[Parafrazare] Există un cifr de flux MTP securizat?
Aș susține că nu există, cel puțin, nu cu o interpretare rezonabilă a „cifrului de flux MTP”.
Pentru „cifrarea fluxului MTP”, voi pune două constrângeri:
Este deterministă [1]; adică nu există IV sau alt randomizator, iar starea cifră nu este actualizată între mesaje. Evident, există cifre care fie folosesc un IV, fie actualizează starea cifrului; totuși, dacă faci asta, poți genera cu ușurință fluxuri de chei diferite bazate pe starea IV/cipherstate și, prin urmare, aș susține că acestea nu sunt cifruri „MTP”
Este online; adică, atunci când se generează o secțiune de text cifrat, este nevoie de o secțiune de text simplu și starea cifrată curentă și generează acea parte a textului cifrat (și, eventual, actualizează starea cifrată). Mai exact, acea secțiune a textului cifrat nu este afectată de părțile ulterioare ale textului simplu. Aș susține că, dacă aveți ceva care încalcă asta, nu este în mod semnificativ un „cifr de flux”.
Dacă avem un cifr care respectă ambele constrângeri de mai sus, luați în considerare ce ar face dacă i s-ar da cele două texte clare:
$$AAAA...AAA$$
$$AAAA...AAB$$
Pentru prima parte a textului cifrat, acesta trebuie să genereze texte cifrate identice pentru ambele mesaje; pentru că textul clar pe care îi este permis să-l vadă este identic și pentru că trebuie să fie determanistic. Prin urmare, faptul că cele două texte clare sunt legate este evident din textul cifrat rezultat, deci nu este sigur.
Prin urmare, pentru a atinge securitatea, orice cifru trebuie să încalce una dintre cele două constrângeri.
[1]: S-ar putea afirma că determinismul exclude automat securitatea, deoarece un adversar poate distinge un cifr determinist de aleatoriu solicitând criptarea a două texte clare identice. Nu voi face asta aici; nu este atât de nerezonabil să relaxezi constrângerile CPA pentru a cere adversarului să aleagă texte clare distincte, mai ales când se realizează cu o aplicație din lumea reală care are constrângerea că dimensiunea textului cifrat trebuie să fie aceeași cu dimensiunea textului simplu.