[Script Info]
Title: 
[Events]
Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text
Dialogue: 0,0:00:00.00,0:00:04.67,Default,,0000,0000,0000,,Neste segmento veremos como usar cifras de bloco para criptografar mensagens múltiplas
Dialogue: 0,0:00:04.67,0:00:08.96,Default,,0000,0000,0000,,usando a mesma chave. Isto vem para cima, na prática, por exemplo, em sistemas de ficheiros onde
Dialogue: 0,0:00:08.96,0:00:13.41,Default,,0000,0000,0000,,chave o mesmo é usado para criptografar arquivos múltiplos. Ele vem em protocolos de rede
Dialogue: 0,0:00:13.41,0:00:17.65,Default,,0000,0000,0000,,, onde a mesma chave é utilizada para criptografar vários pacotes. Então vamos ver como fazer
Dialogue: 0,0:00:17.65,0:00:21.88,Default,,0000,0000,0000,,-lo. A primeira coisa que precisamos fazer é definir o que é significa para uma cifra de ser
Dialogue: 0,0:00:21.88,0:00:26.18,Default,,0000,0000,0000,,seguro quando a mesma chave é usada para criptografar mensagens múltiplas. Quando usamos o
Dialogue: 0,0:00:26.18,0:00:31.04,Default,,0000,0000,0000,,tecla mais uma vez o resultado disso é que o adversário começa a ver muitos cibernético
Dialogue: 0,0:00:31.04,0:00:35.63,Default,,0000,0000,0000,,texto criptografado utilizando a mesma chave. Como resultado, quando se definir a segurança, estamos
Dialogue: 0,0:00:35.63,0:00:40.51,Default,,0000,0000,0000,,vai permitir que o adversário para montar o que é chamado um ataque de texto escolhido simples. Em
Dialogue: 0,0:00:40.51,0:00:45.52,Default,,0000,0000,0000,,outras palavras, o adversário pode obter a criptografia de mensagens arbitrárias de seu
Dialogue: 0,0:00:45.52,0:00:49.71,Default,,0000,0000,0000,,escolha. Assim, por exemplo, se o adversário interagindo com Alice. O
Dialogue: 0,0:00:49.71,0:00:53.92,Default,,0000,0000,0000,,adversário pode pedir a Alice para criptografar mensagens arbitrárias da do adversário
Dialogue: 0,0:00:53.92,0:00:58.14,Default,,0000,0000,0000,,escolha. E Alice vai em frente e criptografar as mensagens e dar a
Dialogue: 0,0:00:58.14,0:01:02.93,Default,,0000,0000,0000,,adversário dos textos cifrados resultantes. Você pode se perguntar por que Alice nunca fazer isso.
Dialogue: 0,0:01:02.93,0:01:07.43,Default,,0000,0000,0000,,Como isso poderia acontecer na vida real? Mas acontece que este é realmente
Dialogue: 0,0:01:07.43,0:01:11.76,Default,,0000,0000,0000,,muito comum na vida real. E, de fato, essa modelagem é bastante conservador
Dialogue: 0,0:01:11.76,0:01:16.32,Default,,0000,0000,0000,,modelagem da vida real. Por exemplo, o adversário pode enviar um e-mail Alice. Quando
Dialogue: 0,0:01:16.32,0:01:21.17,Default,,0000,0000,0000,,Alice recebe o e-mail, a grava-lo em seu disco criptografado, assim criptografar o
Dialogue: 0,0:01:21.17,0:01:26.14,Default,,0000,0000,0000,,e-mail adversário usando sua chave secreta. Se mais tarde o adversário rouba este disco, em seguida,
Dialogue: 0,0:01:26.14,0:01:31.28,Default,,0000,0000,0000,,ele obtém a criptografia de um e-mail que ele enviou Alice com chave secreta de Alice. Assim
Dialogue: 0,0:01:31.28,0:01:36.30,Default,,0000,0000,0000,,que é um exemplo de um ataque de texto escolhido planície, onde o adversário desde Alice
Dialogue: 0,0:01:36.30,0:01:41.08,Default,,0000,0000,0000,,com uma mensagem e ela criptografada que a mensagem usando sua própria chave. E depois
Dialogue: 0,0:01:41.08,0:01:45.43,Default,,0000,0000,0000,,atacante foi capaz de obter o texto cifrado resultante. Então essa é a
Dialogue: 0,0:01:45.43,0:01:49.66,Default,,0000,0000,0000,,poder do adversário. E então o objetivo do adversário é, basicamente, para quebrar
Dialogue: 0,0:01:49.66,0:01:54.37,Default,,0000,0000,0000,,segurança semântica. Portanto, vamos definir isso com mais precisão. Como de costume, nós vamos
Dialogue: 0,0:01:54.37,0:01:59.45,Default,,0000,0000,0000,,definir a segurança semântica em um ataque de texto simples escolhido através de dois experimentos,
Dialogue: 0,0:01:59.45,0:02:04.72,Default,,0000,0000,0000,,nula experiência e experimentação, que são modeladas como um jogo entre um desafiante
Dialogue: 0,0:02:04.72,0:02:09.67,Default,,0000,0000,0000,,e um adversário. Quando o jogo começa, o grande desafio é que vai escolher uma amostra aleatória
Dialogue: 0,0:02:09.67,0:02:14.01,Default,,0000,0000,0000,,chave K. E agora o adversário basicamente começa a consultar o desafiante. Assim, o
Dialogue: 0,0:02:14.01,0:02:18.20,Default,,0000,0000,0000,,adversário agora começa por enviar uma consulta de segurança semântico, ou seja, ele
Dialogue: 0,0:02:18.20,0:02:22.80,Default,,0000,0000,0000,,envia duas mensagens, M zero e um M. Eu adicionei um outro índice, mas deixe-me ignorar
Dialogue: 0,0:02:22.80,0:02:27.35,Default,,0000,0000,0000,,índice que extra por um tempo. Assim, o adversário apresenta duas mensagens, M zero e
Dialogue: 0,0:02:27.35,0:02:31.78,Default,,0000,0000,0000,,M uma, que acontece ser do mesmo comprimento. E, em seguida, o adversário recebe
Dialogue: 0,0:02:31.78,0:02:36.03,Default,,0000,0000,0000,,criptografia de uma dessas mensagens, quer de M zero ou de M uma. Em
Dialogue: 0,0:02:36.03,0:02:40.22,Default,,0000,0000,0000,,experiência zero, ele recebe a criptografia de M zero. No primeiro experimento,
Dialogue: 0,0:02:40.22,0:02:44.95,Default,,0000,0000,0000,,ele recebe a criptografia de um M. Então, até agora isso parece familiar este parece
Dialogue: 0,0:02:44.95,0:02:49.48,Default,,0000,0000,0000,,exatamente como um padrão de segurança semântico [inaudível]. No entanto, o ataque de texto simples
Dialogue: 0,0:02:49.48,0:02:54.01,Default,,0000,0000,0000,,adversário pode agora repetir esta consulta novamente. Então, agora você pode emitir uma consulta com
Dialogue: 0,0:02:54.01,0:02:58.48,Default,,0000,0000,0000,,outros dois textos simples, de novo do mesmo comprimento, e, novamente, você receberia o
Dialogue: 0,0:02:58.48,0:03:03.19,Default,,0000,0000,0000,,criptografia de um deles. No experimento zero, você receberia a criptografia de M
Dialogue: 0,0:03:03.19,0:03:07.84,Default,,0000,0000,0000,,zero. No primeiro experimento você receberia a criptografia de um M. E o atacante
Dialogue: 0,0:03:07.84,0:03:12.54,Default,,0000,0000,0000,,pode continuar a emitir consultas como este. Na verdade nós vamos dizer que ele pode emitir até Q
Dialogue: 0,0:03:12.54,0:03:17.02,Default,,0000,0000,0000,,consultas deste tipo. E então, lembre-se, cada vez que ele emite um par de mensagens.
Dialogue: 0,0:03:17.02,0:03:21.42,Default,,0000,0000,0000,,que venham a ser do mesmo comprimento e cada vez que ele ou obtém a encriptação
Dialogue: 0,0:03:21.42,0:03:25.87,Default,,0000,0000,0000,,do lado esquerdo ou do lado direito novamente em zero experimento ele sempre terá o
Dialogue: 0,0:03:25.87,0:03:29.73,Default,,0000,0000,0000,,criptografia da mensagem deixada no experimento que ele sempre terá o
Dialogue: 0,0:03:29.73,0:03:33.97,Default,,0000,0000,0000,,encriptação da mensagem esquerda. E, então o objetivo do adversário é, basicamente, para descobrir
Dialogue: 0,0:03:33.97,0:03:38.29,Default,,0000,0000,0000,,saber se ele está em zero experimental ou em experimentação. Em outras palavras, se
Dialogue: 0,0:03:38.29,0:03:42.71,Default,,0000,0000,0000,,ele recebia constantemente a criptografia da mensagem a esquerda ou para a criptografia de
Dialogue: 0,0:03:42.71,0:03:47.03,Default,,0000,0000,0000,,a mensagem certa. Então, em certo sentido, este é um jogo padrão de segurança de apenas semântica
Dialogue: 0,0:03:47.03,0:03:51.19,Default,,0000,0000,0000,,iterada muitas consultas que o atacante pode emitir a adaptativamente uma após
Dialogue: 0,0:03:51.19,0:03:56.01,Default,,0000,0000,0000,,o outro. Agora, o ataque de texto simples escolhido é capturado pelo facto de que, se o
Dialogue: 0,0:03:56.01,0:04:00.65,Default,,0000,0000,0000,,atacante quer a criptografia de uma mensagem m particular. O que ele poderia fazer é,
Dialogue: 0,0:04:00.65,0:04:05.23,Default,,0000,0000,0000,,por exemplo, usam J consulta para J soma, onde neste J consulta ele vai definir tanto o zero
Dialogue: 0,0:04:05.23,0:04:09.59,Default,,0000,0000,0000,,mensagem ea mensagem de um ser a mesma mensagem exatamente M. Em outras palavras,
Dialogue: 0,0:04:09.59,0:04:14.01,Default,,0000,0000,0000,,tanto a mensagem a esquerda e direita da mensagem são os mesmos, e ambos são definidos para
Dialogue: 0,0:04:14.01,0:04:18.65,Default,,0000,0000,0000,,a mensagem M. Neste caso, o que irá receber, uma vez que ambas as mensagens são os mesmos,
Dialogue: 0,0:04:18.65,0:04:23.13,Default,,0000,0000,0000,,ele sabe que vai receber a criptografia desta mensagem M que ele era
Dialogue: 0,0:04:23.13,0:04:27.60,Default,,0000,0000,0000,,interessados polegadas Então este é exatamente o que significa um ataque escolhido [inaudível].
Dialogue: 0,0:04:27.60,0:04:32.60,Default,,0000,0000,0000,,Quando a consultoria pode enviar uma mensagem m e receber a criptografia de que
Dialogue: 0,0:04:32.60,0:04:37.43,Default,,0000,0000,0000,,m mensagem especial de sua escolha. Então algumas de suas consultas podem ser deste escolheu
Dialogue: 0,0:04:37.43,0:04:42.16,Default,,0000,0000,0000,,sabor texto simples onde a mensagem do lado esquerdo é igual à mensagem do lado direito,
Dialogue: 0,0:04:42.16,0:04:46.78,Default,,0000,0000,0000,,, mas algumas das consultas pode ser padrão de segurança consultas semânticas onde as duas
Dialogue: 0,0:04:46.78,0:04:51.28,Default,,0000,0000,0000,,mensagens são distintas e que realmente lhe dá informações sobre se ele está em
Dialogue: 0,0:04:51.28,0:04:55.45,Default,,0000,0000,0000,,experiência zero ou em um experimento. Agora, agora você deve ser usado para este
Dialogue: 0,0:04:55.45,0:05:00.18,Default,,0000,0000,0000,,definição, sempre que dizemos que o sistema é semanticamente seguro sob uma planície escolhida
Dialogue: 0,0:05:00.18,0:05:04.14,Default,,0000,0000,0000,,ataque texto. Se, por todos os adversários eficientes, eles não conseguem distinguir
Dialogue: 0,0:05:04.14,0:05:08.70,Default,,0000,0000,0000,,nula experiência de um experimento. Em outras palavras, a probabilidade de que, no
Dialogue: 0,0:05:08.70,0:05:13.09,Default,,0000,0000,0000,,final, a saída, B Prime, que vamos denotar por a saída do experimento
Dialogue: 0,0:05:13.09,0:05:17.77,Default,,0000,0000,0000,,B. Esta saída será o mesmo se nula experiência [inaudível] ou experiência
Dialogue: 0,0:05:17.77,0:05:22.31,Default,,0000,0000,0000,,um. Assim, o invasor não podia distinguir entre sempre recebendo criptografias de
Dialogue: 0,0:05:22.31,0:05:26.90,Default,,0000,0000,0000,,as mensagens deixadas, versus sempre recebendo criptografias das mensagens certas. Assim, em
Dialogue: 0,0:05:26.90,0:05:31.27,Default,,0000,0000,0000,,sua mente, eu gostaria que você esteja pensando em um adversário que é capaz de montar um
Dialogue: 0,0:05:31.27,0:05:35.74,Default,,0000,0000,0000,,escolhido ataque de texto simples, ou seja, ser dada a criptografia de mensagens arbitrárias de
Dialogue: 0,0:05:35.74,0:05:40.17,Default,,0000,0000,0000,,escolha sua, e seu objetivo é quebrar a segurança semântica por algum outro desafio
Dialogue: 0,0:05:40.17,0:05:44.33,Default,,0000,0000,0000,,textos cifrados. E como eu disse neste modelo [inaudível] do mundo real do
Dialogue: 0,0:05:44.33,0:05:48.72,Default,,0000,0000,0000,,atacante é capaz de enganar Alice em criptografar mensagens para ele de sua escolha
Dialogue: 0,0:05:48.72,0:05:53.29,Default,,0000,0000,0000,,e, em seguida, o objetivo do atacante é de alguma forma, quebrar algum texto cypher desafio. Então, eu
Dialogue: 0,0:05:53.29,0:05:58.17,Default,,0000,0000,0000,,alegação de que todas as cifras que temos visto até agora balcão, ou seja determinista
Dialogue: 0,0:05:58.17,0:06:02.54,Default,,0000,0000,0000,,modo ou o teclado de uma vez, sentem-se inseguros em um ataque de texto escolhido simples. Mais
Dialogue: 0,0:06:02.54,0:06:07.31,Default,,0000,0000,0000,,geralmente, suponha que temos um esquema de criptografia que sempre gera a mesma cifra
Dialogue: 0,0:06:07.31,0:06:11.97,Default,,0000,0000,0000,,texto para um M. mensagem particular Em outras palavras, se eu pedir o esquema de criptografia para
Dialogue: 0,0:06:11.97,0:06:16.19,Default,,0000,0000,0000,,criptografar a mensagem M uma vez. E então eu pergunto o esquema de criptografia para criptografar o
Dialogue: 0,0:06:16.19,0:06:21.18,Default,,0000,0000,0000,,m mensagem novamente. Se em ambos os casos, o esquema de criptografia gera a cifra mesmo
Dialogue: 0,0:06:21.18,0:06:26.55,Default,,0000,0000,0000,,texto, então esse sistema não pode estar seguro em um ataque de texto escolhido simples.
Dialogue: 0,0:06:26.55,0:06:31.28,Default,,0000,0000,0000,,E ambos modo determinista contador ea almofada tempo um eram de que o sabor. Eles
Dialogue: 0,0:06:31.28,0:06:35.92,Default,,0000,0000,0000,,sempre imprimir o mesmo texto cifrado, recebeu a mesma mensagem. E assim vamos ver por que
Dialogue: 0,0:06:35.92,0:06:41.14,Default,,0000,0000,0000,,que não pode ser escolhido de texto simples seguro. E o ataque é bastante simples, o que o
Dialogue: 0,0:06:41.14,0:06:46.30,Default,,0000,0000,0000,,atacante vai fazer, é que ele vai produzir a mesma mensagem duas vezes. Este apenas diz.
Dialogue: 0,0:06:46.30,0:06:51.23,Default,,0000,0000,0000,,que ele realmente quer a criptografia de M0. Então aqui o atacante é dada C0 que é
Dialogue: 0,0:06:51.23,0:06:55.87,Default,,0000,0000,0000,,criptografia de M0. Então esta foi a sua consulta de texto escolhido planície onde ele realmente
Dialogue: 0,0:06:55.87,0:07:00.80,Default,,0000,0000,0000,,recebeu a criptografia do M0 mensagem de sua escolha. E agora ele vai quebrar
Dialogue: 0,0:07:00.80,0:07:05.44,Default,,0000,0000,0000,,segurança semântica. Então o que ele faz é que ele gera duas mensagens, M0 e M1 do
Dialogue: 0,0:07:05.44,0:07:10.08,Default,,0000,0000,0000,,mesmo comprimento, e ele vai ser dada a criptografia de MB. Mas baixa e eis que,
Dialogue: 0,0:07:10.08,0:07:15.85,Default,,0000,0000,0000,,dissemos que o sistema de criptografia. Sempre envia o texto cifrado mesmo quando o seu
Dialogue: 0,0:07:15.85,0:07:21.54,Default,,0000,0000,0000,,criptografar a mensagem, M0. Portanto, se B é = a zero, sabemos que C, esta
Dialogue: 0,0:07:21.54,0:07:27.31,Default,,0000,0000,0000,,desafiou texto cifrado, é simplesmente a = CO, porque é a criptografia de M0.
Dialogue: 0,0:07:27.31,0:07:32.41,Default,,0000,0000,0000,,No entanto, se B é = a um. Então sabemos que este texto cypher desafio é a
Dialogue: 0,0:07:32.41,0:07:38.05,Default,,0000,0000,0000,,criptografia de M1, que é algo diferente de zero para todos os C o atacante não é ele
Dialogue: 0,0:07:38.05,0:07:43.44,Default,,0000,0000,0000,,apenas verifica a sua C é = a zero a saída do C0, em outras palavras, ele gera um. Assim, em
Dialogue: 0,0:07:43.44,0:07:47.72,Default,,0000,0000,0000,,Neste caso, o atacante é perfeitamente capaz de adivinhar esta B bit, então ele sabe
Dialogue: 0,0:07:47.72,0:07:52.41,Default,,0000,0000,0000,,exatamente [inaudível], dada a criptografia de M0, ou a criptografia de M1. E como um
Dialogue: 0,0:07:52.41,0:07:57.10,Default,,0000,0000,0000,,resultado, a sua vantagem em ganhar este jogo é um deles. O que significa que o sistema não pode
Dialogue: 0,0:07:57.10,0:08:01.49,Default,,0000,0000,0000,,possivelmente ser CPA seguro. Um não é um número insignificante. Então isso mostra que o
Dialogue: 0,0:08:01.49,0:08:05.58,Default,,0000,0000,0000,,esquemas de criptografia determinísticos não pode ser CPA-seguro, mas você pode
Dialogue: 0,0:08:05.58,0:08:09.34,Default,,0000,0000,0000,,maravilha bem, o que isso significa na prática? Bem, na prática, isso significa
Dialogue: 0,0:08:09.34,0:08:13.11,Default,,0000,0000,0000,,novamente que cada mensagem é sempre criptografado para o mesmo texto cifrado. O que
Dialogue: 0,0:08:13.11,0:08:17.23,Default,,0000,0000,0000,,isto significa é que se você está a criptografia de arquivos no disco, e acontecer de você ser criptografar
Dialogue: 0,0:08:17.23,0:08:21.41,Default,,0000,0000,0000,,dois ficheiros que acontece ser o mesmo, que irá resultar em o mesmo texto cifrado e
Dialogue: 0,0:08:21.41,0:08:25.33,Default,,0000,0000,0000,,, em seguida, o atacante, olhando para o disco criptografado, vai aprender que estes dois
Dialogue: 0,0:08:25.33,0:08:29.30,Default,,0000,0000,0000,,arquivos realmente conter o mesmo conteúdo. O atacante pode não saber o que o
Dialogue: 0,0:08:29.30,0:08:33.42,Default,,0000,0000,0000,,conteúdo é, mas ele vai aprender que esses dois arquivos criptografados são uma criptografia de
Dialogue: 0,0:08:33.42,0:08:37.52,Default,,0000,0000,0000,,, o mesmo conteúdo e não deve ser capaz de aprender isso. Da mesma forma, se você enviar dois
Dialogue: 0,0:08:37.52,0:08:41.29,Default,,0000,0000,0000,,pacotes cifrados na rede que acontecem para ser o mesmo, o atacante vai
Dialogue: 0,0:08:41.29,0:08:45.15,Default,,0000,0000,0000,,não saber o conteúdo desses pacotes, mas ele vai aprender que os dois pacotes
Dialogue: 0,0:08:45.15,0:08:49.30,Default,,0000,0000,0000,,realmente conter a mesma informação. Pense, por exemplo de uma voz criptografada
Dialogue: 0,0:08:49.30,0:08:53.77,Default,,0000,0000,0000,,conversa. Cada vez há calma sobre a linha, o sistema estará enviando
Dialogue: 0,0:08:53.77,0:08:58.07,Default,,0000,0000,0000,,criptografias de zero. Mas desde que a encriptação de zero são sempre mapeado para o mesmo
Dialogue: 0,0:08:58.07,0:09:02.33,Default,,0000,0000,0000,,texto cifrado. Um atacante olhando para a rede será capaz de identificar exatamente
Dialogue: 0,0:09:02.33,0:09:06.49,Default,,0000,0000,0000,,os pontos da conversa onde não há calma, porque ele sempre vai ver
Dialogue: 0,0:09:06.49,0:09:11.11,Default,,0000,0000,0000,,aqueles texto cifra exata mesma o tempo todo. Então esses são exemplos onde determinista
Dialogue: 0,0:09:11.11,0:09:15.49,Default,,0000,0000,0000,,criptografia não pode ser seguro. E como eu disse anteriormente, dizemos que o
Dialogue: 0,0:09:15.49,0:09:19.80,Default,,0000,0000,0000,,criptografia determinística não pode ser semanticamente seguro sob uma planície escolhida
Dialogue: 0,0:09:19.80,0:09:24.74,Default,,0000,0000,0000,,ataque texto. Então o que fazemos, bem a lição aqui é se as chaves secretas vai ser
Dialogue: 0,0:09:24.74,0:09:29.67,Default,,0000,0000,0000,,usada para criptografar mensagens múltiplas, é melhor que seja o caso que, dado o mesmo
Dialogue: 0,0:09:29.67,0:09:33.57,Default,,0000,0000,0000,,texto simples para criptografar duas vezes. O algoritmo de criptografia deve produzir
Dialogue: 0,0:09:33.57,0:09:38.15,Default,,0000,0000,0000,,diferentes textos cifrados. E então há duas maneiras de fazer isso. O primeiro método é
Dialogue: 0,0:09:38.15,0:09:42.84,Default,,0000,0000,0000,,que é chamado de encriptação aleatória. Aqui, o algoritmo de encriptação si vai
Dialogue: 0,0:09:42.84,0:09:47.30,Default,,0000,0000,0000,,para escolher alguns seqüência aleatória durante o processo de criptografia e vai
Dialogue: 0,0:09:47.30,0:09:51.64,Default,,0000,0000,0000,,criptografar a mensagem M utilizando essa seqüência aleatória. Então o que isto significa é que um
Dialogue: 0,0:09:51.64,0:09:56.39,Default,,0000,0000,0000,,mensagem particular, M0 por exemplo, não está indo só para ser mapeado para um texto cifrado
Dialogue: 0,0:09:56.39,0:10:00.89,Default,,0000,0000,0000,,, mas vai ser mapeado para uma bola toda de textos cifrados. Whereon cada
Dialogue: 0,0:10:00.89,0:10:06.69,Default,,0000,0000,0000,,criptografia, basicamente, mostramos um ponto nesta bola. Então, toda vez que criptografar, o
Dialogue: 0,0:10:06.69,0:10:11.29,Default,,0000,0000,0000,,algoritmo de criptografia escolhe uma seqüência aleatória, e que leva a seqüência aleatória
Dialogue: 0,0:10:11.29,0:10:15.83,Default,,0000,0000,0000,,um ponto nesta bola. Claro que, o algoritmo de descodificação, quando ela toma qualquer
Dialogue: 0,0:10:15.83,0:10:20.61,Default,,0000,0000,0000,,ponto nesta bola, sempre vai mapear o resultado para M zero. Do mesmo modo texto cifrado M
Dialogue: 0,0:10:20.61,0:10:25.45,Default,,0000,0000,0000,,um será mapeado para uma bola, e cada vez que criptografar M um, nós basicamente de saída
Dialogue: 0,0:10:25.45,0:10:29.69,Default,,0000,0000,0000,,um ponto nesta bola. E estas bolas tem que ser separado, de modo que o
Dialogue: 0,0:10:29.69,0:10:34.47,Default,,0000,0000,0000,,algoritmo de encriptação, quando se obtém um ponto em que a bola correspondente a M uma,
Dialogue: 0,0:10:34.47,0:10:38.96,Default,,0000,0000,0000,,será sempre saída a mensagem M uma. Deste modo, uma vez que o algoritmo de encriptação
Dialogue: 0,0:10:38.96,0:10:43.27,Default,,0000,0000,0000,,usa aleatoriedade, se cifrar a mesma mensagem duas vezes, com alta probabilidade de que vai
Dialogue: 0,0:10:43.27,0:10:47.14,Default,,0000,0000,0000,,obter textos cifrados diferentes. Infelizmente, isto significa que o texto cifrado
Dialogue: 0,0:10:47.14,0:10:51.39,Default,,0000,0000,0000,,necessariamente tem que ser maior que o texto simples, porque de alguma forma a aleatoriedade
Dialogue: 0,0:10:51.39,0:10:55.86,Default,,0000,0000,0000,,que foi usado para gerar o texto cifrado está agora codificado de algum modo no texto cifra.
Dialogue: 0,0:10:55.86,0:11:00.16,Default,,0000,0000,0000,,Assim, o texto cifrado tem mais espaço. E a grosso modo, o tamanho do texto cifrado é
Dialogue: 0,0:11:00.16,0:11:04.62,Default,,0000,0000,0000,,vai ser maior do que o texto simples. Por basicamente o número de bits aleatórios que
Dialogue: 0,0:11:04.62,0:11:08.75,Default,,0000,0000,0000,,foram utilizados durante a criptografia. Então, se os textos simples são muito grandes, se a planície
Dialogue: 0,0:11:08.75,0:11:13.20,Default,,0000,0000,0000,,textos são gigabytes longo, o número de bits aleatórios vai ser da ordem de
Dialogue: 0,0:11:13.20,0:11:17.49,Default,,0000,0000,0000,,128. Então, talvez este espaço extra realmente não importa. Mas se os textos são simples
Dialogue: 0,0:11:17.49,0:11:21.79,Default,,0000,0000,0000,,muito curto, talvez eles próprios são 128 bits, em seguida, adicionar um extra de 128 bits para
Dialogue: 0,0:11:21.79,0:11:26.24,Default,,0000,0000,0000,,texto a cada cifra vai dobrar o tamanho do texto total de cifra. E que poderia ser
Dialogue: 0,0:11:26.24,0:11:31.12,Default,,0000,0000,0000,,bastante caro. Então, como eu digo criptografia randomizado é uma solução bem, mas em alguns
Dialogue: 0,0:11:31.12,0:11:35.86,Default,,0000,0000,0000,,casos que realmente introduz um pouco de custos. Então, vamos olhar para um exemplo simples.
Dialogue: 0,0:11:35.86,0:11:41.11,Default,,0000,0000,0000,,Então, imagine que temos uma função pseudo-aleatório que leva insumos em um certo
Dialogue: 0,0:11:41.11,0:11:46.22,Default,,0000,0000,0000,,r espaço que vai ser chamado de um espaço de uso único. E saídas, saídas na mensagem
Dialogue: 0,0:11:46.22,0:11:50.64,Default,,0000,0000,0000,,espaço. E, agora, vamos definir o esquema de criptografia seguinte randomize
Dialogue: 0,0:11:50.64,0:11:55.88,Default,,0000,0000,0000,,onde queremos para criptografar a mensagem m com a criptografia de tudo o que vai
Dialogue: 0,0:11:55.88,0:12:01.15,Default,,0000,0000,0000,,não é o primeiro que vai gerar um r aleatório neste espaço nonce R. E então ele vai
Dialogue: 0,0:12:01.15,0:12:06.23,Default,,0000,0000,0000,,para abrir um texto cypher que consistem em dois componentes, o primeiro componente vai
Dialogue: 0,0:12:06.23,0:12:10.94,Default,,0000,0000,0000,,ser este valor R eo segundo componente vai ser uma avaliação de
Dialogue: 0,0:12:10.94,0:12:16.18,Default,,0000,0000,0000,,função pseudo-aleatória no ponto R XOR com a mensagem M. E a minha pergunta para
Dialogue: 0,0:12:16.18,0:12:21.40,Default,,0000,0000,0000,,você é, isso é o sistema de criptografia semanticamente seguro sob uma planície escolhida
Dialogue: 0,0:12:21.40,0:12:26.29,Default,,0000,0000,0000,,ataque texto. Portanto, a resposta correta é sim. Mas só se o espaço R nonce é grande
Dialogue: 0,0:12:26.29,0:12:31.25,Default,,0000,0000,0000,,o suficiente para que nunca se repete com R pouca probabilidade muito, muito alto. E vamos
Dialogue: 0,0:12:31.25,0:12:36.33,Default,,0000,0000,0000,,rapidamente argumentar por que isso é verdade. Então, em primeiro lugar, porque F é um seguro pseudo-aleatório
Dialogue: 0,0:12:36.33,0:12:41.35,Default,,0000,0000,0000,,função, podemos muito bem substituí-lo com uma função verdadeiramente aleatório. Em outras palavras,
Dialogue: 0,0:12:41.35,0:12:46.37,Default,,0000,0000,0000,,este é indistinguível da de caso em que encriptar a mensagem M, usando o
Dialogue: 0,0:12:46.37,0:12:51.25,Default,,0000,0000,0000,,função F verdadeiramente aleatório pouco, avaliados para apontar R e, em seguida XOR com M.
Dialogue: 0,0:12:51.25,0:12:57.32,Default,,0000,0000,0000,,Mas desde que isso nunca r pouco se repete a cada texto cifra usa um pouco diferente do que r
Dialogue: 0,0:12:57.32,0:13:03.10,Default,,0000,0000,0000,,isto significa é que os valores de F (r) são aleatórias uniformes cordas independentes
Dialogue: 0,0:13:03.10,0:13:08.82,Default,,0000,0000,0000,,o tempo todo. Então, toda vez que criptografar uma mensagem, criptografá-lo essencialmente usando um
Dialogue: 0,0:13:08.82,0:13:14.37,Default,,0000,0000,0000,,novo time pad aleatório uniforme um. E desde XORing uma seqüência uniforme com qualquer seqüência
Dialogue: 0,0:13:14.37,0:13:19.67,Default,,0000,0000,0000,,simplesmente gera uma nova seqüência de uniforme, o texto cifrado resultante é distribuído como
Dialogue: 0,0:13:19.67,0:13:24.77,Default,,0000,0000,0000,,apenas duas cordas aleatórias uniformes. Vou chamá-los de r e r principal. E assim, tanto em
Dialogue: 0,0:13:24.77,0:13:30.32,Default,,0000,0000,0000,,experiência zero e no experimento um, tudo o atacante consegue ver são verdadeiramente uniforme
Dialogue: 0,0:13:30.32,0:13:35.62,Default,,0000,0000,0000,,seqüências aleatórias r, r ', e uma vez que em ambos os experimentos o atacante está vendo o mesmo
Dialogue: 0,0:13:35.62,0:13:40.67,Default,,0000,0000,0000,,distribuição, ele não consegue distinguir as duas distribuições. E assim como a segurança
Dialogue: 0,0:13:40.67,0:13:45.70,Default,,0000,0000,0000,,mantém completamente quando estamos usando uma função verdadeiramente aleatório é também vou segurar quando
Dialogue: 0,0:13:45.70,0:13:50.56,Default,,0000,0000,0000,,estamos usando uma função pseudo-aleatório. Ok, então este é um bom exemplo de como usar
Dialogue: 0,0:13:50.56,0:13:55.44,Default,,0000,0000,0000,,o facto de a função pseudo aleatória se comporta como uma função aleatória para argumentar
Dialogue: 0,0:13:55.44,0:13:59.83,Default,,0000,0000,0000,,segurança deste esquema de criptografia particular. Ok, então agora temos um bom
Dialogue: 0,0:13:59.83,0:14:04.46,Default,,0000,0000,0000,,exemplo de encriptação aleatória. A outra abordagem para a construção de planície escolhida
Dialogue: 0,0:14:04.46,0:14:09.34,Default,,0000,0000,0000,,texto esquemas de criptografia seguras é o que é chamado de criptografia baseada em nonce. Agora, em
Dialogue: 0,0:14:09.34,0:14:14.01,Default,,0000,0000,0000,,um sistema de criptografia não-espaço, o algoritmo de criptografia realmente leva três
Dialogue: 0,0:14:14.01,0:14:19.04,Default,,0000,0000,0000,,entradas invés de dois. Como é habitual que leva a chave ea mensagem. Mas ele também tem
Dialogue: 0,0:14:19.04,0:14:23.77,Default,,0000,0000,0000,,introduzir um adicional chamado nonce. E da mesma forma, a descriptografia algoritmo também
Dialogue: 0,0:14:23.77,0:14:28.68,Default,,0000,0000,0000,,leva o nonce como entrada, e então produz o texto resultante descriptografado simples. E
Dialogue: 0,0:14:28.68,0:14:33.53,Default,,0000,0000,0000,,o que é esse valor nonce n. Este nonce é um valor público. Ela não precisa de ser
Dialogue: 0,0:14:33.53,0:14:38.40,Default,,0000,0000,0000,,escondida do adversário mas o único requisito é que o par (k, n)
Dialogue: 0,0:14:38.40,0:14:43.21,Default,,0000,0000,0000,,só é usada para criptografar uma mensagem única. Em outras palavras, este par (k, n)
Dialogue: 0,0:14:43.21,0:14:48.15,Default,,0000,0000,0000,,deve mudar de mensagem para mensagem. E há duas maneiras de mudar isso. Uma forma
Dialogue: 0,0:14:48.15,0:14:53.14,Default,,0000,0000,0000,,para mudá-la é escolher uma nova chave aleatória para cada mensagem. Ea outra maneira
Dialogue: 0,0:14:53.14,0:14:58.28,Default,,0000,0000,0000,,é continuar usando a mesma chave o tempo todo, mas depois temos de escolher um novo para nonce
Dialogue: 0,0:14:58.28,0:15:02.72,Default,,0000,0000,0000,,mensagem cada. E, e como eu disse, eu quero enfatizar novamente, desta nonce não precisa
Dialogue: 0,0:15:02.72,0:15:06.82,Default,,0000,0000,0000,,ser secreta, e não precisa ser aleatória. O único requisito é o uso único é único.
Dialogue: 0,0:15:06.82,0:15:11.03,Default,,0000,0000,0000,,E, de fato, vamos usar este termo ao longo do curso. A nonce
Dialogue: 0,0:15:11.03,0:15:15.25,Default,,0000,0000,0000,,para nós, significa um valor único que não se repete. Ele não tem que ser aleatória. Assim
Dialogue: 0,0:15:15.25,0:15:19.89,Default,,0000,0000,0000,,vamos olhar alguns exemplos de escolher um nonce, assim, a opção mais simples é
Dialogue: 0,0:15:19.89,0:15:24.26,Default,,0000,0000,0000,,simplesmente para tornar o nonce do accounter assim, por exemplo a criação de redes
Dialogue: 0,0:15:24.26,0:15:28.90,Default,,0000,0000,0000,,protocolo que você pode imaginar o nonce ser um contador de pacotes que é incrementado
Dialogue: 0,0:15:28.90,0:15:33.60,Default,,0000,0000,0000,,cada vez que um pacote é enviado por um remetente ou recebidos pelo receptor, isto significa que
Dialogue: 0,0:15:33.60,0:15:37.96,Default,,0000,0000,0000,,encriptador tem para manter o estado de mensagem para mensagem, principalmente, que ele tem que
Dialogue: 0,0:15:37.96,0:15:42.27,Default,,0000,0000,0000,,manter esse contador volta e incrementá-lo depois de cada mensagem é transmitida.
Dialogue: 0,0:15:42.27,0:15:47.49,Default,,0000,0000,0000,,Curiosamente, se o decrypter na verdade, tem o mesmo estado, então não há necessidade
Dialogue: 0,0:15:47.49,0:15:52.70,Default,,0000,0000,0000,,para incluir a nuance no texto cifrado desde a nuance está implícita. Vamos dar uma olhada
Dialogue: 0,0:15:52.70,0:15:57.99,Default,,0000,0000,0000,,um exemplo. O protocolo https é executado ao longo de um mecanismo de transporte confiável que
Dialogue: 0,0:15:57.99,0:16:03.08,Default,,0000,0000,0000,,significa que os pacotes enviados pelo remetente são assumidos para ser recebida, de modo a uma
Dialogue: 0,0:16:03.08,0:16:07.64,Default,,0000,0000,0000,,destinatário. Então, se o remetente envia pacote # 5 e # 6, então o pacote, o destinatário
Dialogue: 0,0:16:07.64,0:16:12.07,Default,,0000,0000,0000,,irá receber pacote # 5 e, em seguida pacote # 6, nessa ordem. Este
Dialogue: 0,0:16:12.07,0:16:16.22,Default,,0000,0000,0000,,significa que se o remetente mantém um contador de pacotes, o destinatário pode também
Dialogue: 0,0:16:16.22,0:16:20.86,Default,,0000,0000,0000,,manter um contador de pacotes e dois contadores basicamente incrementar em sincronia. Neste caso
Dialogue: 0,0:16:20.86,0:16:24.90,Default,,0000,0000,0000,,não há nenhuma razão para incluir o uso único em que os pacotes porque o
Dialogue: 0,0:16:24.90,0:16:29.48,Default,,0000,0000,0000,,nonce é implícita entre os dois lados. No entanto, em protocolos de outros, por
Dialogue: 0,0:16:29.48,0:16:34.60,Default,,0000,0000,0000,,exemplo, em IPsec, tem um protocolo IPsec projetada para criptografar a camada IP. O IP
Dialogue: 0,0:16:34.60,0:16:39.33,Default,,0000,0000,0000,,camada não garante a entrega dos pedidos. E assim, o remetente pode enviar
Dialogue: 0,0:16:39.33,0:16:44.52,Default,,0000,0000,0000,,pacote # 5 e # 6, então o pacote, mas aqueles que serão recebidos na ordem inversa em
Dialogue: 0,0:16:44.52,0:16:49.16,Default,,0000,0000,0000,,o destinatário. Neste caso ainda é bom usar um contador de pacotes como um nonce
Dialogue: 0,0:16:49.16,0:16:53.75,Default,,0000,0000,0000,,mas agora a nonce tem de ser incluído no pacote de modo a que o receptor sabe
Dialogue: 0,0:16:53.75,0:16:58.10,Default,,0000,0000,0000,,que nonce para usar para desencriptar o pacote recebido. Então, como eu digo, com base nonce
Dialogue: 0,0:16:58.10,0:17:02.69,Default,,0000,0000,0000,,criptografia é uma maneira muito eficiente para atingir CPA segurança. Em particular, se o
Dialogue: 0,0:17:02.69,0:17:07.10,Default,,0000,0000,0000,,nonce é implícita, não mesmo aumentar o comprimento do texto cifrado. Claro
Dialogue: 0,0:17:07.10,0:17:11.80,Default,,0000,0000,0000,,outro método para gerar um único nonce é simplesmente escolher o nonce aleatoriamente
Dialogue: 0,0:17:11.80,0:17:16.50,Default,,0000,0000,0000,,assumindo que o espaço nonce é suficientemente grande para que, com grande probabilidade de o
Dialogue: 0,0:17:16.50,0:17:21.58,Default,,0000,0000,0000,,nonce nunca será repetido para a vida da chave. Agora, neste caso, nonce
Dialogue: 0,0:17:21.58,0:17:26.10,Default,,0000,0000,0000,,criptografia baseada simplesmente reduz a encriptação aleatória. No entanto, o
Dialogue: 0,0:17:26.10,0:17:31.60,Default,,0000,0000,0000,,vantagem aqui é que o remetente não precisa manter todo o estado de mensagem para
Dialogue: 0,0:17:31.60,0:17:36.38,Default,,0000,0000,0000,,mensagem. Então isso é muito útil, por exemplo se a criptografia acontece a tomar
Dialogue: 0,0:17:36.38,0:17:41.42,Default,,0000,0000,0000,,lugar em vários dispositivos. Por exemplo, eu poderia ter um laptop e um inteligente
Dialogue: 0,0:17:41.42,0:17:46.10,Default,,0000,0000,0000,,telefone. Eles podem tanto usar a mesma chave. Mas neste caso, se eu preciso de estado completo
Dialogue: 0,0:17:46.10,0:17:49.96,Default,,0000,0000,0000,,criptografia, então meu laptop eo smartphone teria que coordenar a
Dialogue: 0,0:17:49.96,0:17:54.30,Default,,0000,0000,0000,,certifique-se que eles nunca reutilizar os nonces mesmos. Considerando que, se os dois simplesmente tomar
Dialogue: 0,0:17:54.30,0:17:58.11,Default,,0000,0000,0000,,nonces ao acaso, eles não precisam de coordenar porque era muito elevada
Dialogue: 0,0:17:58.11,0:18:02.24,Default,,0000,0000,0000,,probabilidade eles simplesmente nunca escolher o nonce mesmo. Novamente assumindo que o nonce
Dialogue: 0,0:18:02.24,0:18:06.48,Default,,0000,0000,0000,,espaço é grande o suficiente. Então, existem alguns casos onde a criptografia apátrida é bastante
Dialogue: 0,0:18:06.48,0:18:10.56,Default,,0000,0000,0000,,importante, nomeadamente quando a mesma chave é utilizada por várias máquinas. Então, eu
Dialogue: 0,0:18:10.56,0:18:14.49,Default,,0000,0000,0000,,queria encontrar, mais precisamente, o que significa segurança para nonce base
Dialogue: 0,0:18:14.49,0:18:18.69,Default,,0000,0000,0000,,criptografia. E, em particular, quero enfatizar que o sistema deve permanecer
Dialogue: 0,0:18:18.69,0:18:23.12,Default,,0000,0000,0000,,seguro quando o nonce são escolhidos pelo adversário. A razão é importante
Dialogue: 0,0:18:23.12,0:18:27.03,Default,,0000,0000,0000,,para permitir que o adversário para escolher os nonces é porque o adversário pode
Dialogue: 0,0:18:27.03,0:18:31.09,Default,,0000,0000,0000,,escolher qual texto cifrado ele quer atacar. Então, imagine o nonce acontece
Dialogue: 0,0:18:31.09,0:18:35.36,Default,,0000,0000,0000,,ser um contador e acontece que, quando o couter atinge o valor 15, talvez
Dialogue: 0,0:18:35.36,0:18:39.43,Default,,0000,0000,0000,,nesse ponto é fácil para o adversário para quebrar a segurança semântica. Assim, o
Dialogue: 0,0:18:39.43,0:18:43.70,Default,,0000,0000,0000,,adversário vai esperar até o décimo quinto pacote é enviado e só então ele vai pedir
Dialogue: 0,0:18:43.70,0:18:48.08,Default,,0000,0000,0000,,para quebrar a segurança semântica. Então, quando falamos de criptografia baseada em nonce, nós
Dialogue: 0,0:18:48.08,0:18:52.81,Default,,0000,0000,0000,,geralmente permitem que o adversário para escolher o nonce eo sistema deve permanecer
Dialogue: 0,0:18:52.81,0:18:57.77,Default,,0000,0000,0000,,garantir, mesmo sob essas configurações. Portanto, vamos definir o jogo CPA neste caso e é
Dialogue: 0,0:18:57.77,0:19:02.44,Default,,0000,0000,0000,,realmente muito parecido com o jogo antes. Basicamente, o atacante começa a apresentar
Dialogue: 0,0:19:02.44,0:19:06.94,Default,,0000,0000,0000,,pares de mensagens IM, MI0, e MI1. Obviamente que ambos têm de ser do mesmo
Dialogue: 0,0:19:06.94,0:19:11.58,Default,,0000,0000,0000,,comprimento. E ele começa a fornecer o nonce. E em resposta, o adversário é dada
Dialogue: 0,0:19:11.58,0:19:16.30,Default,,0000,0000,0000,,a criptografia de qualquer MI0, ou MI1. Mas usando o nonce que o adversário
Dialogue: 0,0:19:16.30,0:19:20.74,Default,,0000,0000,0000,,escolheu. E, claro, como de costume, o objetivo do adversário é para dizer se ele era
Dialogue: 0,0:19:20.74,0:19:25.10,Default,,0000,0000,0000,,dada a criptografia do texto simples esquerda ou direita o texto sem formatação. E como
Dialogue: 0,0:19:25.10,0:19:29.46,Default,,0000,0000,0000,,antes de o adversário começa a repetir essas consultas e ele pode emitir tantas, como muitos
Dialogue: 0,0:19:29.46,0:19:33.61,Default,,0000,0000,0000,,consultas como ele quer, nós normalmente vamos q denotar o número de consultas que o
Dialogue: 0,0:19:33.61,0:19:37.96,Default,,0000,0000,0000,,questões adversário. Agora, a única restrição de curso, que é crucial, é que
Dialogue: 0,0:19:37.96,0:19:42.33,Default,,0000,0000,0000,,embora o adversário começa a escolher os nonces, ele está restrito a escolher
Dialogue: 0,0:19:42.33,0:19:46.76,Default,,0000,0000,0000,,nonces distintas. A razão por que obrigá-lo a escolher nonces distintos é porque
Dialogue: 0,0:19:46.76,0:19:50.96,Default,,0000,0000,0000,,essa é a exigência na prática. Mesmo que os tolos adversário Alice em
Dialogue: 0,0:19:50.96,0:19:55.16,Default,,0000,0000,0000,,criptografar várias mensagens para ele, Alice nunca vai usar o mesmo nonce
Dialogue: 0,0:19:55.16,0:19:59.48,Default,,0000,0000,0000,,novamente. Como resultado, o adversário nunca verá mensagens criptografadas usando o
Dialogue: 0,0:19:59.48,0:20:03.68,Default,,0000,0000,0000,,nonce mesma e, portanto, mesmo no jogo, é necessário que todos nonce ser
Dialogue: 0,0:20:03.68,0:20:08.30,Default,,0000,0000,0000,,distinta. E então, como sempre dizemos que o sistema é uma criptografia baseada em nonce
Dialogue: 0,0:20:08.30,0:20:13.41,Default,,0000,0000,0000,,sistema que é, semanticamente seguro sob um ataque de texto simples escolhido se o adversário
Dialogue: 0,0:20:13.42,0:20:17.89,Default,,0000,0000,0000,,não consegue distinguir de zero experimento onde ele deu criptografias de esquerda
Dialogue: 0,0:20:17.89,0:20:22.59,Default,,0000,0000,0000,,mensagens de um experimento onde ele deu criptografias das mensagens certas.
Dialogue: 0,0:20:22.59,0:20:27.12,Default,,0000,0000,0000,,Então, vamos olhar um exemplo de um sistema de criptografia baseado em nonce. Como antes, nós
Dialogue: 0,0:20:27.12,0:20:32.12,Default,,0000,0000,0000,,ter um seguro que leva PRF entradas no espaço R nonce e cordas saídas no
Dialogue: 0,0:20:32.12,0:20:36.82,Default,,0000,0000,0000,,mensagem espaço M. Agora, quando uma nova chave é escolhido, vamos redefinir o nosso contador de R
Dialogue: 0,0:20:36.82,0:20:41.01,Default,,0000,0000,0000,,para ser zero. E agora vamos criptografar a mensagem M particular, o que vamos fazer é
Dialogue: 0,0:20:41.01,0:20:45.10,Default,,0000,0000,0000,,vamos incrementar o nosso contador de R, e depois criptografar a mensagem M utilizando o
Dialogue: 0,0:20:45.10,0:20:49.48,Default,,0000,0000,0000,,função pseudo aplicada a este valor R. E, como antes, o texto cifra é
Dialogue: 0,0:20:49.48,0:20:53.86,Default,,0000,0000,0000,,vai conter dois componentes, o nosso valor actual do contador e, em seguida, os
Dialogue: 0,0:20:53.86,0:20:58.52,Default,,0000,0000,0000,,uma criptografia pad hora da mensagem M. E por isso a minha pergunta é se este
Dialogue: 0,0:20:58.52,0:21:03.31,Default,,0000,0000,0000,,é um sistema seguro de criptografia não-espaço. Portanto, a resposta é sim, como antes, mas apenas
Dialogue: 0,0:21:03.31,0:21:08.48,Default,,0000,0000,0000,,se o espaço a nuance é grande o suficiente. Assim como incrementar a R balcão, nunca será
Dialogue: 0,0:21:08.48,0:21:13.28,Default,,0000,0000,0000,,ciclo volta a zero de modo que as nuances sempre, sempre ser único. Argumentamos
Dialogue: 0,0:21:13.28,0:21:18.02,Default,,0000,0000,0000,,segurança da mesma maneira como antes. Porque a PRF é segura, sabemos que este
Dialogue: 0,0:21:18.02,0:21:22.82,Default,,0000,0000,0000,,sistema de criptografia é indistinguível de usar uma função verdadeiramente aleatório. Em
Dialogue: 0,0:21:22.82,0:21:27.49,Default,,0000,0000,0000,,outras palavras, se aplicarmos uma função verdadeiramente aleatório para o balcão e XOR a
Dialogue: 0,0:21:27.49,0:21:32.60,Default,,0000,0000,0000,,resultados com texto simples, o M. Mas agora desde o R nuance nunca se repete, a cada
Dialogue: 0,0:21:32.60,0:21:37.45,Default,,0000,0000,0000,,hora de calcular essa F de R, nós conseguiremos um uniforme verdadeiramente aleatório e independente
Dialogue: 0,0:21:37.45,0:21:42.84,Default,,0000,0000,0000,,corda de modo que nós estamos realmente criptografar todas as mensagens usando o teclado de uma vez. E
Dialogue: 0,0:21:42.84,0:21:48.31,Default,,0000,0000,0000,,como resultado, todos o adversário começa a ver em ambos os experimentos são basicamente um
Dialogue: 0,0:21:48.31,0:21:52.75,Default,,0000,0000,0000,,par de seqüências aleatórias. Assim, ambos zero do experimento e experiência de um a
Dialogue: 0,0:21:52.75,0:21:57.41,Default,,0000,0000,0000,,adversário se é para ver exatamente a mesma distribuição, ou seja, as respostas a todos
Dialogue: 0,0:21:57.41,0:22:02.06,Default,,0000,0000,0000,,este escolhidos consultas de texto simples são apenas pares de cordas que são apenas uniformemente
Dialogue: 0,0:22:02.06,0:22:06.95,Default,,0000,0000,0000,,distribuído e isso é basicamente o mesmo em zero experimentar e experimentar um e,
Dialogue: 0,0:22:06.95,0:22:11.66,Default,,0000,0000,0000,,, portanto, o atacante não consegue distinguir os dois experimentos. E desde que ele não pode
Dialogue: 0,0:22:11.66,0:22:16.21,Default,,0000,0000,0000,,ganhar o jogo semântico de segurança com uma função verdadeiramente aleatório que ele, também, não pode ganhar
Dialogue: 0,0:22:16.21,0:22:20.52,Default,,0000,0000,0000,,o jogo de segurança semântica com a PRF seguro, e, por conseguinte, o sistema é
Dialogue: 0,0:22:20.52,0:22:25.22,Default,,0000,0000,0000,,seguro. Portanto, agora entendemos o que significa para um sistema simétrico para ser seguro quando
Dialogue: 0,0:22:25.22,0:22:30.09,Default,,0000,0000,0000,,as chaves usadas para criptografar mensagens múltiplas a exigência é que seja seguro e sob
Dialogue: 0,0:22:30.09,0:22:34.78,Default,,0000,0000,0000,,um plano de ataque escolhida. E nós dissemos que, basicamente, a única maneira de ser seguro em
Dialogue: 0,0:22:34.78,0:22:39.29,Default,,0000,0000,0000,,um ataque de texto simples ou é escolhido para usar a criptografia randomizado, ou de usar, usar
Dialogue: 0,0:22:39.29,0:22:43.46,Default,,0000,0000,0000,,criptografia nonce espaço onde nunca o nonce repete. E em seguida, na
Dialogue: 0,0:22:43.46,0:22:48.14,Default,,0000,0000,0000,,próximos dois segmentos, nós vamos construir dois sistemas de criptografia clássicos que são seguros
Dialogue: 0,0:22:48.14,0:22:50.17,Default,,0000,0000,0000,,quando a chave é usada várias vezes.