00:02:54.747
Shanon definição de segurança segredo perfeito, onde Shannon idéia era que, em

00:02:54.747 --> 00:02:58.835
fato, quando as interceptações atacante um texto cifrado, ele deve aprender absolutamente nenhuma

00:02:58.835 --> 00:03:02.818
informações sobre os textos simples. Ele não deve mesmo aprender um pouco sobre o

00:03:02.818 --> 00:03:07.221
texto simples ou até mesmo que ele não deveria saber, ele não deve mesmo ser capaz de prever um pouco

00:03:07.221 --> 00:03:11.205
pouco sobre um lance do texto simples. Absolutamente nenhuma informação sobre o texto sem formatação.

00:03:11.205 --> 00:03:14.926
Então vamos recordar muito brevemente conceito de Shannon de sigilo perfeito

00:03:14.926 --> 00:03:19.442
basicamente dissemos que você sabe que dada uma cifra Dissemos a cifra tem perfeita

00:03:19.442 --> 00:03:25.069
sigilo se dado duas mensagens do mesmo comprimento acontece que a distribuição

00:03:25.069 --> 00:03:30.167
de textos cifrados. No entanto, se escolher uma chave aleatória e olharmos para a distribuição de

00:03:30.167 --> 00:03:34.838
textos cifrados que criptografam M0 temos exatamente a mesma distribuição de quando nós

00:03:34.838 --> 00:03:39.257
encrypt M1. A intuição aqui é que se a consultoria observa os textos cifrados

00:03:39.257 --> 00:03:43.839
então ele não sabe se ele veio a partir da distribuição do resultado da criptografia

00:03:43.839 --> 00:03:48.203
M0 ou veio da distribuição como o resultado de criptografar M1. E como um

00:03:48.203 --> 00:03:52.513
resultado, ele não pode dizer se nós criptografado M0 ou M1. E isso é verdade para todos

00:03:52.513 --> 00:03:56.877
mensagens do mesmo comprimento e como resultado, um atacante pobre não sabe

00:03:56.877 --> 00:04:01.212
que a mensagem foi criptografada. Claro que já disse que esta definição é muito

00:04:01.212 --> 00:04:05.400
forte no sentido de que requer chaves realmente longas se cifra tem curta

00:04:05.400 --> 00:04:09.535
chaves não pode satisfazer esta definição em um fluxo cifras particulares

00:04:09.535 --> 00:04:14.328
pode satisfazer essa definição. Ok, então vamos tentar enfraquecer a definição um pouco

00:04:14.328 --> 00:04:19.114
e vamos pensar para o segmento anterior, e podemos dizer que em vez de exigir

00:04:19.114 --> 00:04:23.841
as duas distribuições para ser absolutamente idênticas o que podemos exigir é, é que

00:04:23.841 --> 00:04:28.686
duas distribuições apenas ser computacionalmente indistinguíveis. Em outras palavras, um pobre

00:04:28.863 --> 00:04:33.353
atacante eficiente não é possível distinguir as duas distribuições mesmo que a

00:04:33.353 --> 00:04:37.815
distribuições pode ser muito, muito, muito diferente. Que acaba de dar uma amostra para

00:04:37.815 --> 00:04:42.580
uma distribuição e uma amostra para outra distribuição o atacante não pode dizer que

00:04:42.580 --> 00:04:47.120
distribuição foi-lhe dada uma amostra. Acontece que esta definição é realmente

00:04:47.120 --> 00:04:51.716
quase certo, mas ainda é um pouco forte demais, que ainda não pode ser satisfeita, de modo

00:04:51.716 --> 00:04:56.200
temos de acrescentar mais uma restrição, e isso é que em vez de dizer que este

00:04:56.200 --> 00:05:00.797
definição deveria ter mantenha durante toda a M0 e M1. É manter para pares somente M0 M1

00:05:00.797 --> 00:05:05.208
que os atacantes podem realmente apresentam. Ok então isso realmente

00:05:05.208 --> 00:05:10.038
nos leva à definição de segurança semântica. E assim, novamente, isso é semântica

00:05:10.038 --> 00:05:15.050
segurança para uma chave de tempo em outras palavras, quando o atacante só é dada uma cifra

00:05:15.050 --> 00:05:19.819
texto. E assim a nossa forma de definir a segurança semântica é através da definição de dois experimentos,

00:05:19.819 --> 00:05:24.562
ok vamos definir 0 experimento e experimento 1. E, mais geralmente vamos

00:05:24.562 --> 00:05:29.230
pensar neles como experimentos B parênteses, onde B pode ser zero ou um. Ok então o

00:05:29.230 --> 00:05:32.890
forma o experimento é definido é o seguinte, temos um adversário que é

00:05:32.890 --> 00:05:37.161
tentando quebrar o sistema. A um adversário, que é meio o análogo de estatística

00:05:37.161 --> 00:05:41.279
testes no mundo de pseudo geradores aleatórios. E então o desafiante faz

00:05:41.279 --> 00:05:45.093
o seguinte, então realmente temos dois adversários, mas os adversários são tão

00:05:45.093 --> 00:05:49.414
semelhante que pode apenas descrevê-los como um desafio único que em um caso leva

00:05:49.414 --> 00:05:53.634
bits de seus insumos definido para zero, e outro caso, leva seus insumos bits definidos como

00:05:53.634 --> 00:05:57.193
um. E deixe-me mostrar-lhe o que esses challengers fazer. A primeira coisa que o

00:05:57.193 --> 00:06:01.349
challenger vai fazer é que vai pegar uma chave aleatória e, em seguida, o adversário

00:06:01.349 --> 00:06:06.076
basicamente está indo para a saída de duas mensagens M0 e M1. Ok então esta é uma explícita

00:06:06.076 --> 00:06:11.039
par de mensagens que o atacante quer ser posta em causa e como de costume não estamos

00:06:11.039 --> 00:06:15.766
tentando esconder o comprimento das mensagens, é necessário que as mensagens de ser igual

00:06:15.766 --> 00:06:21.643
comprimento. E então o desafiante basicamente irá imprimir ou a criptografia de M0

00:06:21.643 --> 00:06:25.890
ou a criptografia de M1, bem assim no experimento 0, o adversário será a saída

00:06:25.890 --> 00:06:30.301
criptografia de M0. No experimento 1, a saída será o challenger de criptografia

00:06:30.301 --> 00:06:34.385
de M1. Razoável de modo que a diferença entre as duas experiências. E então o

00:06:34.385 --> 00:06:38.796
adversário é tentar adivinhar, basicamente, se ele foi dado a criptografia de M0

00:06:38.796 --> 00:06:44.051
ou dada a criptografia de M1. Ok então aqui está um pouco de notação vamos

00:06:44.051 --> 00:06:50.260
definir o Wb eventos para os eventos que um experimento B, a saída do adversário.

00:06:50.260 --> 00:06:55.084
Ok então que é apenas um evento que, basicamente, em experimento de zero significa que W0

00:06:55.084 --> 00:07:00.342
saída do adversário e um experimento em uma W1 significa a saída do adversário um. E

00:07:00.342 --> 00:07:05.291
agora podemos definir a vantagem deste adversário, basicamente para dizer que este é

00:07:05.291 --> 00:07:10.425
chamado a vantagem de segurança semântica do adversário Um contra o regime de E,

00:07:10.425 --> 00:07:15.497
para ser a diferença de que a probabilidade de estes dois eventos. Em outras palavras, estamos

00:07:15.497 --> 00:07:20.136
olhando se o adversário se comporta de maneira diferente, quando foi dada a

00:07:20.136 --> 00:07:24.818
criptografia de M0 a partir de quando ele foi dada a criptografia de M1. E eu quero fazer

00:07:24.818 --> 00:07:29.201
certeza que isso é claro que eu vou dizer isso mais uma vez. Então, em zero experimento era

00:07:29.201 --> 00:07:33.530
dada a criptografia de M0 e na experiência que ele foi dado a criptografia

00:07:33.530 --> 00:07:37.700
de M1. Agora nós estamos apenas interessados em saber se a saída de um adversário ou não.

00:07:37.700 --> 00:07:42.356
... Nestas experiências. Se em ambos os experimentos a saída 1 com adversário

00:07:42.356 --> 00:07:47.013
a mesma probabilidade que significa que o adversário não era capaz de distinguir o

00:07:47.013 --> 00:07:51.549
dois experimentos. Experimentos de zero, basicamente, olha para o adversário, o mesmo

00:07:51.549 --> 00:07:56.206
como a experiência de um, porque em ambos os casos carregar uma com a mesma probabilidade.

00:07:56.206 --> 00:08:01.286
No entanto, se o adversário é capaz de produzir 1 em um experimento com significativa

00:08:01.286 --> 00:08:05.761
probabilidade diferente do que em outro experimento, em seguida, o adversário era

00:08:05.761 --> 00:08:10.266
realmente capaz de distinguir os dois experimentos. Ok então ... Para dizer isso mais

00:08:10.266 --> 00:08:14.455
formalmente, essencialmente, a vantagem mais uma vez porque é a diferença de dois

00:08:14.455 --> 00:08:18.918
probabilidades a vantagem é um número entre zero e um. Se a vantagem é

00:08:18.918 --> 00:08:22.886
próximo de zero o que significa que o adversário não foi capaz de distinguir

00:08:22.886 --> 00:08:27.129
nula experiência de um experimento. No entanto, se a vantagem está perto de uma,

00:08:27.129 --> 00:08:31.538
isso significa que o adversário era muito bem capaz de distinguir a zero a partir de experimento

00:08:31.538 --> 00:08:36.112
experimento um e que realmente significa que ele era capaz de distinguir uma criptografia

00:08:36.112 --> 00:08:40.299
de M0 a partir de uma criptografia de M1, ok? Então essa é a definição. Na realidade

00:08:40.299 --> 00:08:44.055
que é apenas a definição do partido ea definição é exatamente o que

00:08:44.055 --> 00:08:47.714
que seria de esperar, basicamente, vamos dizer que um esquema de criptografia simétrica é

00:08:47.714 --> 00:08:52.346
semanticamente seguro se para todos os adversários eficientes aqui eu vou colocá-las entre aspas

00:08:52.346 --> 00:08:56.932
novamente, "Para todos os adversários eficientes a vantagem é insignificante." Em outras palavras,

00:08:56.982 --> 00:09:01.808
adversário não eficiente pode distinguir a criptografia de M0 da criptografia

00:09:01.808 --> 00:09:06.103
de M1 e basicamente este é o que diz repetidamente que, para estes dois

00:09:06.103 --> 00:09:10.759
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

00:09:10.759 --> 00:09:15.064
mensagens que o adversário foi capaz de mostrar que ele não era capaz de distinguir

00:09:15.064 --> 00:09:19.595
definição elegante. Pode não parecer tão imediato, mas eu quero mostrar-lhe algumas

00:09:19.595 --> 00:09:24.410
implicações dessa definição e você verá exatamente por isso que a definição é o caminho

00:09:24.410 --> 00:09:28.601
é. Ok, então vamos olhar alguns exemplos. Assim, o primeiro exemplo é supor

00:09:28.601 --> 00:09:33.190
temos um esquema de criptografia quebrada, em outras palavras, suponha que temos um adversário Um

00:09:33.190 --> 00:09:38.285
que de alguma forma dado o texto cifrado, ele é sempre capaz de deduzir menos

00:09:38.285 --> 00:09:44.149
pouco significativa do texto simples. Ok então, dada a criptografia de M0, este adversário

00:09:44.149 --> 00:09:48.799
é capaz de deduzir o bit menos significativo do M0. Então isso é um terrível

00:09:48.799 --> 00:09:52.911
esquema de criptografia porque basicamente vazamentos o bit menos significativo do

00:09:52.911 --> 00:09:57.128
texto simples apenas dado o texto cifrado. Então, eu quero mostrar-lhe que este regime é

00:09:57.128 --> 00:10:01.609
, portanto, semanticamente seguro para esse tipo de mostra que se um sistema é semanticamente

00:10:01.609 --> 00:10:05.931
assegurar que não há invasor deste tipo. Ok, então vamos ver porque é que o sistema

00:10:05.931 --> 00:10:10.254
não semanticamente segura bem assim o que nós vamos fazer é basicamente nós vamos usar

00:10:10.254 --> 00:10:14.366
adversário nosso que é capaz de aprender as partes de nosso mais insignificantes, vamos

00:10:14.366 --> 00:10:18.372
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

00:10:18.372 --> 00:10:22.755
usá-lo para quebrar a segurança semântico, vamos usá-lo para distinguir

00:10:22.755 --> 00:10:26.987
B algoritmo, vamos ser algoritmo B e este B algoritmo vai usar

00:10:26.987 --> 00:10:31.165
Um algoritmo em sua barriga. Ok então a primeira coisa que vai acontecer é de

00:10:31.165 --> 00:10:35.608
curso o desafiante vai escolher uma chave aleatória. A primeira coisa que vai

00:10:35.608 --> 00:10:39.762
acontecer é que nós precisamos para a saída de duas mensagens. As mensagens que vamos

00:10:39.762 --> 00:10:43.493
para a saída, basicamente, vai ter pedaços significativos de forma diferente. Assim, um

00:10:43.493 --> 00:10:47.727
mensagem vai terminar com zero e uma mensagem vai acabar com um. Agora, o que

00:10:47.727 --> 00:10:51.205
é o adversário vai fazer? O challenger vai nos dar a

00:10:51.205 --> 00:10:55.238
criptografia de qualquer M0 ou M1, dependendo se na experiência 0 ou

00:10:55.238 --> 00:10:59.120
no experimento 1. E então nós apenas transmitir a presente texto cifrado para o adversário

00:10:59.120 --> 00:11:03.871
bem assim o adversário A. Agora, qual é a propriedade de um adversário? Dada a cifra

00:11:03.871 --> 00:11:08.505
texto adversário, A pode nos dizer o que os bits menos significativos do texto simples é.

00:11:08.505 --> 00:11:13.374
Em outras palavras, o adversário vai para a saída dos bits menos significativos de M0 ou M1

00:11:13.374 --> 00:11:17.892
mas baixa e eis que é basicamente o B. bit E então nós somos apenas

00:11:17.892 --> 00:11:23.050
indo para a saída que, como nosso convidado então vamos? s chamar essa coisa B principal Ok então agora este

00:11:23.050 --> 00:11:28.376
descreve o adversário segurança semântica. E agora você me dizer o que é a semântica

00:11:28.376 --> 00:11:33.593
vantagem de segurança deste adversário? Bem, então vamos ver. Em zero experimento, o que é

00:11:33.593 --> 00:11:38.775
a probabilidade de que B gera um adversário? Bem em zero de experiência, é sempre

00:11:38.775 --> 00:11:43.704
dada a criptografia de M zero e, portanto, um adversário sempre é a saída do

00:11:43.704 --> 00:11:48.633
bit menos significativo do M zero, o que sempre acontece de ser zero. No experimento

00:11:48.633 --> 00:11:53.120
zero, B sempre envia zero. Assim, a probabilidade de que produz uma é zero.

00:11:53.120 --> 00:11:57.827
No entanto, em um experimento, estamos dado a criptografia de M1. Então, como é provável

00:11:57.827 --> 00:12:02.783
B adversário para a saída de um experimento em um poço que sempre envia uma, mais uma vez por

00:12:02.783 --> 00:12:07.428
as propriedades de algoritmo A e, por conseguinte, a vantagem é basicamente um.

00:12:07.428 --> 00:12:12.384
Portanto, esta é uma grande vantagem, é tão grande quanto ele vai chegar. O que significa que este

00:12:12.384 --> 00:12:17.091
adversário quebrou completamente o sistema. Ok então nós consideramos, portanto, sob semântica

00:12:17.091 --> 00:12:22.295
segurança, basicamente, apenas deduzir o bit menos significativo é o suficiente para completamente

00:12:22.295 --> 00:12:27.187
quebrar o sistema em uma definição de segurança semântica. Ok, agora o interessante

00:12:27.187 --> 00:12:32.388
coisa aqui, claro, é que este não é apenas sobre o bit menos significativo, em

00:12:32.388 --> 00:12:37.117
fato de a mensagem, por exemplo, o bit mais significativo, você sabe

00:12:37.117 --> 00:12:42.040
bit número sete Talvez o XOR de todos os bits da mensagem e assim por diante

00:12:42.040 --> 00:12:46.552
e assim por diante qualquer tipo de informação, qualquer pouco sobre o texto simples que pode ser

00:12:46.552 --> 00:12:50.814
aprendeu basicamente significa que o sistema não é semanticamente seguro. Assim

00:12:50.814 --> 00:12:55.532
basicamente tudo o que o adversário teria que fazer seria chegar com duas mensagens

00:12:55.532 --> 00:13:00.249
M0 e M1 tal que, sob uma coisa que aprendi é o valor zero e, em seguida,

00:13:00.249 --> 00:13:04.626
coisa a outra, o valor, é um deles. Por exemplo, se um era capaz de aprender a XOR

00:13:04.626 --> 00:13:08.775
bits da mensagem, em seguida, M0 e M1 teria apenas diferente

00:13:08.775 --> 00:13:13.265
XOR para todos os bits de suas mensagens e, em seguida, este seria um adversário

00:13:13.265 --> 00:13:18.174
também ser suficiente para quebrar a segurança semântica. Ok então, basicamente para criptografia

00:13:18.174 --> 00:13:23.203
é semanticamente seguro então nenhum bit de informação é revelada a um

00:13:23.203 --> 00:13:27.392
adversário eficiente. Ok então este é exatamente um conceito de sigilo perfeito só

00:13:27.392 --> 00:13:31.318
aplicada adversários apenas eficientes, em vez de todos os adversários. Assim, a próxima

00:13:31.318 --> 00:13:35.045
coisa que eu quero mostrar é que na verdade o teclado uma vez, de facto, é

00:13:35.045 --> 00:13:38.821
semanticamente seguro, é melhor ser semanticamente seguro porque é de fato,

00:13:38.821 --> 00:13:42.773
é mais do que isso é perfeitamente seguro. Então, vamos ver por que isso é verdade. Bem assim

00:13:42.773 --> 00:13:47.010
de novo, é uma dessas experiências, assim supor que temos um adversário que alega

00:13:47.010 --> 00:13:51.449
para quebrar a segurança semântica do bloco de uma vez. O adversário é o primeiro vai fazer

00:13:51.449 --> 00:13:55.874
é que ele vai de saída duas mensagens M0 e M1 do mesmo comprimento.

00:13:55.874 --> 00:13:59.667
Agora o que ele voltar como um desafio? Como um desafio, ele recebe a criptografia do

00:13:59.667 --> 00:14:03.988
de M0 ou a criptografia de M1 sob a almofada de uma vez.

00:14:03.988 --> 00:14:07.886
E ele está tentando fazer a distinção entre esses dois textos cifrados possíveis que ele recebe, certo?

00:14:07.886 --> 00:14:12.259
No experimento zero, ele recebe a criptografia de M0 e no experimento um, ele recebe o

00:14:12.259 --> 00:14:16.579
criptografia de M1. Bem então deixe-me perguntar-lhe, então qual é a vantagem do adversário

00:14:16.579 --> 00:14:21.297
Um contra a patente tempo um? Então eu me lembro que a propriedade dos que eu

00:14:21.297 --> 00:14:26.208
tinha é que, que K, XOR M0 é distribuído de forma idêntica ao K, XOR M1.

00:14:26.208 --> 00:14:31.187
Em outras palavras, essas distribuições são a distribuição absolutamente idênticos,

00:14:31.187 --> 00:14:36.026
distribuições, idênticos. Esta é uma propriedade do XOR. Se XOR a almofada aleatória

00:14:36.026 --> 00:14:40.674
K com qualquer coisa, seja M0 ou M1, temos uma distribuição uniforme. Assim, em ambos

00:14:40.674 --> 00:14:45.382
casos, algoritmo A é dado como entrada no exactamente a mesma distribuição. Talvez o

00:14:45.382 --> 00:14:50.209
distribuição uniforme em textos cifrados. E, portanto, vai se comportar exatamente o

00:14:50.209 --> 00:14:55.036
mesma em ambos os casos, porque foi dada a distribuição exacta como entrada. E como um

00:14:55.036 --> 00:14:59.699
resultado, a sua vantagem é zero, o que significa que a almofada de uma única vez é semanticamente

00:14:59.723 --> 00:15:04.148
seguro. Agora a coisa interessante aqui não é só é semanticamente seguro, é

00:15:04.148 --> 00:15:08.244
semanticamente seguro para todos os adversários. Nós nem sequer tem que restringir o

00:15:08.244 --> 00:15:12.450
adversários para ser eficiente. Sem adversário, não importa o quão inteligente você é, não

00:15:12.450 --> 00:15:16.875
adversário será capaz de distinguir K XOR M0 a partir de K XOR M1 porque os dois

00:15:16.875 --> 00:15:21.299
distribuições são idênticos. Ok, então o bloco de uma vez é semanticamente seguro. Ok,

00:15:21.299 --> 00:15:25.559
assim que completa a nossa definição de segurança semântico, a próxima coisa que nós estamos

00:15:25.559 --> 00:15:30.093
vai fazer é provar para o PRG seguro, de fato implica que a cifra de fluxo é

00:15:30.093 --> 00:15:31.186
semanticamente seguro.