Este AES cu șir de biți aleatoriu IND-CPA?

Buzz

04.10.2023, 04:40

Lăsa $E:\{0,1\}^{128}\times\{0,1\}^{128}\to\{0,1\}^{128}$ fie criptarea AES și $R\obține\{0,1\}^{128}$ șir de biți aleatoriu uniform. Ar fi $E'(K,P):=R\mathbin\|E(K,P)\mathbin\|E(K,R\oplus P)$ fi IND-CPA?

Nu sunt sigur de părerea mea, dar cred că nu ar mai fi IND-CPA de atunci $E$ este determinist şi $R$ este folosit de două ori în $E'$, arătând, prin urmare, un anumit model.

Poate cineva să explice dacă $E'$ poate fi IND-CPA?

0 + 0

aes

ales-text simplu-atac

DannyNiu

04.10.2023, 06:34

Sugestie: R este folosit de două ori în E', dar este folosit de două ori în două invocări separate?

Răspunde

DannyNiu

04.10.2023, 06:36

Al doilea indiciu: R este folosit în toate locurile în care P este implicat?

Răspunde

fgrieu

04.10.2023, 08:53

Sugestie: este $E(K,P)$ IND-CPA? Dovada? Adaptați această dovadă pentru $Eâ²(K,P)$.

Răspunde

kelalaka

04.10.2023, 17:51

Întrebare prost definită. Nimeni nu are nevoie de $R$ și $E(K,R\oplus P)$ pentru a decripta! Să presupunem că nu este. Puteți arăta că $E$ nu este $\text{Ind-CPA}$ presupunând că a fost deja...

Răspunde

Maarten Bodewes

05.10.2023, 00:46

Amuzant, ai putea vedea asta ca BCE și CBC peste textul simplu.

Răspunde