Tại sao chỉ cần có tính bí mật/không thể phân biệt hoàn hảo (chứ không phải tính ngẫu nhiên) là đủ cho các sơ đồ mã hóa mà không phải cho mật mã khối?
Mật mã khối là nguyên thủy. Chúng tôi muốn chúng trở thành Hoán vị giả ngẫu nhiên (PRP) và bảo mật trước các cuộc tấn công như tấn công vũ phu, tuyến tính và vi sai.
Khi chúng tôi muốn mã hóa/giải mã, chúng tôi cần Lược đồ mã hóa bao gồm các thuật toán tạo khóa, mã hóa và giải mã ( một cách không chính thức; nó định nghĩa cách sử dụng mật mã khối để mã hóa). Để hình thành một lược đồ, chúng ta cần một phương thức hoạt động đối với một mật mã khối trong đó cách xác định nhiều thông báo khối, ngẫu nhiên hóa (IV, nonce, tweak), v.v. Sau đó, chúng ta có thể nói về tính không thể phân biệt được trên các sơ đồ mã hóa theo mô hình đối thủ như Ind-CPA.
Ngay cả chế độ ECB cũng là một sơ đồ mã hóa mà chúng ta phải quên đi.
Tại sao nó cần phải được hoán vị ngẫu nhiên?
Chính thức hóa tốt hơn là Tại sao nó cần phải được giả hoán vị ngẫu nhiên.
Bằng chứng bảo mật (Ind-X) đã dựa vào PRP * của mật mã khối (xem các bằng chứng được bắt đầu bằng để cho $F$ là một PRP), nếu không, bằng chứng là không dễ dàng để hiển thị. Trên thực tế, các định lý bảo mật không yêu cầu sự tồn tại của PRP. Vì vậy, các giới hạn được thiết lập với một PRP (lý tưởng) và nếu bạn bắt đầu khởi tạo sơ đồ mã hóa (hiện thực hóa) này và nếu mật mã khối không phải là PRP thì các giới hạn sẽ không hoạt động.
Nếu mật mã khối được chứng minh không phải là PRP thì người ta có một phân biệt vì nó có thể được sử dụng để khai thác sơ đồ mã hóa mà mật mã khối này được sử dụng.
Nếu mật mã khối bị hỏng, thì chế độ mã hóa không an toàn với mật mã khối này.
Mặt khác, tại sao thuộc tính bí mật/không thể phân biệt hoàn hảo không đủ cho một mật mã khối?
Người ta có thể nói về bí mật hoàn hảo của mật mã khối hạn chế (nó là một sơ đồ mã hóa) mặc dù không khả thi để chứng minh vì nó ngụ ý rằng nó bị hỏng. Như bạn có thể thấy, nó yêu cầu những hạn chế mà chúng tôi không có.
Mật mã lý tưởng vs Lược đồ mã hóa lý tưởng
Hãy nhớ rằng mật mã khối là một họ các hoán vị trong đó mỗi hoán vị được chọn/đại diện bởi một khóa; $$F:\{0,1\}^k\times \{0,1\}^b \to \{0,1\}^b$$
Một mật mã lý tưởng là một mô hình rằng chúng tôi giả sử mật mã khối là một hoán vị ngẫu nhiên cho mọi khóa và các hoán vị đó độc lập với nhau. Điều này là quá nhiều đối với một sự lý tưởng hóa vì không có cấu trúc nào cho điều này dưới một cấu trúc nhỏ như mật mã khối. Chúng ta cần một gnome như trong mô hình Random Oracle. Điều này một lần nữa được sử dụng trong việc chứng minh các cấu trúc. Sau đó, khi bạn cần thực hiện việc xây dựng đó, bạn phải chuyển sang một mô hình thực tế và đối mặt với việc sử dụng mật mã khối để thực hiện nó.
* Phải nói rằng phương thức hoạt động không bị giới hạn đối với PRP, có những phương thức hoạt động (CTR, CFB) có thể sử dụng PRF thì giới hạn sẽ khác, xem bổ đề chuyển đổi PRF-PRF
