安全协议——公钥加密基础内容

Indistinguishability（IND）——an adversary’s inability to learn any information about the plaintext x underlying a challenge ciphertext y, capturing a strong notion of privacy.
Non-malleability (NM)—— an adversary’s inability, given a challenge ciphertext y, to output a different ciphertext y0 such that the plaintexts x, x0 underlying these two ciphertexts are “meaningfully related”. (For example, x0= x + 1.) It captures a sense in which ciphertexts can be tamper-proof.

---

NM即不可延展性，表示对手在给定挑战密文y的情况下无法输出不同的密文y0，使得这两个密文下面的明文x、x0有意义地相关。

---

纯文本意识（PA）
PA将对手在不“知道”其底层明文x的情况下无法创建密文形式化（在对手创建“无效”密文的情况下，他应该知道的是密文是无效的），仅在随机oracle（RO）模型中定义。在RO模型中，我们通过向所有参与方（无论好坏）提供一个从字符串到字符串的随机函数H来修饰传统的计算模型。

---

PA（连同IND-CPA的RO版本）意味着IND-CCA2的RO版本。另一方面，IND-CCA2的RO版本并不意味着PA。

---

选择明文攻击（CPA）
对手可以获得他选择的明文的密文。在公钥设置中，给对手公钥就足以捕获这些攻击，因此这类攻击一般是不可避免的场景。
非自适应选择密文攻击（CCA1）
除了公钥之外，对手还可以访问oracle进行解密，但对手只能在被给予挑战密文y之前的一段时间内使用此解密功能（“非自适应”一词是指对解密oracle的查询不能依赖于挑战y），这种攻击也称午餐攻击或午夜攻击
自适应选择密文攻击（CCA2）
攻击者增加了新的访问能力，在密文挑战前后均能查询解密预言机，唯一的限制是对手不能要求解密y本身。（此攻击称为自适应攻击，因为对解密oracle的查询可能依赖于查询y）

---

CCA1 & CCA2 数字越大，攻击越强!!!

---

混合并匹配目标{IND，NM}和攻击{CPA，CCA1，CCA2}的任意组合，从而产生六种安全概念（前者是安全目标，后面是攻击模型）

IND-CPA IND-CCA1 IND-CCA2
NM-CPA NM-CCA1 NM-CCA2

有 “/” 的表明已经证明的分离