1 00:00:00,000 --> 00:00:03,911 Моя цель для следующих нескольких сегментов, чтобы показать вам, что если мы используем безопасное PRG, мы будем 2 00:00:03,911 --> 00:00:07,892 получите безопасный поток безопаснее. Первое, что нам нужно сделать, это определить, что делает это 3 00:00:07,892 --> 00:00:11,679 означает для потока, безопаснее быть надежным? Так, всякий раз, когда мы определяем безопасности мы всегда 4 00:00:11,679 --> 00:00:15,174 определение с точки зрения того, что может злоумышленник ду? И то, что злоумышленник 5 00:00:15,174 --> 00:00:18,670 пытаетесь сделать? В контексте потоковых шифров Помните, что они используются только 6 00:00:18,670 --> 00:00:22,737 onetime ключом и в результате наиболее злоумышленник когда-либо увидите является 7 00:00:22,737 --> 00:00:26,754 только один cypher текст, зашифрованный с помощью ключа, который мы используем. И поэтому мы будем 8 00:00:26,754 --> 00:00:30,772 ограничить нападавшие? способность в основном получать только один cypher текста. И в 9 00:00:30,772 --> 00:00:34,641 факт позже мы собираемся позволить злоумышленнику сделать гораздо, гораздо, гораздо больше, но 10 00:00:34,641 --> 00:00:38,460 для теперь мы просто собираюсь дать ему один cypher текст. И мы хотели найти, 11 00:00:38,460 --> 00:00:42,560 что это означает для cypher безопасным? Так что первое определение, 12 00:00:42,560 --> 00:00:46,892 приходит на ум в основном сказать, а может быть мы wanna требуют, чтобы злоумышленник 13 00:00:46,892 --> 00:00:50,718 не удается восстановить фактически секретный ключ. Ладно, так дано зашифрованного текста вам 14 00:00:50,718 --> 00:00:54,609 не должно быть в состоянии восстановить секретный ключ. Но это страшное определения 15 00:00:54,609 --> 00:00:58,717 потому что думать о падающих блестящий шифр но, как мы шифровать 16 00:00:58,717 --> 00:01:02,855 сообщение с использованием ключа K является в основном мы просто вывести сообщение. Ладно это 17 00:01:02,855 --> 00:01:07,427 Это блестящий шифр да, конечно, это не что-нибудь, учитывая сообщение просто 18 00:01:07,427 --> 00:01:12,000 вывести сообщение как зашифрованного текста. Это не особенно хорошее шифрование 19 00:01:12,000 --> 00:01:16,029 Схема; Однако учитывая зашифрованного текста, главным образом сообщение бедных злоумышленник 20 00:01:16,029 --> 00:01:20,493 нельзя восстановить ключ, потому что он не знает, что это ключ. И так как результат 21 00:01:20,493 --> 00:01:24,630 Этот шифр, который явно является небезопасной, будет считаться безопасным по этому 22 00:01:24,793 --> 00:01:28,636 требования безопасности. Так что это определение будет не хорошо. О ' кей поэтому он имеет 23 00:01:28,636 --> 00:01:32,317 восстановление секретный ключ — неправильный путь для определения настроек безопасности. Так что следующее, что мы 24 00:01:32,317 --> 00:01:35,999 может любопытное попытка является в основном просто сказать, ну, может быть, злоумышленник не заботится о 25 00:01:35,999 --> 00:01:39,680 секретный ключ, то, что он действительно заботится о представляют собой обычный текст. Поэтому, возможно, она должна быть 26 00:01:39,680 --> 00:01:43,518 жесткий злоумышленнику восстановить весь обычный текст. Но даже это не 27 00:01:43,518 --> 00:01:48,223 работать, потому что давайте думать о следующей схемы шифрования. Предположим, так 28 00:01:48,223 --> 00:01:53,436 Эта схема шифрования делает это, он принимает два сообщения, поэтому я собираюсь использовать два 29 00:01:53,436 --> 00:01:58,014 линии для обозначения объединения двух сообщений M0 линии, линия M1 средства 30 00:01:58,014 --> 00:02:03,100 СЦЕПИТЬ M0 и M1. И представьте, что схема делает это действительно выходы 31 00:02:03,100 --> 00:02:08,060 M0 в ясной и объединять что шифрования M1. Возможно, даже 32 00:02:08,060 --> 00:02:13,337 использование одной подушечкой раз все в порядке? И поэтому здесь злоумышленник является собираешься быть присвоен один 33 00:02:13,337 --> 00:02:17,478 зашифрованный текст. И его целью будет восстановить весь мультифункциональной. Но 34 00:02:17,478 --> 00:02:21,702 бедные злоумышленник не может сделать этого, потому что здесь, возможно мы зашифрованы M1 с использованием один 35 00:02:21,702 --> 00:02:25,872 Раз Pad, поэтому злоумышленник не может восстановить фактически M1, потому что мы знаем 36 00:02:25,872 --> 00:02:30,043 Один раз Pad является безопасным, учитывая только один зашифрованный текст. Так что это строительство 37 00:02:30,043 --> 00:02:34,055 отвечали бы определение, но к сожалению явно это не безопасный 38 00:02:34,055 --> 00:02:37,962 Схема шифрования потому, что мы просто утечка половину обычного текста. M0 — 39 00:02:37,962 --> 00:02:42,185 полностью доступных злоумышленнику таким образом, даже хотя он не может восстановить в все 40 00:02:42,185 --> 00:02:46,462 обычный текст он может быть в состоянии восстановить большую часть в виде обычного текста, и это явно 41 00:02:46,462 --> 00:02:50,658 Необеспеченные. Поэтому, конечно, мы уже знаем решение, к этому и мы говорили о 42 00:02:50,658 --> 00:02:54,747 Шэнон определение безопасности perfect тайны, где идея Шеннона был в 43 00:02:54,747 --> 00:02:58,835 тот факт, когда злоумышленник перехватывает зашифрованный текст, он должен учиться абсолютно no 44 00:02:58,835 --> 00:03:02,818 Информация о равнина текстов. Он не должен даже узнать один бит 45 00:03:02,818 --> 00:03:07,221 обычный текст или даже он не должны узнать, он даже не должны быть в состоянии предсказать, немного 46 00:03:07,221 --> 00:03:11,205 бит о торгах в виде обычного текста. Абсолютно никакой информации о обычного текста. 47 00:03:11,205 --> 00:03:14,926 Так что давайте очень кратко напомнить Шеннона концепции безопасной PFS 48 00:03:14,926 --> 00:03:19,442 в основном мы сказали, что вы знаете учитывая шифра, мы сказали, что шифр совершенный 49 00:03:19,442 --> 00:03:25,069 тайны если дано два сообщения с той же длины так случается, что распределение 50 00:03:25,069 --> 00:03:30,167 шифр текстов. Но если мы выбираем случайный ключ и мы смотреть на распределение 51 00:03:30,167 --> 00:03:34,838 шифр тексты, мы шифровать M0, мы получим точно такое же распределение, когда мы 52 00:03:34,838 --> 00:03:39,257 Шифруйте M1. Интуиция здесь был, что если Консультативного наблюдает шифра тексты 53 00:03:39,257 --> 00:03:43,839 Тогда он не знает ли он пришел от распределения в результате шифрования 54 00:03:43,839 --> 00:03:48,203 M0 или он пришел от распределения в результате шифрования M1. И, как 55 00:03:48,203 --> 00:03:52,513 результат, он не может сказать ли мы зашифрованным M0 или M1. И это верно для всех 56 00:03:52,513 --> 00:03:56,877 сообщения из той же длины и, как следствие плохой злоумышленник не знает, действительно 57 00:03:56,877 --> 00:04:01,212 какое сообщение зашифровано. Конечно, мы уже говорили, что это определение является слишком 58 00:04:01,212 --> 00:04:05,400 сильный в том смысле, что он требует очень длинные ключи, если шифр имеет короткие 59 00:04:05,400 --> 00:04:09,535 ключи не могут удовлетворить возможно это определение в частности потоковых шифров 60 00:04:09,535 --> 00:04:14,328 может удовлетворить это определение. Ладно, так что давайте попробуем немного ослабить определение 61 00:04:14,328 --> 00:04:19,114 и давайте думать для предыдущего сегмента, и мы можем сказать, что вместо требования 62 00:04:19,114 --> 00:04:23,841 двух распределений быть абсолютно идентичными, то, что мы можем потребовать, является то, что 63 00:04:23,841 --> 00:04:28,686 двух распределений просто быть вычислительно неразличимы. Другими словами бедных, 64 00:04:28,863 --> 00:04:33,353 эффективное злоумышленник не может отличить двух распределений хотя 65 00:04:33,353 --> 00:04:37,815 дистрибутивы могут отличаться очень, очень, очень. Что просто пример для 66 00:04:37,815 --> 00:04:42,580 один распределения и образца для другой дистрибутив злоумышленник не может сказать 67 00:04:42,580 --> 00:04:47,120 распространение он получил образец из. Оказывается, это определение является на самом деле 68 00:04:47,120 --> 00:04:51,716 почти сразу, но она все еще немного слишком сильным, что до сих пор не могут быть удовлетворены, так 69 00:04:51,716 --> 00:04:56,200 Мы должны добавить еще одно ограничение, и что, что вместо того чтобы сказать что это 70 00:04:56,200 --> 00:05:00,797 определение должно иметь справедливы для всех M0 и M1. Это провести для только пары M0 M1 71 00:05:00,797 --> 00:05:05,208 что нападавшие могли фактически экспонат. Хорошо, так что это на самом деле 72 00:05:05,208 --> 00:05:10,038 приводит нас к определению семантики безопасности. И поэтому, опять же это семантика 73 00:05:10,038 --> 00:05:15,050 безопасность для один раз, зашифрованный ключ, другими словами когда злоумышленник является только данного 74 00:05:15,050 --> 00:05:19,819 текст. И это путь, мы определяем семантической безопасности путем определения двух экспериментов, 75 00:05:19,819 --> 00:05:24,562 Ладно мы определить эксперимент 0 и эксперимент 1. И вообще мы будем 76 00:05:24,562 --> 00:05:29,230 Думайте о них, как экспериментов скобки B, где B может быть ноль или один. Хорошо, так что 77 00:05:29,230 --> 00:05:32,890 путь, эксперимент определяется следующим, у нас есть противника это 78 00:05:32,890 --> 00:05:37,161 пытаясь сломать систему. Противник A, что любопытное аналог статистической 79 00:05:37,161 --> 00:05:41,279 тесты в мире псевдо случайных генераторов. А затем делает challenger 80 00:05:41,279 --> 00:05:45,093 следующее, так что действительно у нас есть два претендентов, но претенденты настолько 81 00:05:45,093 --> 00:05:49,414 аналогичные, что мы можем просто описать их как единый претендент, что в одном случае принимает 82 00:05:49,414 --> 00:05:53,634 его входов биты равным нулю, и другой случай принимает его входов, бит со значением 83 00:05:53,634 --> 00:05:57,193 один. И позвольте мне показать вам, что делать эти претенденты. Первое, что 84 00:05:57,193 --> 00:06:01,349 Челленджер собираешься сделать это является собираешься выбрать случайный ключ, а затем противника 85 00:06:01,349 --> 00:06:06,076 в основном собирается вывести два сообщения M0 и M1. Хорошо, так это явный 86 00:06:06,076 --> 00:06:11,039 пара сообщений, которые злоумышленник хочет быть оспорены на и как обычно мы не 87 00:06:11,039 --> 00:06:15,766 пытаясь скрыть длину сообщений, мы требуем что сообщения равно 88 00:06:15,766 --> 00:06:21,643 Длина. А затем challenger в основном будет шифрования M0 89 00:06:21,643 --> 00:06:25,890 или шифрования M1, ладно, так в эксперименте 0 challenger выведет 90 00:06:25,890 --> 00:06:30,301 Шифрование M0. В эксперименте 1 претендент будет выводить шифрования 91 00:06:30,301 --> 00:06:34,385 М1. Ладно, так что разница между двумя экспериментов. И затем 92 00:06:34,385 --> 00:06:38,796 противник пытается угадать в основном ли ему шифрования M0 93 00:06:38,796 --> 00:06:44,051 или шифрования M1. Хорошо, так вот немного нотации Давайте 94 00:06:44,051 --> 00:06:50,260 Определите события ВБ быть события, что эксперимент B противника вывода один. 95 00:06:50,260 --> 00:06:55,084 Хорошо, так что это просто событие, что в основном в эксперименте нулевой W0 означает, что 96 00:06:55,084 --> 00:07:00,342 противник вывести один, а в эксперименте, один W1 означает противника один. И 97 00:07:00,342 --> 00:07:05,291 Теперь мы можем определить преимущества этого противника, в основном сказать, что это 98 00:07:05,291 --> 00:07:10,425 под названием семантика безопасности преимущество противника A против схемы E, 99 00:07:10,425 --> 00:07:15,497 чтобы быть разница вероятности этих двух событий. Другими словами мы находимся 100 00:07:15,497 --> 00:07:20,136 Глядя на ли противник действует по-разному, когда ему 101 00:07:20,136 --> 00:07:24,818 Шифрование M0 от когда ему шифрования M1. И я хочу сделать 102 00:07:24,818 --> 00:07:29,201 Конечно, это ясно, так что я собираюсь сказать это еще один раз. Так что в эксперимент ноль, он был 103 00:07:29,201 --> 00:07:33,530 Учитывая шифрования M0 и в эксперименте, один он получил шифрования 104 00:07:33,530 --> 00:07:37,700 М1. Теперь мы просто заинтересованы в ли противника вывода 1 или нет. 105 00:07:37,700 --> 00:07:42,356 ... В этих экспериментах. Если в обоих экспериментах, противник вывода 1 с 106 00:07:42,356 --> 00:07:47,013 же вероятность того, что означает противника не смог отличить 107 00:07:47,013 --> 00:07:51,549 два эксперимента. Эксперименты ноль, в основном выглядит противника же 108 00:07:51,549 --> 00:07:56,206 как эксперимент один, потому что в обоих случаях загрузить один с одинаковой вероятностью. 109 00:07:56,206 --> 00:08:01,286 Однако если противник имеет возможность вывода 1 в одном эксперименте с значительно 110 00:08:01,286 --> 00:08:05,761 различные вероятности чем в другой эксперимент, то противник был 111 00:08:05,761 --> 00:08:10,266 фактически в состоянии отличить двух экспериментов. Хорошо так... Говорить об этом больше 112 00:08:10,266 --> 00:08:14,455 формально по существу преимущество снова потому что это различие двух 113 00:08:14,455 --> 00:08:18,918 вероятностей преимущество это число между 0 и 1. Если преимущество 114 00:08:18,918 --> 00:08:22,886 близка к нулю, что означает, что противник был не в состоянии отличить 115 00:08:22,886 --> 00:08:27,129 эксперимент ноль от эксперимента, один. Однако если преимущество близко к одной, 116 00:08:27,129 --> 00:08:31,538 Это означает, что противник был очень хорошо различать эксперимент ноль от 117 00:08:31,538 --> 00:08:36,112 эксперимент один и что действительно означает, что он был в состоянии отличить шифрования 118 00:08:36,112 --> 00:08:40,299 от M0 от шифрования M1 Ладно?Так что это определение. На самом деле 119 00:08:40,299 --> 00:08:44,055 Это просто определение преимущество и определение является только то, что 120 00:08:44,055 --> 00:08:47,714 Вы ожидаете в основном, что мы будем говорить, что схема симметричного шифрования 121 00:08:47,714 --> 00:08:52,346 семантически обеспечить, если для всех эффективных противников здесь я положил их в кавычки 122 00:08:52,346 --> 00:08:56,932 Опять же «для всех эффективных противников преимуществом является незначительным.» Другими словами, 123 00:08:56,982 --> 00:09:01,808 нет эффективного противника можно отличить от шифрования Шифрование M0 124 00:09:01,808 --> 00:09:06,103 M1, и в основном это то, что он неоднократно говорит что для этих двух 125 00:09:06,103 --> 00:09:10,759 сообщения, которые противник смог выставить он не смог отличить 126 00:09:10,759 --> 00:09:15,064 Эти два дистрибутивы. Теперь я хочу показать вам это, на самом деле это очень 127 00:09:15,064 --> 00:09:19,595 элегантные определение. Это может показаться не так сразу, но я хочу показать вам некоторые 128 00:09:19,595 --> 00:09:24,410 последствия этого определения, и вы увидите, почему определение именно путь 129 00:09:24,410 --> 00:09:28,601 это. Ладно, так что давайте рассмотрим несколько примеров. Поэтому первый пример Предположим 130 00:09:28,601 --> 00:09:33,190 у нас есть сломанной шифрование схему, иными словами Предположим, что у нас есть противник a 131 00:09:33,190 --> 00:09:38,285 что-то зашифрованного текста он способен всегда выводят наименее 132 00:09:38,285 --> 00:09:44,149 значащий бит в виде обычного текста. Ладно так учитывая шифрования M0, этот противник 133 00:09:44,149 --> 00:09:48,799 способен вывести наименее значимых бит M0. Так что это страшное 134 00:09:48,799 --> 00:09:52,911 шифрование схему потому что он в основном утечек наименее значимых бит 135 00:09:52,911 --> 00:09:57,128 обычный текст, только что зашифрованный текст. Поэтому я хочу показать вам, что эта схема является 136 00:09:57,128 --> 00:10:01,609 Поэтому семантически безопасных так что вроде показывает, что если система является семантически 137 00:10:01,609 --> 00:10:05,931 безопасный чем нет никакой злоумышленник этого типа. Ладно, так что давайте посмотрим, почему это система 138 00:10:05,931 --> 00:10:10,254 семантически небезопасно, хорошо, так что мы собираешься делать это мы 're gonna основном использовать 139 00:10:10,254 --> 00:10:14,366 Наш противник, который имеет возможность узнать наши самые незначительные биты, мы собираемся 140 00:10:14,366 --> 00:10:18,372 Используйте его сломать семантической безопасности, поэтому мы будем использовать его чтобы отличить 141 00:10:18,372 --> 00:10:22,755 эксперимент zero из эксперимента, один хорошо так что здесь является то, что мы собираемся делать. Мы находимся 142 00:10:22,755 --> 00:10:26,987 алгоритм B, мы собираемся быть алгоритм B и B собирается использовать алгоритм 143 00:10:26,987 --> 00:10:31,165 алгоритм A в его живот. Итак, первое, это будет происходить в 144 00:10:31,165 --> 00:10:35,608 курс challenger собирается выбрать случайный ключ. Первое, это происходит 145 00:10:35,608 --> 00:10:39,762 произойдет это, что нам нужно вывести два сообщения. Сообщения, которые мы собираемся 146 00:10:39,762 --> 00:10:43,493 для вывода в основном собираются иметь по-разному значащих бит. Таким образом, одна 147 00:10:43,493 --> 00:10:47,727 сообщение идет до конца с нуля и одно сообщение идет до конца с одним. Теперь то, что 148 00:10:47,727 --> 00:10:51,205 challenger собирается делать? Challenger собирается дать нам 149 00:10:51,205 --> 00:10:55,238 шифрование или M0, M1, в зависимости от ли в эксперимент 0 или 150 00:10:55,238 --> 00:10:59,120 в эксперименте 1. И затем мы просто направить этот зашифрованный текст противника 151 00:10:59,120 --> 00:11:03,871 Ладно так противника а. Теперь, что является собственностью противника A? Учитывая шифра 152 00:11:03,871 --> 00:11:08,505 текст, противник A может сказать нам что наименее значимых битов в виде обычного текста. 153 00:11:08,505 --> 00:11:13,374 Другими словами противника собирается вывести наименее значимых битов M0 или M1 154 00:11:13,374 --> 00:11:17,892 но низкий, и вот это в основном бит б. И тогда мы просто 155 00:11:17,892 --> 00:11:23,050 собирается вывода, что, как наш гость, так пусть? s назвать эту вещь B премьер хорошо так что теперь это 156 00:11:23,050 --> 00:11:28,376 Описывает семантической безопасности противника. И теперь вы скажите мне, что такое семантическая 157 00:11:28,376 --> 00:11:33,593 преимущество безопасности этого противника? Ну так давайте посмотрим. В эксперименте нулю что такое 158 00:11:33,593 --> 00:11:38,775 вероятность того, что противник B выводит один? Хорошо в эксперимент нулевой, это всегда 159 00:11:38,775 --> 00:11:43,704 Учитывая шифрования M нулю и, следовательно, противник всегда выводится A 160 00:11:43,704 --> 00:11:48,633 наименее значимых бит M нулевой который всегда бывает равным нулю. В эксперименте 161 00:11:48,633 --> 00:11:53,120 ноль, B всегда выводит ноль. Поэтому вероятность того, что выводит один равен нулю. 162 00:11:53,120 --> 00:11:57,827 Однако в эксперименте, один, мы дали шифрования M1. Так как вероятно 163 00:11:57,827 --> 00:12:02,783 противник B для вывода одного в эксперименте один хорошо он всегда выводит один, снова 164 00:12:02,783 --> 00:12:07,428 свойства алгоритма A и, следовательно, преимущество в основном является одним. 165 00:12:07,428 --> 00:12:12,384 Так что это огромное преимущество, это как большой, как это собираешься получить. Это означает, что это 166 00:12:12,384 --> 00:12:17,091 противник полностью сломал системы. Итак мы рассматриваем, так под семантической 167 00:12:17,091 --> 00:12:22,295 безопасности, в основном просто выведение наименее значимых бит вполне достаточно, чтобы 168 00:12:22,295 --> 00:12:27,187 перерыв системы под определение семантического безопасности. Ладно теперь интересные 169 00:12:27,187 --> 00:12:32,388 Здесь конечно же заключается в том, что это не просто о наименее значимых бит, в 170 00:12:32,388 --> 00:12:37,117 факт сообщения например значащий бит, вы знаете 171 00:12:37,117 --> 00:12:42,040 бит число семь возможно XOR всех битов в сообщении и так далее 172 00:12:42,040 --> 00:12:46,552 и так далее какой-либо информации, любой бит о обычного текста, они могут быть 173 00:12:46,552 --> 00:12:50,814 узнал в основном, будет означать, что система не является семантически secure. Так 174 00:12:50,814 --> 00:12:55,532 в основном все, что противник будет нужно сделать бы придумать два сообщения 175 00:12:55,532 --> 00:13:00,249 M0 и М1, такие что под одну вещь что они узнали, что он является значение ноль и затем 176 00:13:00,249 --> 00:13:04,626 Другая вещь, значение, это один. Так например, если A смог узнать XOR 177 00:13:04,626 --> 00:13:08,775 бит сообщения затем M0 и M1 будет просто имеют различные 178 00:13:08,775 --> 00:13:13,265 XOR для всех битов их сообщений, и затем этот противник A будет 179 00:13:13,265 --> 00:13:18,174 также быть достаточно сломать семантической безопасности. Так, в основном хорошо для шифра 180 00:13:18,174 --> 00:13:23,203 семантически безопасна, то раскрывается не бит информации 181 00:13:23,203 --> 00:13:27,392 эффективное противника. Хорошо, так это именно концепция совершенной тайне только 182 00:13:27,392 --> 00:13:31,318 применяется только эффективным противников, вместо того, чтобы все противников. Так что следующий 183 00:13:31,318 --> 00:13:35,045 вещь, которую я хочу показать вам это фактически один раз pad фактически является 184 00:13:35,045 --> 00:13:38,821 семантически безопасным, они лучше быть семантически безопасных потому что это в самом деле, 185 00:13:38,821 --> 00:13:42,773 Это больше, чем, что это совершенно безопасным. Итак, давайте посмотрим, почему это правда. Ну так 186 00:13:42,773 --> 00:13:47,010 Опять же, это один из этих экспериментов, так, предположим, что у нас есть противника, что претензии 187 00:13:47,010 --> 00:13:51,449 сломать семантической безопасности один раз pad. Первый, собираешься сделать противника 188 00:13:51,449 --> 00:13:55,874 Это он собираешься выводятся два сообщения M0 и M1 той же длины. 189 00:13:55,874 --> 00:13:59,667 Теперь то, что он получает обратно, как вызов? Как вызов он получает либо шифрования 190 00:13:59,667 --> 00:14:03,988 M0 или шифрования M1 под одно время pad. 191 00:14:03,988 --> 00:14:07,886 И он пытается различать эти два возможных шифр тексты, которые он получает, право? 192 00:14:07,886 --> 00:14:12,259 В эксперименте нулю, он получает шифрования M0 и в эксперименте, один, он получает 193 00:14:12,259 --> 00:14:16,579 Шифрование M1. Ну так позвольте мне спросить вас, что такое преимущество противника 194 00:14:16,579 --> 00:14:21,297 A против один раз патент? Так что я помню, что свойство те I 195 00:14:21,297 --> 00:14:26,208 имел это что, что K, XOR M0 распространяется одинаково к K, XOR M1. 196 00:14:26,208 --> 00:14:31,187 Другими словами эти дистрибутивы являются абсолютно идентичными распределения, 197 00:14:31,187 --> 00:14:36,026 дистрибутивов, идентичны. Это свойство XOR. Если мы XOR случайных pad 198 00:14:36,026 --> 00:14:40,674 K ни с чем, M0 или M1, мы получаем равномерное распределение. Так как в 199 00:14:40,674 --> 00:14:45,382 случаях, алгоритм A дается как вклад точно такое же распределение. Может быть 200 00:14:45,382 --> 00:14:50,209 равномерное распределение по текстам шифра. И поэтому он является собираешься себя точно 201 00:14:50,209 --> 00:14:55,036 же в обоих случаях, потому что оно было дано точное распределение в качестве входных данных. И, как 202 00:14:55,036 --> 00:14:59,699 результат, его преимущество равен нулю, что означает, что бывший pad является семантически 203 00:14:59,723 --> 00:15:04,148 безопасный. Теперь самое интересное здесь, это не только семантически безопасным, это 204 00:15:04,148 --> 00:15:08,244 семантически безопасный для всех противников. Мы даже не ограничивать 205 00:15:08,244 --> 00:15:12,450 Противники эффективным. Не противник, неважно, как вы умны, нет 206 00:15:12,450 --> 00:15:16,875 противник сможет отличить K XOR M0 от K XOR M1, потому что два 207 00:15:16,875 --> 00:15:21,299 Дистрибутивы являются идентичными. Ладно так один раз pad является семантически безопасный. Ладно, 208 00:15:21,299 --> 00:15:25,559 так что завершает нашего определения семантической безопасности, так что следующее, что мы 209 00:15:25,559 --> 00:15:30,093 доказать собирается сделать для безопасных PRG, фактически подразумевает, что поточный шифр 210 00:15:30,093 --> 00:15:31,186 семантически безопасный.