-
Neste segmento veremos como usar cifras de bloco para criptografar mensagens múltiplas
-
usando a mesma chave. Isto vem para cima, na prática, por exemplo, em sistemas de ficheiros onde
-
chave o mesmo é usado para criptografar arquivos múltiplos. Ele vem em protocolos de rede
-
, onde a mesma chave é utilizada para criptografar vários pacotes. Então vamos ver como fazer
-
-lo. A primeira coisa que precisamos fazer é definir o que é significa para uma cifra de ser
-
seguro quando a mesma chave é usada para criptografar mensagens múltiplas. Quando usamos o
-
tecla mais uma vez o resultado disso é que o adversário começa a ver muitos cibernético
-
texto criptografado utilizando a mesma chave. Como resultado, quando se definir a segurança, estamos
-
vai permitir que o adversário para montar o que é chamado um ataque de texto escolhido simples. Em
-
outras palavras, o adversário pode obter a criptografia de mensagens arbitrárias de seu
-
escolha. Assim, por exemplo, se o adversário interagindo com Alice. O
-
adversário pode pedir a Alice para criptografar mensagens arbitrárias da do adversário
-
escolha. E Alice vai em frente e criptografar as mensagens e dar a
-
adversário dos textos cifrados resultantes. Você pode se perguntar por que Alice nunca fazer isso.
-
Como isso poderia acontecer na vida real? Mas acontece que este é realmente
-
muito comum na vida real. E, de fato, essa modelagem é bastante conservador
-
modelagem da vida real. Por exemplo, o adversário pode enviar um e-mail Alice. Quando
-
Alice recebe o e-mail, a grava-lo em seu disco criptografado, assim criptografar o
-
e-mail adversário usando sua chave secreta. Se mais tarde o adversário rouba este disco, em seguida,
-
ele obtém a criptografia de um e-mail que ele enviou Alice com chave secreta de Alice. Assim
-
que é um exemplo de um ataque de texto escolhido planície, onde o adversário desde Alice
-
com uma mensagem e ela criptografada que a mensagem usando sua própria chave. E depois
-
atacante foi capaz de obter o texto cifrado resultante. Então essa é a
-
poder do adversário. E então o objetivo do adversário é, basicamente, para quebrar
-
segurança semântica. Portanto, vamos definir isso com mais precisão. Como de costume, nós vamos
-
definir a segurança semântica em um ataque de texto simples escolhido através de dois experimentos,
-
nula experiência e experimentação, que são modeladas como um jogo entre um desafiante
-
e um adversário. Quando o jogo começa, o grande desafio é que vai escolher uma amostra aleatória
-
chave K. E agora o adversário basicamente começa a consultar o desafiante. Assim, o
-
adversário agora começa por enviar uma consulta de segurança semântico, ou seja, ele
-
envia duas mensagens, M zero e um M. Eu adicionei um outro índice, mas deixe-me ignorar
-
índice que extra por um tempo. Assim, o adversário apresenta duas mensagens, M zero e
-
M uma, que acontece ser do mesmo comprimento. E, em seguida, o adversário recebe
-
criptografia de uma dessas mensagens, quer de M zero ou de M uma. Em
-
experiência zero, ele recebe a criptografia de M zero. No primeiro experimento,
-
ele recebe a criptografia de um M. Então, até agora isso parece familiar este parece
-
exatamente como um padrão de segurança semântico [inaudível]. No entanto, o ataque de texto simples
-
adversário pode agora repetir esta consulta novamente. Então, agora você pode emitir uma consulta com
-
outros dois textos simples, de novo do mesmo comprimento, e, novamente, você receberia o
-
criptografia de um deles. No experimento zero, você receberia a criptografia de M
-
zero. No primeiro experimento você receberia a criptografia de um M. E o atacante
-
pode continuar a emitir consultas como este. Na verdade nós vamos dizer que ele pode emitir até Q
-
consultas deste tipo. E então, lembre-se, cada vez que ele emite um par de mensagens.
-
que venham a ser do mesmo comprimento e cada vez que ele ou obtém a encriptação
-
do lado esquerdo ou do lado direito novamente em zero experimento ele sempre terá o
-
criptografia da mensagem deixada no experimento que ele sempre terá o
-
encriptação da mensagem esquerda. E, então o objetivo do adversário é, basicamente, para descobrir
-
saber se ele está em zero experimental ou em experimentação. Em outras palavras, se
-
ele recebia constantemente a criptografia da mensagem a esquerda ou para a criptografia de
-
a mensagem certa. Então, em certo sentido, este é um jogo padrão de segurança de apenas semântica
-
iterada muitas consultas que o atacante pode emitir a adaptativamente uma após
-
o outro. Agora, o ataque de texto simples escolhido é capturado pelo facto de que, se o
-
atacante quer a criptografia de uma mensagem m particular. O que ele poderia fazer é,
-
por exemplo, usam J consulta para J soma, onde neste J consulta ele vai definir tanto o zero
-
mensagem ea mensagem de um ser a mesma mensagem exatamente M. Em outras palavras,
-
tanto a mensagem a esquerda e direita da mensagem são os mesmos, e ambos são definidos para
-
a mensagem M. Neste caso, o que irá receber, uma vez que ambas as mensagens são os mesmos,
-
ele sabe que vai receber a criptografia desta mensagem M que ele era
-
interessados polegadas Então este é exatamente o que significa um ataque escolhido [inaudível].
-
Quando a consultoria pode enviar uma mensagem m e receber a criptografia de que
-
m mensagem especial de sua escolha. Então algumas de suas consultas podem ser deste escolheu
-
sabor texto simples onde a mensagem do lado esquerdo é igual à mensagem do lado direito,
-
, mas algumas das consultas pode ser padrão de segurança consultas semânticas onde as duas
-
mensagens são distintas e que realmente lhe dá informações sobre se ele está em
-
experiência zero ou em um experimento. Agora, agora você deve ser usado para este
-
definição, sempre que dizemos que o sistema é semanticamente seguro sob uma planície escolhida
-
ataque texto. Se, por todos os adversários eficientes, eles não conseguem distinguir
-
nula experiência de um experimento. Em outras palavras, a probabilidade de que, no
-
final, a saída, B Prime, que vamos denotar por a saída do experimento
-
B. Esta saída será o mesmo se nula experiência [inaudível] ou experiência
-
um. Assim, o invasor não podia distinguir entre sempre recebendo criptografias de
-
as mensagens deixadas, versus sempre recebendo criptografias das mensagens certas. Assim, em
-
sua mente, eu gostaria que você esteja pensando em um adversário que é capaz de montar um
-
escolhido ataque de texto simples, ou seja, ser dada a criptografia de mensagens arbitrárias de
-
escolha sua, e seu objetivo é quebrar a segurança semântica por algum outro desafio
-
textos cifrados. E como eu disse neste modelo [inaudível] do mundo real do
-
atacante é capaz de enganar Alice em criptografar mensagens para ele de sua escolha
-
e, em seguida, o objetivo do atacante é de alguma forma, quebrar algum texto cypher desafio. Então, eu
-
alegação de que todas as cifras que temos visto até agora balcão, ou seja determinista
-
modo ou o teclado de uma vez, sentem-se inseguros em um ataque de texto escolhido simples. Mais
-
geralmente, suponha que temos um esquema de criptografia que sempre gera a mesma cifra
-
texto para um M. mensagem particular Em outras palavras, se eu pedir o esquema de criptografia para
-
criptografar a mensagem M uma vez. E então eu pergunto o esquema de criptografia para criptografar o
-
m mensagem novamente. Se em ambos os casos, o esquema de criptografia gera a cifra mesmo
-
texto, então esse sistema não pode estar seguro em um ataque de texto escolhido simples.
-
E ambos modo determinista contador ea almofada tempo um eram de que o sabor. Eles
-
sempre imprimir o mesmo texto cifrado, recebeu a mesma mensagem. E assim vamos ver por que
-
que não pode ser escolhido de texto simples seguro. E o ataque é bastante simples, o que o
-
atacante vai fazer, é que ele vai produzir a mesma mensagem duas vezes. Este apenas diz.
-
que ele realmente quer a criptografia de M0. Então aqui o atacante é dada C0 que é
-
criptografia de M0. Então esta foi a sua consulta de texto escolhido planície onde ele realmente
-
recebeu a criptografia do M0 mensagem de sua escolha. E agora ele vai quebrar
-
segurança semântica. Então o que ele faz é que ele gera duas mensagens, M0 e M1 do
-
mesmo comprimento, e ele vai ser dada a criptografia de MB. Mas baixa e eis que,
-
dissemos que o sistema de criptografia. Sempre envia o texto cifrado mesmo quando o seu
-
criptografar a mensagem, M0. Portanto, se B é = a zero, sabemos que C, esta
-
desafiou texto cifrado, é simplesmente a = CO, porque é a criptografia de M0.
-
No entanto, se B é = a um. Então sabemos que este texto cypher desafio é a
-
criptografia de M1, que é algo diferente de zero para todos os C o atacante não é ele
-
apenas verifica a sua C é = a zero a saída do C0, em outras palavras, ele gera um. Assim, em
-
Neste caso, o atacante é perfeitamente capaz de adivinhar esta B bit, então ele sabe
-
exatamente [inaudível], dada a criptografia de M0, ou a criptografia de M1. E como um
-
resultado, a sua vantagem em ganhar este jogo é um deles. O que significa que o sistema não pode
-
possivelmente ser CPA seguro. Um não é um número insignificante. Então isso mostra que o
-
esquemas de criptografia determinísticos não pode ser CPA-seguro, mas você pode
-
maravilha bem, o que isso significa na prática? Bem, na prática, isso significa
-
novamente que cada mensagem é sempre criptografado para o mesmo texto cifrado. O que
-
isto significa é que se você está a criptografia de arquivos no disco, e acontecer de você ser criptografar
-
dois ficheiros que acontece ser o mesmo, que irá resultar em o mesmo texto cifrado e
-
, em seguida, o atacante, olhando para o disco criptografado, vai aprender que estes dois
-
arquivos realmente conter o mesmo conteúdo. O atacante pode não saber o que o
-
conteúdo é, mas ele vai aprender que esses dois arquivos criptografados são uma criptografia de
-
, o mesmo conteúdo e não deve ser capaz de aprender isso. Da mesma forma, se você enviar dois
-
pacotes cifrados na rede que acontecem para ser o mesmo, o atacante vai
-
não saber o conteúdo desses pacotes, mas ele vai aprender que os dois pacotes
-
realmente conter a mesma informação. Pense, por exemplo de uma voz criptografada
-
conversa. Cada vez há calma sobre a linha, o sistema estará enviando
-
criptografias de zero. Mas desde que a encriptação de zero são sempre mapeado para o mesmo
-
texto cifrado. Um atacante olhando para a rede será capaz de identificar exatamente
-
os pontos da conversa onde não há calma, porque ele sempre vai ver
-
aqueles texto cifra exata mesma o tempo todo. Então esses são exemplos onde determinista
-
criptografia não pode ser seguro. E como eu disse anteriormente, dizemos que o
-
criptografia determinística não pode ser semanticamente seguro sob uma planície escolhida
-
ataque texto. Então o que fazemos, bem a lição aqui é se as chaves secretas vai ser
-
usada para criptografar mensagens múltiplas, é melhor que seja o caso que, dado o mesmo
-
texto simples para criptografar duas vezes. O algoritmo de criptografia deve produzir
-
diferentes textos cifrados. E então há duas maneiras de fazer isso. O primeiro método é
-
que é chamado de encriptação aleatória. Aqui, o algoritmo de encriptação si vai
-
para escolher alguns seqüência aleatória durante o processo de criptografia e vai
-
criptografar a mensagem M utilizando essa seqüência aleatória. Então o que isto significa é que um
-
mensagem particular, M0 por exemplo, não está indo só para ser mapeado para um texto cifrado
-
, mas vai ser mapeado para uma bola toda de textos cifrados. Whereon cada
-
criptografia, basicamente, mostramos um ponto nesta bola. Então, toda vez que criptografar, o
-
algoritmo de criptografia escolhe uma seqüência aleatória, e que leva a seqüência aleatória
-
um ponto nesta bola. Claro que, o algoritmo de descodificação, quando ela toma qualquer
-
ponto nesta bola, sempre vai mapear o resultado para M zero. Do mesmo modo texto cifrado M
-
um será mapeado para uma bola, e cada vez que criptografar M um, nós basicamente de saída
-
um ponto nesta bola. E estas bolas tem que ser separado, de modo que o
-
algoritmo de encriptação, quando se obtém um ponto em que a bola correspondente a M uma,
-
será sempre saída a mensagem M uma. Deste modo, uma vez que o algoritmo de encriptação
-
usa aleatoriedade, se cifrar a mesma mensagem duas vezes, com alta probabilidade de que vai
-
obter textos cifrados diferentes. Infelizmente, isto significa que o texto cifrado
-
necessariamente tem que ser maior que o texto simples, porque de alguma forma a aleatoriedade
-
que foi usado para gerar o texto cifrado está agora codificado de algum modo no texto cifra.
-
Assim, o texto cifrado tem mais espaço. E a grosso modo, o tamanho do texto cifrado é
-
vai ser maior do que o texto simples. Por basicamente o número de bits aleatórios que
-
foram utilizados durante a criptografia. Então, se os textos simples são muito grandes, se a planície
-
textos são gigabytes longo, o número de bits aleatórios vai ser da ordem de
-
128. Então, talvez este espaço extra realmente não importa. Mas se os textos são simples
-
muito curto, talvez eles próprios são 128 bits, em seguida, adicionar um extra de 128 bits para
-
texto a cada cifra vai dobrar o tamanho do texto total de cifra. E que poderia ser
-
bastante caro. Então, como eu digo criptografia randomizado é uma solução bem, mas em alguns
-
casos que realmente introduz um pouco de custos. Então, vamos olhar para um exemplo simples.
-
Então, imagine que temos uma função pseudo-aleatório que leva insumos em um certo
-
r espaço que vai ser chamado de um espaço de uso único. E saídas, saídas na mensagem
-
espaço. E, agora, vamos definir o esquema de criptografia seguinte randomize
-
onde queremos para criptografar a mensagem m com a criptografia de tudo o que vai
-
não é o primeiro que vai gerar um r aleatório neste espaço nonce R. E então ele vai
-
para abrir um texto cypher que consistem em dois componentes, o primeiro componente vai
-
ser este valor R eo segundo componente vai ser uma avaliação de
-
função pseudo-aleatória no ponto R XOR com a mensagem M. E a minha pergunta para
-
você é, isso é o sistema de criptografia semanticamente seguro sob uma planície escolhida
-
ataque texto. Portanto, a resposta correta é sim. Mas só se o espaço R nonce é grande
-
o suficiente para que nunca se repete com R pouca probabilidade muito, muito alto. E vamos
-
rapidamente argumentar por que isso é verdade. Então, em primeiro lugar, porque F é um seguro pseudo-aleatório
-
função, podemos muito bem substituí-lo com uma função verdadeiramente aleatório. Em outras palavras,
-
este é indistinguível da de caso em que encriptar a mensagem M, usando o
-
função F verdadeiramente aleatório pouco, avaliados para apontar R e, em seguida XOR com M.
-
Mas desde que isso nunca r pouco se repete a cada texto cifra usa um pouco diferente do que r
-
isto significa é que os valores de F (r) são aleatórias uniformes cordas independentes
-
o tempo todo. Então, toda vez que criptografar uma mensagem, criptografá-lo essencialmente usando um
-
novo time pad aleatório uniforme um. E desde XORing uma seqüência uniforme com qualquer seqüência
-
simplesmente gera uma nova seqüência de uniforme, o texto cifrado resultante é distribuído como
-
apenas duas cordas aleatórias uniformes. Vou chamá-los de r e r principal. E assim, tanto em
-
experiência zero e no experimento um, tudo o atacante consegue ver são verdadeiramente uniforme
-
seqüências aleatórias r, r ', e uma vez que em ambos os experimentos o atacante está vendo o mesmo
-
distribuição, ele não consegue distinguir as duas distribuições. E assim como a segurança
-
mantém completamente quando estamos usando uma função verdadeiramente aleatório é também vou segurar quando
-
estamos usando uma função pseudo-aleatório. Ok, então este é um bom exemplo de como usar
-
o facto de a função pseudo aleatória se comporta como uma função aleatória para argumentar
-
segurança deste esquema de criptografia particular. Ok, então agora temos um bom
-
exemplo de encriptação aleatória. A outra abordagem para a construção de planície escolhida
-
texto esquemas de criptografia seguras é o que é chamado de criptografia baseada em nonce. Agora, em
-
um sistema de criptografia não-espaço, o algoritmo de criptografia realmente leva três
-
entradas invés de dois. Como é habitual que leva a chave ea mensagem. Mas ele também tem
-
introduzir um adicional chamado nonce. E da mesma forma, a descriptografia algoritmo também
-
leva o nonce como entrada, e então produz o texto resultante descriptografado simples. E
-
o que é esse valor nonce n. Este nonce é um valor público. Ela não precisa de ser
-
escondida do adversário mas o único requisito é que o par (k, n)
-
só é usada para criptografar uma mensagem única. Em outras palavras, este par (k, n)
-
deve mudar de mensagem para mensagem. E há duas maneiras de mudar isso. Uma forma
-
para mudá-la é escolher uma nova chave aleatória para cada mensagem. Ea outra maneira
-
é continuar usando a mesma chave o tempo todo, mas depois temos de escolher um novo para nonce
-
mensagem cada. E, e como eu disse, eu quero enfatizar novamente, desta nonce não precisa
-
ser secreta, e não precisa ser aleatória. O único requisito é o uso único é único.
-
E, de fato, vamos usar este termo ao longo do curso. A nonce
-
para nós, significa um valor único que não se repete. Ele não tem que ser aleatória. Assim
-
vamos olhar alguns exemplos de escolher um nonce, assim, a opção mais simples é
-
simplesmente para tornar o nonce do accounter assim, por exemplo a criação de redes
-
protocolo que você pode imaginar o nonce ser um contador de pacotes que é incrementado
-
cada vez que um pacote é enviado por um remetente ou recebidos pelo receptor, isto significa que
-
encriptador tem para manter o estado de mensagem para mensagem, principalmente, que ele tem que
-
manter esse contador volta e incrementá-lo depois de cada mensagem é transmitida.
-
Curiosamente, se o decrypter na verdade, tem o mesmo estado, então não há necessidade
-
para incluir a nuance no texto cifrado desde a nuance está implícita. Vamos dar uma olhada
-
um exemplo. O protocolo https é executado ao longo de um mecanismo de transporte confiável que
-
significa que os pacotes enviados pelo remetente são assumidos para ser recebida, de modo a uma
-
destinatário. Então, se o remetente envia pacote # 5 e # 6, então o pacote, o destinatário
-
irá receber pacote # 5 e, em seguida pacote # 6, nessa ordem. Este
-
significa que se o remetente mantém um contador de pacotes, o destinatário pode também
-
manter um contador de pacotes e dois contadores basicamente incrementar em sincronia. Neste caso
-
não há nenhuma razão para incluir o uso único em que os pacotes porque o
-
nonce é implícita entre os dois lados. No entanto, em protocolos de outros, por
-
exemplo, em IPsec, tem um protocolo IPsec projetada para criptografar a camada IP. O IP
-
camada não garante a entrega dos pedidos. E assim, o remetente pode enviar
-
pacote # 5 e # 6, então o pacote, mas aqueles que serão recebidos na ordem inversa em
-
o destinatário. Neste caso ainda é bom usar um contador de pacotes como um nonce
-
mas agora a nonce tem de ser incluído no pacote de modo a que o receptor sabe
-
que nonce para usar para desencriptar o pacote recebido. Então, como eu digo, com base nonce
-
criptografia é uma maneira muito eficiente para atingir CPA segurança. Em particular, se o
-
nonce é implícita, não mesmo aumentar o comprimento do texto cifrado. Claro
-
outro método para gerar um único nonce é simplesmente escolher o nonce aleatoriamente
-
assumindo que o espaço nonce é suficientemente grande para que, com grande probabilidade de o
-
nonce nunca será repetido para a vida da chave. Agora, neste caso, nonce
-
criptografia baseada simplesmente reduz a encriptação aleatória. No entanto, o
-
vantagem aqui é que o remetente não precisa manter todo o estado de mensagem para
-
mensagem. Então isso é muito útil, por exemplo se a criptografia acontece a tomar
-
lugar em vários dispositivos. Por exemplo, eu poderia ter um laptop e um inteligente
-
telefone. Eles podem tanto usar a mesma chave. Mas neste caso, se eu preciso de estado completo
-
criptografia, então meu laptop eo smartphone teria que coordenar a
-
certifique-se que eles nunca reutilizar os nonces mesmos. Considerando que, se os dois simplesmente tomar
-
nonces ao acaso, eles não precisam de coordenar porque era muito elevada
-
probabilidade eles simplesmente nunca escolher o nonce mesmo. Novamente assumindo que o nonce
-
espaço é grande o suficiente. Então, existem alguns casos onde a criptografia apátrida é bastante
-
importante, nomeadamente quando a mesma chave é utilizada por várias máquinas. Então, eu
-
queria encontrar, mais precisamente, o que significa segurança para nonce base
-
criptografia. E, em particular, quero enfatizar que o sistema deve permanecer
-
seguro quando o nonce são escolhidos pelo adversário. A razão é importante
-
para permitir que o adversário para escolher os nonces é porque o adversário pode
-
escolher qual texto cifrado ele quer atacar. Então, imagine o nonce acontece
-
ser um contador e acontece que, quando o couter atinge o valor 15, talvez
-
nesse ponto é fácil para o adversário para quebrar a segurança semântica. Assim, o
-
adversário vai esperar até o décimo quinto pacote é enviado e só então ele vai pedir
-
para quebrar a segurança semântica. Então, quando falamos de criptografia baseada em nonce, nós
-
geralmente permitem que o adversário para escolher o nonce eo sistema deve permanecer
-
garantir, mesmo sob essas configurações. Portanto, vamos definir o jogo CPA neste caso e é
-
realmente muito parecido com o jogo antes. Basicamente, o atacante começa a apresentar
-
pares de mensagens IM, MI0, e MI1. Obviamente que ambos têm de ser do mesmo
-
comprimento. E ele começa a fornecer o nonce. E em resposta, o adversário é dada
-
a criptografia de qualquer MI0, ou MI1. Mas usando o nonce que o adversário
-
escolheu. E, claro, como de costume, o objetivo do adversário é para dizer se ele era
-
dada a criptografia do texto simples esquerda ou direita o texto sem formatação. E como
-
antes de o adversário começa a repetir essas consultas e ele pode emitir tantas, como muitos
-
consultas como ele quer, nós normalmente vamos q denotar o número de consultas que o
-
questões adversário. Agora, a única restrição de curso, que é crucial, é que
-
embora o adversário começa a escolher os nonces, ele está restrito a escolher
-
nonces distintas. A razão por que obrigá-lo a escolher nonces distintos é porque
-
essa é a exigência na prática. Mesmo que os tolos adversário Alice em
-
criptografar várias mensagens para ele, Alice nunca vai usar o mesmo nonce
-
novamente. Como resultado, o adversário nunca verá mensagens criptografadas usando o
-
nonce mesma e, portanto, mesmo no jogo, é necessário que todos nonce ser
-
distinta. E então, como sempre dizemos que o sistema é uma criptografia baseada em nonce
-
sistema que é, semanticamente seguro sob um ataque de texto simples escolhido se o adversário
-
não consegue distinguir de zero experimento onde ele deu criptografias de esquerda
-
mensagens de um experimento onde ele deu criptografias das mensagens certas.
-
Então, vamos olhar um exemplo de um sistema de criptografia baseado em nonce. Como antes, nós
-
ter um seguro que leva PRF entradas no espaço R nonce e cordas saídas no
-
mensagem espaço M. Agora, quando uma nova chave é escolhido, vamos redefinir o nosso contador de R
-
para ser zero. E agora vamos criptografar a mensagem M particular, o que vamos fazer é
-
vamos incrementar o nosso contador de R, e depois criptografar a mensagem M utilizando o
-
função pseudo aplicada a este valor R. E, como antes, o texto cifra é
-
vai conter dois componentes, o nosso valor actual do contador e, em seguida, os
-
uma criptografia pad hora da mensagem M. E por isso a minha pergunta é se este
-
é um sistema seguro de criptografia não-espaço. Portanto, a resposta é sim, como antes, mas apenas
-
se o espaço a nuance é grande o suficiente. Assim como incrementar a R balcão, nunca será
-
ciclo volta a zero de modo que as nuances sempre, sempre ser único. Argumentamos
-
segurança da mesma maneira como antes. Porque a PRF é segura, sabemos que este
-
sistema de criptografia é indistinguível de usar uma função verdadeiramente aleatório. Em
-
outras palavras, se aplicarmos uma função verdadeiramente aleatório para o balcão e XOR a
-
resultados com texto simples, o M. Mas agora desde o R nuance nunca se repete, a cada
-
hora de calcular essa F de R, nós conseguiremos um uniforme verdadeiramente aleatório e independente
-
corda de modo que nós estamos realmente criptografar todas as mensagens usando o teclado de uma vez. E
-
como resultado, todos o adversário começa a ver em ambos os experimentos são basicamente um
-
par de seqüências aleatórias. Assim, ambos zero do experimento e experiência de um a
-
adversário se é para ver exatamente a mesma distribuição, ou seja, as respostas a todos
-
este escolhidos consultas de texto simples são apenas pares de cordas que são apenas uniformemente
-
distribuído e isso é basicamente o mesmo em zero experimentar e experimentar um e,
-
, portanto, o atacante não consegue distinguir os dois experimentos. E desde que ele não pode
-
ganhar o jogo semântico de segurança com uma função verdadeiramente aleatório que ele, também, não pode ganhar
-
o jogo de segurança semântica com a PRF seguro, e, por conseguinte, o sistema é
-
seguro. Portanto, agora entendemos o que significa para um sistema simétrico para ser seguro quando
-
as chaves usadas para criptografar mensagens múltiplas a exigência é que seja seguro e sob
-
um plano de ataque escolhida. E nós dissemos que, basicamente, a única maneira de ser seguro em
-
um ataque de texto simples ou é escolhido para usar a criptografia randomizado, ou de usar, usar
-
criptografia nonce espaço onde nunca o nonce repete. E em seguida, na
-
próximos dois segmentos, nós vamos construir dois sistemas de criptografia clássicos que são seguros
-
quando a chave é usada várias vezes.