Điểm:2

Katz/Lindell 2.4 - Tổng quát hóa từ 2 tin nhắn thành bất kỳ không gian tin nhắn nào?

lá cờ fr

Tôi đang cố gắng giải quyết vấn đề 2.4 trong "Nhập môn mật mã học hiện đại" (tái bản lần 2) để tự nghiên cứu.

Bài toán yêu cầu chứng minh tính bí mật tuyệt đối đó $$ Pr[M = m | C = c] = Pr[M = m] $$

ngụ ý

$$ Pr[Enc_k(m) = c] = Pr[Enc_k(m') = c] $$

Giải pháp diễn ra như sau:

Sửa hai tin nhắn $m, m'$ và một bản mã $c$ xảy ra với xác suất khác không và xem xét phân phối đồng đều trên $\{m, m'\}$. Bí mật hoàn hảo ngụ ý rằng $Pr[M = m | C = c] = \frac{1}{2} = Pr[M = m' | C = c]$ Cho nên

$$ \frac{1}{2} = Pr[M = m| C = c] = \frac{Pr[C = c| M = m] * Pr[M = m]}{Pr[C = c]} $$

đơn giản hóa thành

$$ \frac{\frac{1}{2}Pr[C = c | M = m]}{Pr[C = c]} $$

và vì thế $Pr[C = c | M = m]$ = $Pr[Enc_k(m) = c]$ = $Pr[C = c]$. Vì một tính toán tương tự giữ cho $m'$ đồng thời, chúng tôi kết luận rằng $Pr[Enc_k(m) = c]$ = $Pr[Enc_k(m') = c]$

Vấn đề của tôi là giải pháp này giả định không gian tin nhắn là 2, không thể khái quát hóa được.

Có điều gì tôi đang thiếu làm cho giải pháp này có thể khái quát hóa được không?

Chỉnh sửa: Để được rõ ràng, đây là toàn văn vấn đề.

Bổ đề 2.4: Một lược đồ mã hóa (Gen, Enc, Dec) với không gian bản tin $M$ là tuyệt đối bí mật khi và chỉ khi phương trình (2.1) đúng với mọi $m,m' \in M$ và mọi thứ $c \in C$. Trong đó phương trình 2.1 là đẳng thức thứ 2 trong bài viết này.

Bài toán yêu cầu chứng minh "hướng khác", trong trường hợp này có nghĩa là chứng minh bí mật tuyệt đối => đẳng thức 2.1. (Trong SGK đã chứng minh chiều ngược lại).

Myath avatar
lá cờ in
Bạn có ý nghĩa gì "giải pháp"? Liệu cuốn sách cung cấp giải pháp cho biết?
Foobar avatar
lá cờ fr
Vâng, cuốn sách làm.
kelalaka avatar
lá cờ in
Không, cuốn sách không có giải pháp. Có một giải pháp mà người ta có thể mua riêng. Khi bạn thấy kết quả không có $1/2$ nên bạn có thể đoán rằng nó sẽ bị hủy. Làm việc không gian tin nhắn lớn hơn sẽ yêu cầu $1/n$, chơi theo cách này?
Điểm:3
lá cờ ru

Đây không phải là khiếu nại về "không gian tin nhắn có kích thước 2". Không gian tin nhắn có thể lớn như bạn muốn và đặc tính thứ hai chỉ đơn giản nói rằng, đối với mọi $m,m'$ bạn chọn từ không gian tin nhắn này và cho mọi bản mã có thể $c$, xác suất mà $m$ được mã hóa như $c$ giống như của $m'$ được mã hóa như $c$, được viết là $\Pr[\mathsf{Enc}_k(m) = c] = \Pr[\mathsf{Enc}_k(m') = c]$.

Bây giờ, liên quan đến bản phác thảo của giải pháp bạn đưa ra, không thực sự đúng khi nó "giả sử" một không gian thông báo có kích thước hai. Bạn muốn chứng minh một khẳng định về hai thông điệp cố định $m$$m'$ (cụ thể là, bạn muốn chứng minh rằng $\Pr[\mathsf{Enc}_k(m) = c] = \Pr[\mathsf{Enc}_k(m') = c]$) và bạn muốn làm điều đó trong khi sử dụng bí mật hoàn hảo, điều này nói rằng, đối với mọi thư $\mu$ và mọi bản mã $\gamma$,$^*$ và rất quan trọng, cho mọi phân phối $M$ trên không gian tin nhắn, nó cho rằng $\Pr[M=\mu|C=\gamma] = \Pr[M=\mu]$.

Cho rằng bí mật hoàn hảo giữ cho bất kỳ phân phối nào, chúng tôi có thể tùy ý chọn bất kỳ phân phối nào giúp chúng tôi chứng minh yêu cầu của mình. Giải pháp bạn đang đề xuất chỉ đơn giản là lấy phân phối xác suất lấy mẫu $m$ với xác suất $1/2$, $m'$ cũng với xác suất $1/2$, và tất cả các tin nhắn khác được lấy mẫu với xác suất $0$. Người ta cũng có thể nói rằng không gian tin nhắn bị "hạn chế" đối với $\{m,m'\}$, nhưng những gì đang thực sự xảy ra là những gì tôi đã nói trước đó. Bây giờ chúng tôi đã sửa phân phối xác suất, chúng tôi cũng sửa $\mu = m$$\gamma = c$ đầu tiên, áp dụng bí mật hoàn hảo, sau đó sửa chữa $\mu = m'$ và áp dụng bí mật hoàn hảo một lần nữa, để có được các biểu thức khác nhau có thể được thao tác để có được những gì chúng ta cần.

Nói ngắn gọn, đây chỉ là một giả tạo của bằng chứng vì khẳng định mà bạn muốn chứng minh chỉ liên quan đến một cặp thông báo cố định $m,m'$, vậy bạn có thể hạn chế phân phối xác suất chỉ cho hai yếu tố này và áp dụng bí mật hoàn hảo cho phân phối này.


$^*$ Lưu ý rằng tôi sử dụng các tên khác thay vì $m$$c$, vì cái sau đã được sửa sẵn trong ngữ cảnh của chúng tôi.

Daniel avatar
lá cờ ru
@kelalaka Trừ khi tôi thiếu thứ gì đó, đây không phải là một giả định mà là một lựa chọn mà bạn * có thể * đưa ra để làm bằng chứng cho nó hoạt động. Nó không phải là một giả định theo nghĩa là nó không hoạt động đối với các cài đặt "chung" hơn hoặc những thứ tương tự. Bản thân yêu cầu xử lý một cặp thông báo cố định $m,m'$. Nếu một người muốn một cái gì đó tổng quát hơn thì người đó nên xem xét sửa đổi đặc tính hơn là bằng chứng của nó.
Daniel avatar
lá cờ ru
@kelalaka Tôi không chắc chúng ta thậm chí đang nói về điều tương tự ở đây.Bạn nói đúng rằng bảo mật hoàn hảo không bị hạn chế đối với thống nhất, vì nó áp dụng cho phân phối *bất kỳ* (như tôi đã đề cập trong câu trả lời của mình), nhưng đặc tính được chứng minh ở đây nói về cặp thông báo *bất kỳ* cố định nào $m,m '$. Để chứng minh rằng đặc tính này tương đương với bảo mật hoàn hảo, người ta coi không gian thông báo là $\{m,m'\}$ và sau đó áp dụng bảo mật hoàn hảo, nhưng đây không phải là một sự đơn giản hóa, cũng không phải là một giả định, đây chỉ là một phần của bằng chứng.
Daniel avatar
lá cờ ru
@kelalaka Điều đó nói rằng, để giải quyết cụ thể những gì bạn đã nói: Đặc điểm được đề xuất nói về **cặp** $m,m'$, vì vậy, việc xem xét một bằng chứng trong đó bảo mật hoàn hảo được áp dụng cho không gian tin nhắn $\{ là điều đương nhiên m,m'\}$. Tôi khẳng định đây không phải là sự đơn giản hóa, đây là *cách* để tiến hành chứng minh. Nếu một người muốn "khái quát hóa" thì người đó phải tìm một đặc điểm khác để chứng minh, chẳng hạn như: "với mọi $c$, giá trị của $\Pr[\mathsf{Enc}_k(m) = c]$ là không đổi, bất kể $ m$".
kelalaka avatar
lá cờ in
Tôi thích giáo dục hơn. Câu trả lời của cuốn sách được đơn giản hóa thành `xem xét phân phối đồng đều trên {m1,m2}`, đó là quan điểm của tôi. Giữa đoạn đầu tiên và đoạn thứ hai trong câu trả lời của bạn, thiếu bằng chứng về sự phân phối đồng đều của không gian thông điệp lớn hơn! Sau đó, thật tuyệt khi nói về phân phối tùy ý.
Daniel avatar
lá cờ ru
@kelalaka Điều này "xem xét phân phối đồng đều trên $\{m,m'\}$" ** không ** là một sự đơn giản hóa, đó là ** cách ** để tiến hành bằng chứng. Tôi nghĩ rằng bạn đang gợi ý rằng đây chỉ là "trường hợp cơ bản" cho mục đích minh họa và trường hợp chung bị thiếu, nhưng tôi nhấn mạnh rằng đây đơn giản *không phải* trường hợp. Khiếu nại là về một cặp thông báo (cố định) $m,m'$, chúng đã được sửa khi bạn đi vào bằng chứng và bạn có thể chọn BẤT KỲ phân phối nào trên không gian có khả năng lớn hơn nhiều để chứng minh rằng $\Pr [\mathsf{Enc}_k(m) = c] = \Pr[\mathsf{Enc}_k(m') = c]$....
Daniel avatar
lá cờ ru
@kelalaka ...bạn chọn phân phối chỉ định $1/2$ cho $m$ và $1/2$ cho $m'$ và $0$ cho tất cả các thư khác, có thể được diễn đạt là phân phối thống nhất trên $\{m,m '\}$, sau đó áp dụng tính bảo mật hoàn hảo cho bản phân phối này để có được thứ bạn muốn. Bằng chứng đã hoàn thành 100% vào thời điểm này, không có trường hợp chung nào cần được giải quyết.
Foobar avatar
lá cờ fr
@Daniel Cảm ơn lời giải thích chi tiết! Tôi đã thêm toàn bộ văn bản vấn đề để làm cho mọi thứ rõ ràng hơn. Nó nói rằng phương trình phải giữ cho mọi $m, m' \in M$ (không chắc điều đó có thay đổi gì không)
Foobar avatar
lá cờ fr
@Daniel Tôi cũng đã thêm vào giải pháp đầy đủ
Daniel avatar
lá cờ ru
@Roymunson Bài tập yêu cầu bạn chứng minh điều đó, giả sử tính bí mật hoàn hảo (nói về sự phân phối tùy ý trên toàn bộ không gian tin nhắn), theo sau đó, **cho mọi cặp** $m,m'$ và cho mọi bản mã $c$ , $\Pr[\mathsf{Enc}_k(m) = c] = \Pr[\mathsf{Enc}_k(m') = c]$. Để chứng minh tuyên bố như vậy, bạn bắt đầu bằng cách sửa $m,m'$ và $c$, vì vậy đối với phần còn lại của bằng chứng, các giá trị này chỉ là hằng số và bạn có thể áp dụng tính bảo mật hoàn hảo với phân phối *bất kỳ* nào mà bạn chọn, cụ thể là bạn có thể sử dụng cái gán $1/2$ cho cả $m$ và $m'$ và 0 cho tất cả các thư khác.
Foobar avatar
lá cờ fr
@Daniel Có phải $M$ có thể là bất kỳ bản phân phối nào không?
Daniel avatar
lá cờ ru
@Roymunson Sự nhầm lẫn ở đây thực sự đến từ toán học và bằng chứng, không phải mật mã.Bạn có hai định nghĩa: một lược đồ hoàn toàn an toàn nếu, đối với mọi phân phối $M$ trên không gian thông báo $\mathcal{M}$, đối với mọi thông báo $m$ và mọi bản mã $c$, nó giữ $\Pr[ m = m | C = c] = \Pr[M = m]$. Mặt khác, hãy đặt tên cho khái niệm thứ hai, giả sử một lược đồ là "biến thể" hoàn toàn an toàn nếu, với mọi cặp thông báo $m$ và $m'$, và mọi bản mã $c$, nó giữ nguyên $\Pr[\mathsf{Enc}_k(m) = c] = \Pr[\mathsf{Enc}_k(m') = c]$....
Daniel avatar
lá cờ ru
@Roymunson ... Lưu ý rằng định nghĩa thứ hai về bảo mật hoàn hảo "biến thể" này * hoàn toàn không * nói về các bản phân phối trên không gian tin nhắn, trong khi định nghĩa đầu tiên thì có. Hai khái niệm này là tương đương nhau, mặc dù, một lần nữa, một khái niệm yêu cầu thuộc tính nhất định để giữ cho *bất kỳ* phân phối có thể có nào, trong khi khái niệm kia hoàn toàn không nói về phân phối.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.