[Script Info]
Title: 
[Events]
Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text
Dialogue: 0,0:00:00.00,0:00:03.91,Default,,0000,0000,0000,,Моя цель для следующих нескольких сегментов, чтобы показать вам, что если мы используем безопасное PRG, мы будем
Dialogue: 0,0:00:03.91,0:00:07.89,Default,,0000,0000,0000,,получите безопасный поток безопаснее. Первое, что нам нужно сделать, это определить, что делает это
Dialogue: 0,0:00:07.89,0:00:11.68,Default,,0000,0000,0000,,означает для потока, безопаснее быть надежным? Так, всякий раз, когда мы определяем безопасности мы всегда
Dialogue: 0,0:00:11.68,0:00:15.17,Default,,0000,0000,0000,,определение с точки зрения того, что может злоумышленник ду? И то, что злоумышленник
Dialogue: 0,0:00:15.17,0:00:18.67,Default,,0000,0000,0000,,пытаетесь сделать? В контексте потоковых шифров Помните, что они используются только
Dialogue: 0,0:00:18.67,0:00:22.74,Default,,0000,0000,0000,,onetime ключом и в результате наиболее злоумышленник когда-либо увидите является
Dialogue: 0,0:00:22.74,0:00:26.75,Default,,0000,0000,0000,,только один cypher текст, зашифрованный с помощью ключа, который мы используем. И поэтому мы будем
Dialogue: 0,0:00:26.75,0:00:30.77,Default,,0000,0000,0000,,ограничить нападавшие? способность в основном получать только один cypher текста. И в
Dialogue: 0,0:00:30.77,0:00:34.64,Default,,0000,0000,0000,,факт позже мы собираемся позволить злоумышленнику сделать гораздо, гораздо, гораздо больше, но
Dialogue: 0,0:00:34.64,0:00:38.46,Default,,0000,0000,0000,,для теперь мы просто собираюсь дать ему один cypher текст. И мы хотели найти,
Dialogue: 0,0:00:38.46,0:00:42.56,Default,,0000,0000,0000,,что это означает для cypher безопасным? Так что первое определение,
Dialogue: 0,0:00:42.56,0:00:46.89,Default,,0000,0000,0000,,приходит на ум в основном сказать, а может быть мы wanna требуют, чтобы злоумышленник
Dialogue: 0,0:00:46.89,0:00:50.72,Default,,0000,0000,0000,,не удается восстановить фактически секретный ключ.\NЛадно, так дано зашифрованного текста вам
Dialogue: 0,0:00:50.72,0:00:54.61,Default,,0000,0000,0000,,не должно быть в состоянии восстановить секретный ключ. Но это страшное определения
Dialogue: 0,0:00:54.61,0:00:58.72,Default,,0000,0000,0000,,потому что думать о падающих блестящий шифр но, как мы шифровать
Dialogue: 0,0:00:58.72,0:01:02.86,Default,,0000,0000,0000,,сообщение с использованием ключа K является в основном мы просто вывести сообщение. Ладно это
Dialogue: 0,0:01:02.86,0:01:07.43,Default,,0000,0000,0000,,Это блестящий шифр да, конечно, это не что-нибудь, учитывая сообщение просто
Dialogue: 0,0:01:07.43,0:01:12.00,Default,,0000,0000,0000,,вывести сообщение как зашифрованного текста.\NЭто не особенно хорошее шифрование
Dialogue: 0,0:01:12.00,0:01:16.03,Default,,0000,0000,0000,,Схема; Однако учитывая зашифрованного текста, главным образом сообщение бедных злоумышленник
Dialogue: 0,0:01:16.03,0:01:20.49,Default,,0000,0000,0000,,нельзя восстановить ключ, потому что он не знает, что это ключ. И так как результат
Dialogue: 0,0:01:20.49,0:01:24.63,Default,,0000,0000,0000,,Этот шифр, который явно является небезопасной, будет считаться безопасным по этому
Dialogue: 0,0:01:24.79,0:01:28.64,Default,,0000,0000,0000,,требования безопасности. Так что это определение будет не хорошо. О ' кей поэтому он имеет
Dialogue: 0,0:01:28.64,0:01:32.32,Default,,0000,0000,0000,,восстановление секретный ключ — неправильный путь для определения настроек безопасности. Так что следующее, что мы
Dialogue: 0,0:01:32.32,0:01:35.100,Default,,0000,0000,0000,,может любопытное попытка является в основном просто сказать, ну, может быть, злоумышленник не заботится о
Dialogue: 0,0:01:35.100,0:01:39.68,Default,,0000,0000,0000,,секретный ключ, то, что он действительно заботится о представляют собой обычный текст. Поэтому, возможно, она должна быть
Dialogue: 0,0:01:39.68,0:01:43.52,Default,,0000,0000,0000,,жесткий злоумышленнику восстановить весь обычный текст. Но даже это не
Dialogue: 0,0:01:43.52,0:01:48.22,Default,,0000,0000,0000,,работать, потому что давайте думать о следующей схемы шифрования. Предположим, так
Dialogue: 0,0:01:48.22,0:01:53.44,Default,,0000,0000,0000,,Эта схема шифрования делает это, он принимает два сообщения, поэтому я собираюсь использовать два
Dialogue: 0,0:01:53.44,0:01:58.01,Default,,0000,0000,0000,,линии для обозначения объединения двух сообщений M0 линии, линия M1 средства
Dialogue: 0,0:01:58.01,0:02:03.10,Default,,0000,0000,0000,,СЦЕПИТЬ M0 и M1. И представьте, что схема делает это действительно выходы
Dialogue: 0,0:02:03.10,0:02:08.06,Default,,0000,0000,0000,,M0 в ясной и объединять что шифрования M1. Возможно, даже
Dialogue: 0,0:02:08.06,0:02:13.34,Default,,0000,0000,0000,,использование одной подушечкой раз все в порядке? И поэтому здесь злоумышленник является собираешься быть присвоен один
Dialogue: 0,0:02:13.34,0:02:17.48,Default,,0000,0000,0000,,зашифрованный текст. И его целью будет восстановить весь мультифункциональной. Но
Dialogue: 0,0:02:17.48,0:02:21.70,Default,,0000,0000,0000,,бедные злоумышленник не может сделать этого, потому что здесь, возможно мы зашифрованы M1 с использованием один
Dialogue: 0,0:02:21.70,0:02:25.87,Default,,0000,0000,0000,,Раз Pad, поэтому злоумышленник не может восстановить фактически M1, потому что мы знаем
Dialogue: 0,0:02:25.87,0:02:30.04,Default,,0000,0000,0000,,Один раз Pad является безопасным, учитывая только один зашифрованный текст. Так что это строительство
Dialogue: 0,0:02:30.04,0:02:34.06,Default,,0000,0000,0000,,отвечали бы определение, но к сожалению явно это не безопасный
Dialogue: 0,0:02:34.06,0:02:37.96,Default,,0000,0000,0000,,Схема шифрования потому, что мы просто утечка половину обычного текста. M0 —
Dialogue: 0,0:02:37.96,0:02:42.18,Default,,0000,0000,0000,,полностью доступных злоумышленнику таким образом, даже хотя он не может восстановить в все
Dialogue: 0,0:02:42.18,0:02:46.46,Default,,0000,0000,0000,,обычный текст он может быть в состоянии восстановить большую часть в виде обычного текста, и это явно
Dialogue: 0,0:02:46.46,0:02:50.66,Default,,0000,0000,0000,,Необеспеченные. Поэтому, конечно, мы уже знаем решение, к этому и мы говорили о
Dialogue: 0,0:02:50.66,0:02:54.75,Default,,0000,0000,0000,,Шэнон определение безопасности perfect тайны, где идея Шеннона был в
Dialogue: 0,0:02:54.75,0:02:58.84,Default,,0000,0000,0000,,тот факт, когда злоумышленник перехватывает зашифрованный текст, он должен учиться абсолютно no
Dialogue: 0,0:02:58.84,0:03:02.82,Default,,0000,0000,0000,,Информация о равнина текстов. Он не должен даже узнать один бит
Dialogue: 0,0:03:02.82,0:03:07.22,Default,,0000,0000,0000,,обычный текст или даже он не должны узнать, он даже не должны быть в состоянии предсказать, немного
Dialogue: 0,0:03:07.22,0:03:11.20,Default,,0000,0000,0000,,бит о торгах в виде обычного текста.\NАбсолютно никакой информации о обычного текста.
Dialogue: 0,0:03:11.20,0:03:14.93,Default,,0000,0000,0000,,Так что давайте очень кратко напомнить Шеннона концепции безопасной PFS
Dialogue: 0,0:03:14.93,0:03:19.44,Default,,0000,0000,0000,,в основном мы сказали, что вы знаете учитывая шифра, мы сказали, что шифр совершенный
Dialogue: 0,0:03:19.44,0:03:25.07,Default,,0000,0000,0000,,тайны если дано два сообщения с той же длины так случается, что распределение
Dialogue: 0,0:03:25.07,0:03:30.17,Default,,0000,0000,0000,,шифр текстов. Но если мы выбираем случайный ключ и мы смотреть на распределение
Dialogue: 0,0:03:30.17,0:03:34.84,Default,,0000,0000,0000,,шифр тексты, мы шифровать M0, мы получим точно такое же распределение, когда мы
Dialogue: 0,0:03:34.84,0:03:39.26,Default,,0000,0000,0000,,Шифруйте M1. Интуиция здесь был, что если Консультативного наблюдает шифра тексты
Dialogue: 0,0:03:39.26,0:03:43.84,Default,,0000,0000,0000,,Тогда он не знает ли он пришел от распределения в результате шифрования
Dialogue: 0,0:03:43.84,0:03:48.20,Default,,0000,0000,0000,,M0 или он пришел от распределения в результате шифрования M1. И, как
Dialogue: 0,0:03:48.20,0:03:52.51,Default,,0000,0000,0000,,результат, он не может сказать ли мы зашифрованным M0 или M1. И это верно для всех
Dialogue: 0,0:03:52.51,0:03:56.88,Default,,0000,0000,0000,,сообщения из той же длины и, как следствие плохой злоумышленник не знает, действительно
Dialogue: 0,0:03:56.88,0:04:01.21,Default,,0000,0000,0000,,какое сообщение зашифровано. Конечно, мы уже говорили, что это определение является слишком
Dialogue: 0,0:04:01.21,0:04:05.40,Default,,0000,0000,0000,,сильный в том смысле, что он требует очень длинные ключи, если шифр имеет короткие
Dialogue: 0,0:04:05.40,0:04:09.54,Default,,0000,0000,0000,,ключи не могут удовлетворить возможно это определение в частности потоковых шифров
Dialogue: 0,0:04:09.54,0:04:14.33,Default,,0000,0000,0000,,может удовлетворить это определение. Ладно, так что давайте попробуем немного ослабить определение
Dialogue: 0,0:04:14.33,0:04:19.11,Default,,0000,0000,0000,,и давайте думать для предыдущего сегмента, и мы можем сказать, что вместо требования
Dialogue: 0,0:04:19.11,0:04:23.84,Default,,0000,0000,0000,,двух распределений быть абсолютно идентичными, то, что мы можем потребовать, является то, что
Dialogue: 0,0:04:23.84,0:04:28.69,Default,,0000,0000,0000,,двух распределений просто быть вычислительно неразличимы. Другими словами бедных,
Dialogue: 0,0:04:28.86,0:04:33.35,Default,,0000,0000,0000,,эффективное злоумышленник не может отличить двух распределений хотя
Dialogue: 0,0:04:33.35,0:04:37.82,Default,,0000,0000,0000,,дистрибутивы могут отличаться очень, очень, очень. Что просто пример для
Dialogue: 0,0:04:37.82,0:04:42.58,Default,,0000,0000,0000,,один распределения и образца для другой дистрибутив злоумышленник не может сказать
Dialogue: 0,0:04:42.58,0:04:47.12,Default,,0000,0000,0000,,распространение он получил образец из.\NОказывается, это определение является на самом деле
Dialogue: 0,0:04:47.12,0:04:51.72,Default,,0000,0000,0000,,почти сразу, но она все еще немного слишком сильным, что до сих пор не могут быть удовлетворены, так
Dialogue: 0,0:04:51.72,0:04:56.20,Default,,0000,0000,0000,,Мы должны добавить еще одно ограничение, и что, что вместо того чтобы сказать что это
Dialogue: 0,0:04:56.20,0:05:00.80,Default,,0000,0000,0000,,определение должно иметь справедливы для всех M0 и M1. Это провести для только пары M0 M1
Dialogue: 0,0:05:00.80,0:05:05.21,Default,,0000,0000,0000,,что нападавшие могли фактически экспонат. Хорошо, так что это на самом деле
Dialogue: 0,0:05:05.21,0:05:10.04,Default,,0000,0000,0000,,приводит нас к определению семантики безопасности. И поэтому, опять же это семантика
Dialogue: 0,0:05:10.04,0:05:15.05,Default,,0000,0000,0000,,безопасность для один раз, зашифрованный ключ, другими словами когда злоумышленник является только данного
Dialogue: 0,0:05:15.05,0:05:19.82,Default,,0000,0000,0000,,текст. И это путь, мы определяем семантической безопасности путем определения двух экспериментов,
Dialogue: 0,0:05:19.82,0:05:24.56,Default,,0000,0000,0000,,Ладно мы определить эксперимент 0 и эксперимент 1. И вообще мы будем
Dialogue: 0,0:05:24.56,0:05:29.23,Default,,0000,0000,0000,,Думайте о них, как экспериментов скобки B, где B может быть ноль или один. Хорошо, так что
Dialogue: 0,0:05:29.23,0:05:32.89,Default,,0000,0000,0000,,путь, эксперимент определяется следующим, у нас есть противника это
Dialogue: 0,0:05:32.89,0:05:37.16,Default,,0000,0000,0000,,пытаясь сломать систему. Противник A, что любопытное аналог статистической
Dialogue: 0,0:05:37.16,0:05:41.28,Default,,0000,0000,0000,,тесты в мире псевдо случайных генераторов. А затем делает challenger
Dialogue: 0,0:05:41.28,0:05:45.09,Default,,0000,0000,0000,,следующее, так что действительно у нас есть два претендентов, но претенденты настолько
Dialogue: 0,0:05:45.09,0:05:49.41,Default,,0000,0000,0000,,аналогичные, что мы можем просто описать их как единый претендент, что в одном случае принимает
Dialogue: 0,0:05:49.41,0:05:53.63,Default,,0000,0000,0000,,его входов биты равным нулю, и другой случай принимает его входов, бит со значением
Dialogue: 0,0:05:53.63,0:05:57.19,Default,,0000,0000,0000,,один. И позвольте мне показать вам, что делать эти претенденты. Первое, что
Dialogue: 0,0:05:57.19,0:06:01.35,Default,,0000,0000,0000,,Челленджер собираешься сделать это является собираешься выбрать случайный ключ, а затем противника
Dialogue: 0,0:06:01.35,0:06:06.08,Default,,0000,0000,0000,,в основном собирается вывести два сообщения M0 и M1. Хорошо, так это явный
Dialogue: 0,0:06:06.08,0:06:11.04,Default,,0000,0000,0000,,пара сообщений, которые злоумышленник хочет быть оспорены на и как обычно мы не
Dialogue: 0,0:06:11.04,0:06:15.77,Default,,0000,0000,0000,,пытаясь скрыть длину сообщений, мы требуем что сообщения равно
Dialogue: 0,0:06:15.77,0:06:21.64,Default,,0000,0000,0000,,Длина. А затем challenger в основном будет шифрования M0
Dialogue: 0,0:06:21.64,0:06:25.89,Default,,0000,0000,0000,,или шифрования M1, ладно, так в эксперименте 0 challenger выведет
Dialogue: 0,0:06:25.89,0:06:30.30,Default,,0000,0000,0000,,Шифрование M0. В эксперименте 1 претендент будет выводить шифрования
Dialogue: 0,0:06:30.30,0:06:34.38,Default,,0000,0000,0000,,М1. Ладно, так что разница между двумя экспериментов. И затем
Dialogue: 0,0:06:34.38,0:06:38.80,Default,,0000,0000,0000,,противник пытается угадать в основном ли ему шифрования M0
Dialogue: 0,0:06:38.80,0:06:44.05,Default,,0000,0000,0000,,или шифрования M1. Хорошо, так вот немного нотации Давайте
Dialogue: 0,0:06:44.05,0:06:50.26,Default,,0000,0000,0000,,Определите события ВБ быть события, что эксперимент B противника вывода один.
Dialogue: 0,0:06:50.26,0:06:55.08,Default,,0000,0000,0000,,Хорошо, так что это просто событие, что в основном в эксперименте нулевой W0 означает, что
Dialogue: 0,0:06:55.08,0:07:00.34,Default,,0000,0000,0000,,противник вывести один, а в эксперименте, один W1 означает противника один. И
Dialogue: 0,0:07:00.34,0:07:05.29,Default,,0000,0000,0000,,Теперь мы можем определить преимущества этого противника, в основном сказать, что это
Dialogue: 0,0:07:05.29,0:07:10.42,Default,,0000,0000,0000,,под названием семантика безопасности преимущество противника A против схемы E,
Dialogue: 0,0:07:10.42,0:07:15.50,Default,,0000,0000,0000,,чтобы быть разница вероятности этих двух событий. Другими словами мы находимся
Dialogue: 0,0:07:15.50,0:07:20.14,Default,,0000,0000,0000,,Глядя на ли противник действует по-разному, когда ему
Dialogue: 0,0:07:20.14,0:07:24.82,Default,,0000,0000,0000,,Шифрование M0 от когда ему шифрования M1. И я хочу сделать
Dialogue: 0,0:07:24.82,0:07:29.20,Default,,0000,0000,0000,,Конечно, это ясно, так что я собираюсь сказать это еще один раз. Так что в эксперимент ноль, он был
Dialogue: 0,0:07:29.20,0:07:33.53,Default,,0000,0000,0000,,Учитывая шифрования M0 и в эксперименте, один он получил шифрования
Dialogue: 0,0:07:33.53,0:07:37.70,Default,,0000,0000,0000,,М1. Теперь мы просто заинтересованы в ли противника вывода 1 или нет.
Dialogue: 0,0:07:37.70,0:07:42.36,Default,,0000,0000,0000,,... В этих экспериментах. Если в обоих экспериментах, противник вывода 1 с
Dialogue: 0,0:07:42.36,0:07:47.01,Default,,0000,0000,0000,,же вероятность того, что означает противника не смог отличить
Dialogue: 0,0:07:47.01,0:07:51.55,Default,,0000,0000,0000,,два эксперимента. Эксперименты ноль, в основном выглядит противника же
Dialogue: 0,0:07:51.55,0:07:56.21,Default,,0000,0000,0000,,как эксперимент один, потому что в обоих случаях загрузить один с одинаковой вероятностью.
Dialogue: 0,0:07:56.21,0:08:01.29,Default,,0000,0000,0000,,Однако если противник имеет возможность вывода 1 в одном эксперименте с значительно
Dialogue: 0,0:08:01.29,0:08:05.76,Default,,0000,0000,0000,,различные вероятности чем в другой эксперимент, то противник был
Dialogue: 0,0:08:05.76,0:08:10.27,Default,,0000,0000,0000,,фактически в состоянии отличить двух экспериментов. Хорошо так... Говорить об этом больше
Dialogue: 0,0:08:10.27,0:08:14.46,Default,,0000,0000,0000,,формально по существу преимущество снова потому что это различие двух
Dialogue: 0,0:08:14.46,0:08:18.92,Default,,0000,0000,0000,,вероятностей преимущество это число между 0 и 1. Если преимущество
Dialogue: 0,0:08:18.92,0:08:22.89,Default,,0000,0000,0000,,близка к нулю, что означает, что противник был не в состоянии отличить
Dialogue: 0,0:08:22.89,0:08:27.13,Default,,0000,0000,0000,,эксперимент ноль от эксперимента, один.\NОднако если преимущество близко к одной,
Dialogue: 0,0:08:27.13,0:08:31.54,Default,,0000,0000,0000,,Это означает, что противник был очень хорошо различать эксперимент ноль от
Dialogue: 0,0:08:31.54,0:08:36.11,Default,,0000,0000,0000,,эксперимент один и что действительно означает, что он был в состоянии отличить шифрования
Dialogue: 0,0:08:36.11,0:08:40.30,Default,,0000,0000,0000,,от M0 от шифрования M1 Ладно?Так что это определение. На самом деле
Dialogue: 0,0:08:40.30,0:08:44.06,Default,,0000,0000,0000,,Это просто определение преимущество и определение является только то, что
Dialogue: 0,0:08:44.06,0:08:47.71,Default,,0000,0000,0000,,Вы ожидаете в основном, что мы будем говорить, что схема симметричного шифрования
Dialogue: 0,0:08:47.71,0:08:52.35,Default,,0000,0000,0000,,семантически обеспечить, если для всех эффективных противников здесь я положил их в кавычки
Dialogue: 0,0:08:52.35,0:08:56.93,Default,,0000,0000,0000,,Опять же «для всех эффективных противников преимуществом является незначительным.» Другими словами,
Dialogue: 0,0:08:56.98,0:09:01.81,Default,,0000,0000,0000,,нет эффективного противника можно отличить от шифрования Шифрование M0
Dialogue: 0,0:09:01.81,0:09:06.10,Default,,0000,0000,0000,,M1, и в основном это то, что он неоднократно говорит что для этих двух
Dialogue: 0,0:09:06.10,0:09:10.76,Default,,0000,0000,0000,,сообщения, которые противник смог выставить он не смог отличить
Dialogue: 0,0:09:10.76,0:09:15.06,Default,,0000,0000,0000,,Эти два дистрибутивы. Теперь я хочу показать вам это, на самом деле это очень
Dialogue: 0,0:09:15.06,0:09:19.60,Default,,0000,0000,0000,,элегантные определение. Это может показаться не так сразу, но я хочу показать вам некоторые
Dialogue: 0,0:09:19.60,0:09:24.41,Default,,0000,0000,0000,,последствия этого определения, и вы увидите, почему определение именно путь
Dialogue: 0,0:09:24.41,0:09:28.60,Default,,0000,0000,0000,,это. Ладно, так что давайте рассмотрим несколько примеров. Поэтому первый пример Предположим
Dialogue: 0,0:09:28.60,0:09:33.19,Default,,0000,0000,0000,,у нас есть сломанной шифрование схему, иными словами Предположим, что у нас есть противник a
Dialogue: 0,0:09:33.19,0:09:38.28,Default,,0000,0000,0000,,что-то зашифрованного текста он способен всегда выводят наименее
Dialogue: 0,0:09:38.28,0:09:44.15,Default,,0000,0000,0000,,значащий бит в виде обычного текста. Ладно так учитывая шифрования M0, этот противник
Dialogue: 0,0:09:44.15,0:09:48.80,Default,,0000,0000,0000,,способен вывести наименее значимых бит M0. Так что это страшное
Dialogue: 0,0:09:48.80,0:09:52.91,Default,,0000,0000,0000,,шифрование схему потому что он в основном утечек наименее значимых бит
Dialogue: 0,0:09:52.91,0:09:57.13,Default,,0000,0000,0000,,обычный текст, только что зашифрованный текст. Поэтому я хочу показать вам, что эта схема является
Dialogue: 0,0:09:57.13,0:10:01.61,Default,,0000,0000,0000,,Поэтому семантически безопасных так что вроде показывает, что если система является семантически
Dialogue: 0,0:10:01.61,0:10:05.93,Default,,0000,0000,0000,,безопасный чем нет никакой злоумышленник этого типа. Ладно, так что давайте посмотрим, почему это система
Dialogue: 0,0:10:05.93,0:10:10.25,Default,,0000,0000,0000,,семантически небезопасно, хорошо, так что мы собираешься делать это мы 're gonna основном использовать
Dialogue: 0,0:10:10.25,0:10:14.37,Default,,0000,0000,0000,,Наш противник, который имеет возможность узнать наши самые незначительные биты, мы собираемся
Dialogue: 0,0:10:14.37,0:10:18.37,Default,,0000,0000,0000,,Используйте его сломать семантической безопасности, поэтому мы будем использовать его чтобы отличить
Dialogue: 0,0:10:18.37,0:10:22.76,Default,,0000,0000,0000,,эксперимент zero из эксперимента, один хорошо так что здесь является то, что мы собираемся делать. Мы находимся
Dialogue: 0,0:10:22.76,0:10:26.99,Default,,0000,0000,0000,,алгоритм B, мы собираемся быть алгоритм B и B собирается использовать алгоритм
Dialogue: 0,0:10:26.99,0:10:31.16,Default,,0000,0000,0000,,алгоритм A в его живот. Итак, первое, это будет происходить в
Dialogue: 0,0:10:31.16,0:10:35.61,Default,,0000,0000,0000,,курс challenger собирается выбрать случайный ключ. Первое, это происходит
Dialogue: 0,0:10:35.61,0:10:39.76,Default,,0000,0000,0000,,произойдет это, что нам нужно вывести два сообщения. Сообщения, которые мы собираемся
Dialogue: 0,0:10:39.76,0:10:43.49,Default,,0000,0000,0000,,для вывода в основном собираются иметь по-разному значащих бит. Таким образом, одна
Dialogue: 0,0:10:43.49,0:10:47.73,Default,,0000,0000,0000,,сообщение идет до конца с нуля и одно сообщение идет до конца с одним. Теперь то, что
Dialogue: 0,0:10:47.73,0:10:51.20,Default,,0000,0000,0000,,challenger собирается делать? Challenger собирается дать нам
Dialogue: 0,0:10:51.20,0:10:55.24,Default,,0000,0000,0000,,шифрование или M0, M1, в зависимости от ли в эксперимент 0 или
Dialogue: 0,0:10:55.24,0:10:59.12,Default,,0000,0000,0000,,в эксперименте 1. И затем мы просто направить этот зашифрованный текст противника
Dialogue: 0,0:10:59.12,0:11:03.87,Default,,0000,0000,0000,,Ладно так противника а. Теперь, что является собственностью противника A? Учитывая шифра
Dialogue: 0,0:11:03.87,0:11:08.50,Default,,0000,0000,0000,,текст, противник A может сказать нам что наименее значимых битов в виде обычного текста.
Dialogue: 0,0:11:08.50,0:11:13.37,Default,,0000,0000,0000,,Другими словами противника собирается вывести наименее значимых битов M0 или M1
Dialogue: 0,0:11:13.37,0:11:17.89,Default,,0000,0000,0000,,но низкий, и вот это в основном бит б. И тогда мы просто
Dialogue: 0,0:11:17.89,0:11:23.05,Default,,0000,0000,0000,,собирается вывода, что, как наш гость, так пусть? s назвать эту вещь B премьер хорошо так что теперь это
Dialogue: 0,0:11:23.05,0:11:28.38,Default,,0000,0000,0000,,Описывает семантической безопасности противника.\NИ теперь вы скажите мне, что такое семантическая
Dialogue: 0,0:11:28.38,0:11:33.59,Default,,0000,0000,0000,,преимущество безопасности этого противника? Ну так давайте посмотрим. В эксперименте нулю что такое
Dialogue: 0,0:11:33.59,0:11:38.78,Default,,0000,0000,0000,,вероятность того, что противник B выводит один? Хорошо в эксперимент нулевой, это всегда
Dialogue: 0,0:11:38.78,0:11:43.70,Default,,0000,0000,0000,,Учитывая шифрования M нулю и, следовательно, противник всегда выводится A
Dialogue: 0,0:11:43.70,0:11:48.63,Default,,0000,0000,0000,,наименее значимых бит M нулевой который всегда бывает равным нулю. В эксперименте
Dialogue: 0,0:11:48.63,0:11:53.12,Default,,0000,0000,0000,,ноль, B всегда выводит ноль. Поэтому вероятность того, что выводит один равен нулю.
Dialogue: 0,0:11:53.12,0:11:57.83,Default,,0000,0000,0000,,Однако в эксперименте, один, мы дали шифрования M1. Так как вероятно
Dialogue: 0,0:11:57.83,0:12:02.78,Default,,0000,0000,0000,,противник B для вывода одного в эксперименте один хорошо он всегда выводит один, снова
Dialogue: 0,0:12:02.78,0:12:07.43,Default,,0000,0000,0000,,свойства алгоритма A и, следовательно, преимущество в основном является одним.
Dialogue: 0,0:12:07.43,0:12:12.38,Default,,0000,0000,0000,,Так что это огромное преимущество, это как большой, как это собираешься получить. Это означает, что это
Dialogue: 0,0:12:12.38,0:12:17.09,Default,,0000,0000,0000,,противник полностью сломал системы.\NИтак мы рассматриваем, так под семантической
Dialogue: 0,0:12:17.09,0:12:22.30,Default,,0000,0000,0000,,безопасности, в основном просто выведение наименее значимых бит вполне достаточно, чтобы
Dialogue: 0,0:12:22.30,0:12:27.19,Default,,0000,0000,0000,,перерыв системы под определение семантического безопасности. Ладно теперь интересные
Dialogue: 0,0:12:27.19,0:12:32.39,Default,,0000,0000,0000,,Здесь конечно же заключается в том, что это не просто о наименее значимых бит, в
Dialogue: 0,0:12:32.39,0:12:37.12,Default,,0000,0000,0000,,факт сообщения например значащий бит, вы знаете
Dialogue: 0,0:12:37.12,0:12:42.04,Default,,0000,0000,0000,,бит число семь возможно XOR всех битов в сообщении и так далее
Dialogue: 0,0:12:42.04,0:12:46.55,Default,,0000,0000,0000,,и так далее какой-либо информации, любой бит о обычного текста, они могут быть
Dialogue: 0,0:12:46.55,0:12:50.81,Default,,0000,0000,0000,,узнал в основном, будет означать, что система не является семантически secure. Так
Dialogue: 0,0:12:50.81,0:12:55.53,Default,,0000,0000,0000,,в основном все, что противник будет нужно сделать бы придумать два сообщения
Dialogue: 0,0:12:55.53,0:13:00.25,Default,,0000,0000,0000,,M0 и М1, такие что под одну вещь что они узнали, что он является значение ноль и затем
Dialogue: 0,0:13:00.25,0:13:04.63,Default,,0000,0000,0000,,Другая вещь, значение, это один. Так например, если A смог узнать XOR
Dialogue: 0,0:13:04.63,0:13:08.78,Default,,0000,0000,0000,,бит сообщения затем M0 и M1 будет просто имеют различные
Dialogue: 0,0:13:08.78,0:13:13.26,Default,,0000,0000,0000,,XOR для всех битов их сообщений, и затем этот противник A будет
Dialogue: 0,0:13:13.26,0:13:18.17,Default,,0000,0000,0000,,также быть достаточно сломать семантической безопасности. Так, в основном хорошо для шифра
Dialogue: 0,0:13:18.17,0:13:23.20,Default,,0000,0000,0000,,семантически безопасна, то раскрывается не бит информации
Dialogue: 0,0:13:23.20,0:13:27.39,Default,,0000,0000,0000,,эффективное противника. Хорошо, так это именно концепция совершенной тайне только
Dialogue: 0,0:13:27.39,0:13:31.32,Default,,0000,0000,0000,,применяется только эффективным противников, вместо того, чтобы все противников. Так что следующий
Dialogue: 0,0:13:31.32,0:13:35.04,Default,,0000,0000,0000,,вещь, которую я хочу показать вам это фактически один раз pad фактически является
Dialogue: 0,0:13:35.04,0:13:38.82,Default,,0000,0000,0000,,семантически безопасным, они лучше быть семантически безопасных потому что это в самом деле,
Dialogue: 0,0:13:38.82,0:13:42.77,Default,,0000,0000,0000,,Это больше, чем, что это совершенно безопасным.\NИтак, давайте посмотрим, почему это правда. Ну так
Dialogue: 0,0:13:42.77,0:13:47.01,Default,,0000,0000,0000,,Опять же, это один из этих экспериментов, так, предположим, что у нас есть противника, что претензии
Dialogue: 0,0:13:47.01,0:13:51.45,Default,,0000,0000,0000,,сломать семантической безопасности один раз pad. Первый, собираешься сделать противника
Dialogue: 0,0:13:51.45,0:13:55.87,Default,,0000,0000,0000,,Это он собираешься выводятся два сообщения M0 и M1 той же длины.
Dialogue: 0,0:13:55.87,0:13:59.67,Default,,0000,0000,0000,,Теперь то, что он получает обратно, как вызов? Как вызов он получает либо шифрования
Dialogue: 0,0:13:59.67,0:14:03.99,Default,,0000,0000,0000,,M0 или шифрования M1 под одно время pad.
Dialogue: 0,0:14:03.99,0:14:07.89,Default,,0000,0000,0000,,И он пытается различать эти два возможных шифр тексты, которые он получает, право?
Dialogue: 0,0:14:07.89,0:14:12.26,Default,,0000,0000,0000,,В эксперименте нулю, он получает шифрования M0 и в эксперименте, один, он получает
Dialogue: 0,0:14:12.26,0:14:16.58,Default,,0000,0000,0000,,Шифрование M1. Ну так позвольте мне спросить вас, что такое преимущество противника
Dialogue: 0,0:14:16.58,0:14:21.30,Default,,0000,0000,0000,,A против один раз патент? Так что я помню, что свойство те I
Dialogue: 0,0:14:21.30,0:14:26.21,Default,,0000,0000,0000,,имел это что, что K, XOR M0 распространяется одинаково к K, XOR M1.
Dialogue: 0,0:14:26.21,0:14:31.19,Default,,0000,0000,0000,,Другими словами эти дистрибутивы являются абсолютно идентичными распределения,
Dialogue: 0,0:14:31.19,0:14:36.03,Default,,0000,0000,0000,,дистрибутивов, идентичны. Это свойство XOR. Если мы XOR случайных pad
Dialogue: 0,0:14:36.03,0:14:40.67,Default,,0000,0000,0000,,K ни с чем, M0 или M1, мы получаем равномерное распределение. Так как в
Dialogue: 0,0:14:40.67,0:14:45.38,Default,,0000,0000,0000,,случаях, алгоритм A дается как вклад точно такое же распределение. Может быть
Dialogue: 0,0:14:45.38,0:14:50.21,Default,,0000,0000,0000,,равномерное распределение по текстам шифра. И поэтому он является собираешься себя точно
Dialogue: 0,0:14:50.21,0:14:55.04,Default,,0000,0000,0000,,же в обоих случаях, потому что оно было дано точное распределение в качестве входных данных. И, как
Dialogue: 0,0:14:55.04,0:14:59.70,Default,,0000,0000,0000,,результат, его преимущество равен нулю, что означает, что бывший pad является семантически
Dialogue: 0,0:14:59.72,0:15:04.15,Default,,0000,0000,0000,,безопасный. Теперь самое интересное здесь, это не только семантически безопасным, это
Dialogue: 0,0:15:04.15,0:15:08.24,Default,,0000,0000,0000,,семантически безопасный для всех противников.\NМы даже не ограничивать
Dialogue: 0,0:15:08.24,0:15:12.45,Default,,0000,0000,0000,,Противники эффективным. Не противник, неважно, как вы умны, нет
Dialogue: 0,0:15:12.45,0:15:16.88,Default,,0000,0000,0000,,противник сможет отличить K XOR M0 от K XOR M1, потому что два
Dialogue: 0,0:15:16.88,0:15:21.30,Default,,0000,0000,0000,,Дистрибутивы являются идентичными. Ладно так один раз pad является семантически безопасный. Ладно,
Dialogue: 0,0:15:21.30,0:15:25.56,Default,,0000,0000,0000,,так что завершает нашего определения семантической безопасности, так что следующее, что мы
Dialogue: 0,0:15:25.56,0:15:30.09,Default,,0000,0000,0000,,доказать собирается сделать для безопасных PRG, фактически подразумевает, что поточный шифр
Dialogue: 0,0:15:30.09,0:15:31.19,Default,,0000,0000,0000,,семантически безопасный.