流密码及多消息窃听不可区分

流密码

• 定义

  生成伪随机流的算法

• 理解

  流密码本质上不是一个加密方案，而是构造加密方案的工具

多消息窃听不可区分实验$Priv{K}_{\mathrm{A},\Pi }^{mult}(n)$

• 定义

  1. $\mathrm{A}$被给定输入$1^n$，输出一对消息向量$M_0=(m_0^1,m_0^2,\cdots ,m_0^t),M_1=(m_1^1,m_1^2,\cdots ,m_1^t)$，对于所有$i$，满足$|m_0^i|=|m_1^i|$
  2. 运行$Gen(1^n)$生成密钥$k$，选择一个随机比特$b\leftarrow \{0,1\}$，对于所有$i$，计算$c_i\leftarrow En{c}_k(m_b^i)$，将密文向量$C=(c_1,c_2,\cdots ,c_t)$给$\mathrm{A}$
  3. $\mathrm{A}$输出一个比特$$\begin{gathered} b^{{ \\ }^{\prime }} \end{gathered}$$
  4. 如果$$\begin{gathered} b^{{ \\ }^{\prime }}=b \end{gathered}$$，实验输出$1$，否则输出$0$

• 理解

  此实验的变化在于，使用相同密钥加密了一组消息；加密方案能否在这种情况下依旧保持不泄露任何有关明文的信息？

  显然，如果在一组消息中有两个相同的消息，而且它们加密后的密文也是相同的，那么窃听者就能够知道，该组消息中有至少两个相同的明文，从写泄露了明文的信息

  也就是说，任何确定性的加密方案都无法通过这个实验

窃听者存在下的多消息不可区分性

• 定义

  对称加密方案$\Pi =(Gen,Enc,Dec)$，对所有概率多项式时间敌手$\mathrm{A}$，存在一个可忽略函数$negl$，满足
  $$Pr[Priv{K}_{\mathrm{A},\Pi }^{mult}(n)=1]\le \frac{1}{2}+negl$$
  则称$\Pi$具备窃听者存在下的多消息不可区分性

使用流密码的安全多次加密

同步模式

• 其本质也是一次一密，通信双方使用一个持续流来加密它们的消息，因此没有任何一段密钥被使用超过一次

非同步式

• 根据其定义，它几乎就是一个使用伪随机函数的加密方案
  $$En{c}_k(m):=⟨IV,G(k,IV)\oplus m⟩$$