現代密碼學2.2、2.3--由“一次一密/One-Time Pad”引出具有完美安全的密碼方案共同缺點

• One-Time Pad密碼方案
• • 定義
  • 正確性/correctness
  • 完美隱藏性/perfectly secret
• 具有完美隱藏性的密碼方案的共同缺點
• • 特例缺點
  • 共同缺點

博主正在學習INTRODUCTION TO MODERN CRYPTOGRAPHY (Second Edition) --Jonathan Katz, Yehuda Lindell，做一些筆記供自己回憶，如有錯誤請指正。整理成一個系列現代密碼學，方便檢索。

《現代密碼學》第一章所介紹的古典密碼，全都已經被破解了，而2.1節介紹了具有完美隱藏性的密碼方案的定義。了解完美隱藏性后，《現代密碼學》在2.2、2.3節向我們介紹了一種具有完美隱藏性的密碼方案One-Time Pad，進而引出這樣的密碼方案不可避免的缺點，并嚴格證明這些缺點是所有具有完美隱藏性的密碼方案不可避免的。

One-Time Pad密碼方案

定義

給定一個正整數$l$，明文空間、密鑰空間、密文空間都是$\{0,1{\}}^l$，長度為$l$的01串。
$Gen$：從密鑰空間$\mathcal{K}=\{0,1{\}}^l$中均勻隨機取出一個字符串作為密鑰$k$，每一個的概率都是$2^{?l}$
$Enc$：對于明文$m\in \{0,1{\}}^l$，用密鑰$k\in \{0,1{\}}^l$加密，得到密文$c:=k?m$
$Dec$：對于密文$c\in \{0,1{\}}^l$，用密鑰$k\in \{0,1{\}}^l$解密，得到明文$m:=k?c$

正確性/correctness

易證：$Dec(En{c}_k(m))=Dec(k?m)=k?k?m=m$
（因為$k?k=0^l$，$0^l?m=m$，異或是相同為0，不同為1）

完美隱藏性/perfectly secret

要證$Pr[M=m|C=c]=Pr[M=m]$

• $Pr[M=m|C=c]=\frac{Pr[C=c|M=m]?Pr[M=m]}{Pr[C=c]}$
• $Pr[C=c|M=m]=Pr[En{c}_k(m)=c]=Pr[k?m=c]=Pr[k=m?c]=2^{?l}$
  $\to Pr[C=c]={\sum }_{m\in \mathcal{M}}Pr[C=c|M=m]?Pr[M=m]={\sum }_{m\in \mathcal{M}}{2}^{?l}?Pr[M=m]=2^{?l}$
  $\to Pr[M=m|C=c]=\frac{2^{?l}?Pr[M=m]}{2^{?l}}=Pr[M=m]$

具有完美隱藏性的密碼方案的共同缺點

特例缺點

通過一個特例：One-Time Pad，可以看出它的缺點主要有兩個：

• 密鑰需要和明文一樣長，很難保存這么長的密鑰，且在知道明文前無法確定密鑰長度。
• 一個密鑰只能用一次，如果用兩次，則有
  $c_1=k?m_1,c_2=k?m_2$，
  $\to c_1?c_2=m_1?m_2$，這樣會泄露部分信息。

共同缺點

要有密鑰空間$|\mathcal{K}|\ge$明文空間$|\mathcal{M}|$，才是具有完美隱藏性的密碼方案。

證明：反證法，假設密鑰空間$\mathcal{K}<$明文空間$\mathcal{M}$。

• 令$\mathcal{M}(c)$表示密文$c$解密后得到的明文，由于密鑰$k$不確定，所以這是一個明文集合：$\mathcal{M}(c)=\{m|m=De{c}_k(c)$ for $k\in \mathcal{K}\}$
  由于$De{c}_k()$是確定性函數，即對于一個密鑰$k$，解密的明文結果只可能是一個確定的明文$m$。那么$?c\in \mathcal{C}，|\mathcal{M}(c)|\le |\mathcal{K}|$。
• 因為$|\mathcal{K}|<|\mathcal{M}|$，那么$?m^{\prime }\in \mathcal{M}，m^{\prime }\in /\mathcal{M}(c)$。
• 那么$Pr[M=m^{\prime }|C=c]=0=Pr[M=m^{\prime }]$。

總結

以上是生活随笔為你收集整理的现代密码学2.2、2.3--由“一次一密”引出具有完美安全的密码方案共同缺点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。