WEBVTT 00:00:00.000 --> 00:00:03.911 Моя цель для следующих нескольких сегментов, чтобы показать вам, что если мы используем безопасное PRG, мы будем 00:00:03.911 --> 00:00:07.892 получите безопасный поток безопаснее. Первое, что нам нужно сделать, это определить, что делает это 00:00:07.892 --> 00:00:11.679 означает для потока, безопаснее быть надежным? Так, всякий раз, когда мы определяем безопасности мы всегда 00:00:11.679 --> 00:00:15.174 определение с точки зрения того, что может злоумышленник ду? И то, что злоумышленник 00:00:15.174 --> 00:00:18.670 пытаетесь сделать? В контексте потоковых шифров Помните, что они используются только 00:00:18.670 --> 00:00:22.737 onetime ключом и в результате наиболее злоумышленник когда-либо увидите является 00:00:22.737 --> 00:00:26.754 только один cypher текст, зашифрованный с помощью ключа, который мы используем. И поэтому мы будем 00:00:26.754 --> 00:00:30.772 ограничить нападавшие? способность в основном получать только один cypher текста. И в 00:00:30.772 --> 00:00:34.641 факт позже мы собираемся позволить злоумышленнику сделать гораздо, гораздо, гораздо больше, но 00:00:34.641 --> 00:00:38.460 для теперь мы просто собираюсь дать ему один cypher текст. И мы хотели найти, 00:00:38.460 --> 00:00:42.560 что это означает для cypher безопасным? Так что первое определение, 00:00:42.560 --> 00:00:46.892 приходит на ум в основном сказать, а может быть мы wanna требуют, чтобы злоумышленник 00:00:46.892 --> 00:00:50.718 не удается восстановить фактически секретный ключ. Ладно, так дано зашифрованного текста вам 00:00:50.718 --> 00:00:54.609 не должно быть в состоянии восстановить секретный ключ. Но это страшное определения 00:00:54.609 --> 00:00:58.717 потому что думать о падающих блестящий шифр но, как мы шифровать 00:00:58.717 --> 00:01:02.855 сообщение с использованием ключа K является в основном мы просто вывести сообщение. Ладно это 00:01:02.855 --> 00:01:07.427 Это блестящий шифр да, конечно, это не что-нибудь, учитывая сообщение просто 00:01:07.427 --> 00:01:12.000 вывести сообщение как зашифрованного текста. Это не особенно хорошее шифрование 00:01:12.000 --> 00:01:16.029 Схема; Однако учитывая зашифрованного текста, главным образом сообщение бедных злоумышленник 00:01:16.029 --> 00:01:20.493 нельзя восстановить ключ, потому что он не знает, что это ключ. И так как результат 00:01:20.493 --> 00:01:24.630 Этот шифр, который явно является небезопасной, будет считаться безопасным по этому 00:01:24.793 --> 00:01:28.636 требования безопасности. Так что это определение будет не хорошо. О ' кей поэтому он имеет 00:01:28.636 --> 00:01:32.317 восстановление секретный ключ — неправильный путь для определения настроек безопасности. Так что следующее, что мы 00:01:32.317 --> 00:01:35.999 может любопытное попытка является в основном просто сказать, ну, может быть, злоумышленник не заботится о 00:01:35.999 --> 00:01:39.680 секретный ключ, то, что он действительно заботится о представляют собой обычный текст. Поэтому, возможно, она должна быть 00:01:39.680 --> 00:01:43.518 жесткий злоумышленнику восстановить весь обычный текст. Но даже это не 00:01:43.518 --> 00:01:48.223 работать, потому что давайте думать о следующей схемы шифрования. Предположим, так 00:01:48.223 --> 00:01:53.436 Эта схема шифрования делает это, он принимает два сообщения, поэтому я собираюсь использовать два 00:01:53.436 --> 00:01:58.014 линии для обозначения объединения двух сообщений M0 линии, линия M1 средства 00:01:58.014 --> 00:02:03.100 СЦЕПИТЬ M0 и M1. И представьте, что схема делает это действительно выходы 00:02:03.100 --> 00:02:08.060 M0 в ясной и объединять что шифрования M1. Возможно, даже 00:02:08.060 --> 00:02:13.337 использование одной подушечкой раз все в порядке? И поэтому здесь злоумышленник является собираешься быть присвоен один 00:02:13.337 --> 00:02:17.478 зашифрованный текст. И его целью будет восстановить весь мультифункциональной. Но 00:02:17.478 --> 00:02:21.702 бедные злоумышленник не может сделать этого, потому что здесь, возможно мы зашифрованы M1 с использованием один 00:02:21.702 --> 00:02:25.872 Раз Pad, поэтому злоумышленник не может восстановить фактически M1, потому что мы знаем 00:02:25.872 --> 00:02:30.043 Один раз Pad является безопасным, учитывая только один зашифрованный текст. Так что это строительство 00:02:30.043 --> 00:02:34.055 отвечали бы определение, но к сожалению явно это не безопасный 00:02:34.055 --> 00:02:37.962 Схема шифрования потому, что мы просто утечка половину обычного текста. M0 — 00:02:37.962 --> 00:02:42.185 полностью доступных злоумышленнику таким образом, даже хотя он не может восстановить в все 00:02:42.185 --> 00:02:46.462 обычный текст он может быть в состоянии восстановить большую часть в виде обычного текста, и это явно 00:02:46.462 --> 00:02:50.658 Необеспеченные. Поэтому, конечно, мы уже знаем решение, к этому и мы говорили о 00:02:50.658 --> 00:02:54.747 Шэнон определение безопасности perfect тайны, где идея Шеннона был в 00:02:54.747 --> 00:02:58.835 тот факт, когда злоумышленник перехватывает зашифрованный текст, он должен учиться абсолютно no 00:02:58.835 --> 00:03:02.818 Информация о равнина текстов. Он не должен даже узнать один бит 00:03:02.818 --> 00:03:07.221 обычный текст или даже он не должны узнать, он даже не должны быть в состоянии предсказать, немного 00:03:07.221 --> 00:03:11.205 бит о торгах в виде обычного текста. Абсолютно никакой информации о обычного текста. 00:03:11.205 --> 00:03:14.926 Так что давайте очень кратко напомнить Шеннона концепции безопасной PFS 00:03:14.926 --> 00:03:19.442 в основном мы сказали, что вы знаете учитывая шифра, мы сказали, что шифр совершенный 00:03:19.442 --> 00:03:25.069 тайны если дано два сообщения с той же длины так случается, что распределение 00:03:25.069 --> 00:03:30.167 шифр текстов. Но если мы выбираем случайный ключ и мы смотреть на распределение 00:03:30.167 --> 00:03:34.838 шифр тексты, мы шифровать M0, мы получим точно такое же распределение, когда мы 00:03:34.838 --> 00:03:39.257 Шифруйте M1. Интуиция здесь был, что если Консультативного наблюдает шифра тексты 00:03:39.257 --> 00:03:43.839 Тогда он не знает ли он пришел от распределения в результате шифрования 00:03:43.839 --> 00:03:48.203 M0 или он пришел от распределения в результате шифрования M1. И, как 00:03:48.203 --> 00:03:52.513 результат, он не может сказать ли мы зашифрованным M0 или M1. И это верно для всех 00:03:52.513 --> 00:03:56.877 сообщения из той же длины и, как следствие плохой злоумышленник не знает, действительно 00:03:56.877 --> 00:04:01.212 какое сообщение зашифровано. Конечно, мы уже говорили, что это определение является слишком 00:04:01.212 --> 00:04:05.400 сильный в том смысле, что он требует очень длинные ключи, если шифр имеет короткие 00:04:05.400 --> 00:04:09.535 ключи не могут удовлетворить возможно это определение в частности потоковых шифров 00:04:09.535 --> 00:04:14.328 может удовлетворить это определение. Ладно, так что давайте попробуем немного ослабить определение 00:04:14.328 --> 00:04:19.114 и давайте думать для предыдущего сегмента, и мы можем сказать, что вместо требования 00:04:19.114 --> 00:04:23.841 двух распределений быть абсолютно идентичными, то, что мы можем потребовать, является то, что 00:04:23.841 --> 00:04:28.686 двух распределений просто быть вычислительно неразличимы. Другими словами бедных, 00:04:28.863 --> 00:04:33.353 эффективное злоумышленник не может отличить двух распределений хотя 00:04:33.353 --> 00:04:37.815 дистрибутивы могут отличаться очень, очень, очень. Что просто пример для 00:04:37.815 --> 00:04:42.580 один распределения и образца для другой дистрибутив злоумышленник не может сказать 00:04:42.580 --> 00:04:47.120 распространение он получил образец из. Оказывается, это определение является на самом деле 00:04:47.120 --> 00:04:51.716 почти сразу, но она все еще немного слишком сильным, что до сих пор не могут быть удовлетворены, так 00:04:51.716 --> 00:04:56.200 Мы должны добавить еще одно ограничение, и что, что вместо того чтобы сказать что это 00:04:56.200 --> 00:05:00.797 определение должно иметь справедливы для всех M0 и M1. Это провести для только пары M0 M1 00:05:00.797 --> 00:05:05.208 что нападавшие могли фактически экспонат. Хорошо, так что это на самом деле 00:05:05.208 --> 00:05:10.038 приводит нас к определению семантики безопасности. И поэтому, опять же это семантика 00:05:10.038 --> 00:05:15.050 безопасность для один раз, зашифрованный ключ, другими словами когда злоумышленник является только данного 00:05:15.050 --> 00:05:19.819 текст. И это путь, мы определяем семантической безопасности путем определения двух экспериментов, 00:05:19.819 --> 00:05:24.562 Ладно мы определить эксперимент 0 и эксперимент 1. И вообще мы будем 00:05:24.562 --> 00:05:29.230 Думайте о них, как экспериментов скобки B, где B может быть ноль или один. Хорошо, так что 00:05:29.230 --> 00:05:32.890 путь, эксперимент определяется следующим, у нас есть противника это 00:05:32.890 --> 00:05:37.161 пытаясь сломать систему. Противник A, что любопытное аналог статистической 00:05:37.161 --> 00:05:41.279 тесты в мире псевдо случайных генераторов. А затем делает challenger 00:05:41.279 --> 00:05:45.093 следующее, так что действительно у нас есть два претендентов, но претенденты настолько 00:05:45.093 --> 00:05:49.414 аналогичные, что мы можем просто описать их как единый претендент, что в одном случае принимает 00:05:49.414 --> 00:05:53.634 его входов биты равным нулю, и другой случай принимает его входов, бит со значением 00:05:53.634 --> 00:05:57.193 один. И позвольте мне показать вам, что делать эти претенденты. Первое, что 00:05:57.193 --> 00:06:01.349 Челленджер собираешься сделать это является собираешься выбрать случайный ключ, а затем противника 00:06:01.349 --> 00:06:06.076 в основном собирается вывести два сообщения M0 и M1. Хорошо, так это явный 00:06:06.076 --> 00:06:11.039 пара сообщений, которые злоумышленник хочет быть оспорены на и как обычно мы не 00:06:11.039 --> 00:06:15.766 пытаясь скрыть длину сообщений, мы требуем что сообщения равно 00:06:15.766 --> 00:06:21.643 Длина. А затем challenger в основном будет шифрования M0 00:06:21.643 --> 00:06:25.890 или шифрования M1, ладно, так в эксперименте 0 challenger выведет 00:06:25.890 --> 00:06:30.301 Шифрование M0. В эксперименте 1 претендент будет выводить шифрования 00:06:30.301 --> 00:06:34.385 М1. Ладно, так что разница между двумя экспериментов. И затем 00:06:34.385 --> 00:06:38.796 противник пытается угадать в основном ли ему шифрования M0 00:06:38.796 --> 00:06:44.051 или шифрования M1. Хорошо, так вот немного нотации Давайте 00:06:44.051 --> 00:06:50.260 Определите события ВБ быть события, что эксперимент B противника вывода один. 00:06:50.260 --> 00:06:55.084 Хорошо, так что это просто событие, что в основном в эксперименте нулевой W0 означает, что 00:06:55.084 --> 00:07:00.342 противник вывести один, а в эксперименте, один W1 означает противника один. И 00:07:00.342 --> 00:07:05.291 Теперь мы можем определить преимущества этого противника, в основном сказать, что это 00:07:05.291 --> 00:07:10.425 под названием семантика безопасности преимущество противника A против схемы E, 00:07:10.425 --> 00:07:15.497 чтобы быть разница вероятности этих двух событий. Другими словами мы находимся 00:07:15.497 --> 00:07:20.136 Глядя на ли противник действует по-разному, когда ему 00:07:20.136 --> 00:07:24.818 Шифрование M0 от когда ему шифрования M1. И я хочу сделать 00:07:24.818 --> 00:07:29.201 Конечно, это ясно, так что я собираюсь сказать это еще один раз. Так что в эксперимент ноль, он был 00:07:29.201 --> 00:07:33.530 Учитывая шифрования M0 и в эксперименте, один он получил шифрования 00:07:33.530 --> 00:07:37.700 М1. Теперь мы просто заинтересованы в ли противника вывода 1 или нет. 00:07:37.700 --> 00:07:42.356 ... В этих экспериментах. Если в обоих экспериментах, противник вывода 1 с 00:07:42.356 --> 00:07:47.013 же вероятность того, что означает противника не смог отличить 00:07:47.013 --> 00:07:51.549 два эксперимента. Эксперименты ноль, в основном выглядит противника же 00:07:51.549 --> 00:07:56.206 как эксперимент один, потому что в обоих случаях загрузить один с одинаковой вероятностью. 00:07:56.206 --> 00:08:01.286 Однако если противник имеет возможность вывода 1 в одном эксперименте с значительно 00:08:01.286 --> 00:08:05.761 различные вероятности чем в другой эксперимент, то противник был 00:08:05.761 --> 00:08:10.266 фактически в состоянии отличить двух экспериментов. Хорошо так... Говорить об этом больше 00:08:10.266 --> 00:08:14.455 формально по существу преимущество снова потому что это различие двух 00:08:14.455 --> 00:08:18.918 вероятностей преимущество это число между 0 и 1. Если преимущество 00:08:18.918 --> 00:08:22.886 близка к нулю, что означает, что противник был не в состоянии отличить 00:08:22.886 --> 00:08:27.129 эксперимент ноль от эксперимента, один. Однако если преимущество близко к одной, 00:08:27.129 --> 00:08:31.538 Это означает, что противник был очень хорошо различать эксперимент ноль от 00:08:31.538 --> 00:08:36.112 эксперимент один и что действительно означает, что он был в состоянии отличить шифрования 00:08:36.112 --> 00:08:40.299 от M0 от шифрования M1 Ладно?Так что это определение. На самом деле 00:08:40.299 --> 00:08:44.055 Это просто определение преимущество и определение является только то, что 00:08:44.055 --> 00:08:47.714 Вы ожидаете в основном, что мы будем говорить, что схема симметричного шифрования 00:08:47.714 --> 00:08:52.346 семантически обеспечить, если для всех эффективных противников здесь я положил их в кавычки 00:08:52.346 --> 00:08:56.932 Опять же «для всех эффективных противников преимуществом является незначительным.» Другими словами, 00:08:56.982 --> 00:09:01.808 нет эффективного противника можно отличить от шифрования Шифрование M0 00:09:01.808 --> 00:09:06.103 M1, и в основном это то, что он неоднократно говорит что для этих двух 00:09:06.103 --> 00:09:10.759 сообщения, которые противник смог выставить он не смог отличить 00:09:10.759 --> 00:09:15.064 Эти два дистрибутивы. Теперь я хочу показать вам это, на самом деле это очень 00:09:15.064 --> 00:09:19.595 элегантные определение. Это может показаться не так сразу, но я хочу показать вам некоторые 00:09:19.595 --> 00:09:24.410 последствия этого определения, и вы увидите, почему определение именно путь 00:09:24.410 --> 00:09:28.601 это. Ладно, так что давайте рассмотрим несколько примеров. Поэтому первый пример Предположим 00:09:28.601 --> 00:09:33.190 у нас есть сломанной шифрование схему, иными словами Предположим, что у нас есть противник a 00:09:33.190 --> 00:09:38.285 что-то зашифрованного текста он способен всегда выводят наименее 00:09:38.285 --> 00:09:44.149 значащий бит в виде обычного текста. Ладно так учитывая шифрования M0, этот противник 00:09:44.149 --> 00:09:48.799 способен вывести наименее значимых бит M0. Так что это страшное 00:09:48.799 --> 00:09:52.911 шифрование схему потому что он в основном утечек наименее значимых бит 00:09:52.911 --> 00:09:57.128 обычный текст, только что зашифрованный текст. Поэтому я хочу показать вам, что эта схема является 00:09:57.128 --> 00:10:01.609 Поэтому семантически безопасных так что вроде показывает, что если система является семантически 00:10:01.609 --> 00:10:05.931 безопасный чем нет никакой злоумышленник этого типа. Ладно, так что давайте посмотрим, почему это система 00:10:05.931 --> 00:10:10.254 семантически небезопасно, хорошо, так что мы собираешься делать это мы 're gonna основном использовать 00:10:10.254 --> 00:10:14.366 Наш противник, который имеет возможность узнать наши самые незначительные биты, мы собираемся 00:10:14.366 --> 00:10:18.372 Используйте его сломать семантической безопасности, поэтому мы будем использовать его чтобы отличить 00:10:18.372 --> 00:10:22.755 эксперимент zero из эксперимента, один хорошо так что здесь является то, что мы собираемся делать. Мы находимся 00:10:22.755 --> 00:10:26.987 алгоритм B, мы собираемся быть алгоритм B и B собирается использовать алгоритм 00:10:26.987 --> 00:10:31.165 алгоритм A в его живот. Итак, первое, это будет происходить в 00:10:31.165 --> 00:10:35.608 курс challenger собирается выбрать случайный ключ. Первое, это происходит 00:10:35.608 --> 00:10:39.762 произойдет это, что нам нужно вывести два сообщения. Сообщения, которые мы собираемся 00:10:39.762 --> 00:10:43.493 для вывода в основном собираются иметь по-разному значащих бит. Таким образом, одна 00:10:43.493 --> 00:10:47.727 сообщение идет до конца с нуля и одно сообщение идет до конца с одним. Теперь то, что 00:10:47.727 --> 00:10:51.205 challenger собирается делать? Challenger собирается дать нам 00:10:51.205 --> 00:10:55.238 шифрование или M0, M1, в зависимости от ли в эксперимент 0 или 00:10:55.238 --> 00:10:59.120 в эксперименте 1. И затем мы просто направить этот зашифрованный текст противника 00:10:59.120 --> 00:11:03.871 Ладно так противника а. Теперь, что является собственностью противника A? Учитывая шифра 00:11:03.871 --> 00:11:08.505 текст, противник A может сказать нам что наименее значимых битов в виде обычного текста. 00:11:08.505 --> 00:11:13.374 Другими словами противника собирается вывести наименее значимых битов M0 или M1 00:11:13.374 --> 00:11:17.892 но низкий, и вот это в основном бит б. И тогда мы просто 00:11:17.892 --> 00:11:23.050 собирается вывода, что, как наш гость, так пусть? s назвать эту вещь B премьер хорошо так что теперь это 00:11:23.050 --> 00:11:28.376 Описывает семантической безопасности противника. И теперь вы скажите мне, что такое семантическая 00:11:28.376 --> 00:11:33.593 преимущество безопасности этого противника? Ну так давайте посмотрим. В эксперименте нулю что такое 00:11:33.593 --> 00:11:38.775 вероятность того, что противник B выводит один? Хорошо в эксперимент нулевой, это всегда 00:11:38.775 --> 00:11:43.704 Учитывая шифрования M нулю и, следовательно, противник всегда выводится A 00:11:43.704 --> 00:11:48.633 наименее значимых бит M нулевой который всегда бывает равным нулю. В эксперименте 00:11:48.633 --> 00:11:53.120 ноль, B всегда выводит ноль. Поэтому вероятность того, что выводит один равен нулю. 00:11:53.120 --> 00:11:57.827 Однако в эксперименте, один, мы дали шифрования M1. Так как вероятно 00:11:57.827 --> 00:12:02.783 противник B для вывода одного в эксперименте один хорошо он всегда выводит один, снова 00:12:02.783 --> 00:12:07.428 свойства алгоритма A и, следовательно, преимущество в основном является одним. 00:12:07.428 --> 00:12:12.384 Так что это огромное преимущество, это как большой, как это собираешься получить. Это означает, что это 00:12:12.384 --> 00:12:17.091 противник полностью сломал системы. Итак мы рассматриваем, так под семантической 00:12:17.091 --> 00:12:22.295 безопасности, в основном просто выведение наименее значимых бит вполне достаточно, чтобы 00:12:22.295 --> 00:12:27.187 перерыв системы под определение семантического безопасности. Ладно теперь интересные 00:12:27.187 --> 00:12:32.388 Здесь конечно же заключается в том, что это не просто о наименее значимых бит, в 00:12:32.388 --> 00:12:37.117 факт сообщения например значащий бит, вы знаете 00:12:37.117 --> 00:12:42.040 бит число семь возможно XOR всех битов в сообщении и так далее 00:12:42.040 --> 00:12:46.552 и так далее какой-либо информации, любой бит о обычного текста, они могут быть 00:12:46.552 --> 00:12:50.814 узнал в основном, будет означать, что система не является семантически secure. Так 00:12:50.814 --> 00:12:55.532 в основном все, что противник будет нужно сделать бы придумать два сообщения 00:12:55.532 --> 00:13:00.249 M0 и М1, такие что под одну вещь что они узнали, что он является значение ноль и затем 00:13:00.249 --> 00:13:04.626 Другая вещь, значение, это один. Так например, если A смог узнать XOR 00:13:04.626 --> 00:13:08.775 бит сообщения затем M0 и M1 будет просто имеют различные 00:13:08.775 --> 00:13:13.265 XOR для всех битов их сообщений, и затем этот противник A будет 00:13:13.265 --> 00:13:18.174 также быть достаточно сломать семантической безопасности. Так, в основном хорошо для шифра 00:13:18.174 --> 00:13:23.203 семантически безопасна, то раскрывается не бит информации 00:13:23.203 --> 00:13:27.392 эффективное противника. Хорошо, так это именно концепция совершенной тайне только 00:13:27.392 --> 00:13:31.318 применяется только эффективным противников, вместо того, чтобы все противников. Так что следующий 00:13:31.318 --> 00:13:35.045 вещь, которую я хочу показать вам это фактически один раз pad фактически является 00:13:35.045 --> 00:13:38.821 семантически безопасным, они лучше быть семантически безопасных потому что это в самом деле, 00:13:38.821 --> 00:13:42.773 Это больше, чем, что это совершенно безопасным. Итак, давайте посмотрим, почему это правда. Ну так 00:13:42.773 --> 00:13:47.010 Опять же, это один из этих экспериментов, так, предположим, что у нас есть противника, что претензии 00:13:47.010 --> 00:13:51.449 сломать семантической безопасности один раз pad. Первый, собираешься сделать противника 00:13:51.449 --> 00:13:55.874 Это он собираешься выводятся два сообщения M0 и M1 той же длины. 00:13:55.874 --> 00:13:59.667 Теперь то, что он получает обратно, как вызов? Как вызов он получает либо шифрования 00:13:59.667 --> 00:14:03.988 M0 или шифрования M1 под одно время pad. 00:14:03.988 --> 00:14:07.886 И он пытается различать эти два возможных шифр тексты, которые он получает, право? 00:14:07.886 --> 00:14:12.259 В эксперименте нулю, он получает шифрования M0 и в эксперименте, один, он получает 00:14:12.259 --> 00:14:16.579 Шифрование M1. Ну так позвольте мне спросить вас, что такое преимущество противника 00:14:16.579 --> 00:14:21.297 A против один раз патент? Так что я помню, что свойство те I 00:14:21.297 --> 00:14:26.208 имел это что, что K, XOR M0 распространяется одинаково к K, XOR M1. 00:14:26.208 --> 00:14:31.187 Другими словами эти дистрибутивы являются абсолютно идентичными распределения, 00:14:31.187 --> 00:14:36.026 дистрибутивов, идентичны. Это свойство XOR. Если мы XOR случайных pad 00:14:36.026 --> 00:14:40.674 K ни с чем, M0 или M1, мы получаем равномерное распределение. Так как в 00:14:40.674 --> 00:14:45.382 случаях, алгоритм A дается как вклад точно такое же распределение. Может быть 00:14:45.382 --> 00:14:50.209 равномерное распределение по текстам шифра. И поэтому он является собираешься себя точно 00:14:50.209 --> 00:14:55.036 же в обоих случаях, потому что оно было дано точное распределение в качестве входных данных. И, как 00:14:55.036 --> 00:14:59.699 результат, его преимущество равен нулю, что означает, что бывший pad является семантически 00:14:59.723 --> 00:15:04.148 безопасный. Теперь самое интересное здесь, это не только семантически безопасным, это 00:15:04.148 --> 00:15:08.244 семантически безопасный для всех противников. Мы даже не ограничивать 00:15:08.244 --> 00:15:12.450 Противники эффективным. Не противник, неважно, как вы умны, нет 00:15:12.450 --> 00:15:16.875 противник сможет отличить K XOR M0 от K XOR M1, потому что два 00:15:16.875 --> 00:15:21.299 Дистрибутивы являются идентичными. Ладно так один раз pad является семантически безопасный. Ладно, 00:15:21.299 --> 00:15:25.559 так что завершает нашего определения семантической безопасности, так что следующее, что мы 00:15:25.559 --> 00:15:30.093 доказать собирается сделать для безопасных PRG, фактически подразумевает, что поточный шифр 00:15:30.093 --> 00:15:31.186 семантически безопасный.