Conform definițiilor standard ale criptării cu chei publice securizate CPA, există exact aceleași garanții de securitate pentru protocol A --> B : {T},{P} și A --> B : {T,P}. Confidențialitate și nimic altceva.
Dovadă: din orice criptare cu cheie publică securizată CPA, construim alta după cum urmează:
- Definim noua criptare a unui mesaj pe un singur bit¹ $m$ să fie criptarea originală a unui bit aleatoriu $b$, concatenat cu $c:=m\oplus b$. Decriptare descifrare $b$, apoi găsește $m=c\oplus b$.
- Definim că noua criptare a unui mesaj pe mai mulți biți este concatenarea noii criptări a fiecărui bit de mesaj. Decriptarea descifrează biți indivizi și reconstruiește mesajul original.
Este ușor de demonstrat că noua schemă de criptare decriptează corect și este sigură CPA. Pentru această schemă de criptare și orice mesaje T și P tine {T,P} = {T},{P} astfel, cele două metode din întrebare nu se pot distinge, deci la fel de sigure.
În ambele cazuri, datele nu sunt autentificate. Adversarii pot cripta orice mesaj și pot înlocui rezultatul cu originalul. Și ar trebui să presupunem că pot manipula o criptogramă pentru a modifica orice parte a textului simplu după decriptare, inclusiv inserarea, reordonarea, duplicarea, răsturnarea puțin, adăugarea unei constante.
Notă: există scheme de criptare A --> B : {T},{P} susceptibil la atacuri care nu pt A --> B : {T,P} (ca a schimba ce B ajunge la {T'},{P} cu T' un timp apropiat, care permite găsirea {P} înainte de întâlnirea planificată urmând B încercând să meargă la locul de întâlnire prea devreme).Ideea mea este că declarația problemei nu permite concluzia că sistemul de criptare utilizat este unul dintre aceste criptosisteme nemaleabile.
¹ schimbați bit în octet dacă criptosistemul permite doar mesaje cu dimensiunea multiplă de 8 biți.
