《Introduction To Modern Cryptography》读书笔记二

---

《Introduction To Modern Cryptography》读书笔记二

本笔记纯粹个人读书习惯与相应见解，内容归纳完全出于个人需要与个人局限，如有修改意见（比如哪儿应该是值得加粗的重点），欢迎斧正，QQ:2570101165

二、 Perfectly Secret Encryption

上一章讲了古典密码，用很少的计算量就能攻破。

这章讲另一个极端——完美保密（perfectly secret），将从这个概念的定义和其应该满足的条件入手。

这章内容不是现代密码学！！！因为它只有1.4三个原则中的定义和证明，并没有依赖假设。虽然更简单但却因此有了局限性

改颜色方法1

$改颜色方法2$

改颜色方法3

2.1 Generating randomness

本章使用 包含随机选择算法的概率实验 来定义安全性并分析方案，所以本节先讨论一下适用于密码学应用的随机生成问题

在整本书中，我们将简单地假设各方都能获得无限的、独立的、无偏的随机比特。本节就是讨论实际操作时，这些随机比特怎么生成。

2.1.1 手工生成

例如：投掷一枚均匀的硬币（fair coin）

缺点：不方便，规模小

2.1.2 现代方法

1. 收集一个有大量高熵数据的数据池（高度不可预测，但不一定uniform）
2. 对这些高熵数据进行处理，以产生一个几乎独立且无偏置的比特序列（必要的，为了uniform）

“uniform”我的理解是均匀、等概、足够随机

2.1.3 现代方法第一步の解释与补充

1. 需要一个不可预测的数据来源。例如：1）敲击键盘、网络延迟、鼠标移动等外部输入；2）热/散射噪声或放射性衰变等物理现象
2. 收集的数据可能远非uniform（我理解为可能带有明显的个性），但足够多的话也会有足够的熵
3. 因特尔把这个实现在处理器上了

2.1.4 现代方法第二步の解释与补充

1. 分清楚高熵和均匀的区别！！！

2. 一个真实硬币（正面概率：$p$ 反面概率：$1-p$）抛一千次得到的数据具有高熵，但是并不uniform

3. 上述问题解决办法（高熵->uniform）

   • “0”：先正后反 概率：$p(1-p)$
   • “1”：先反后正 概率：$(1-p)p$

   一个想法：把正正和反反定义为第三态，即三进制。“第三态”出现的概率会大于其它两种，会不会和这个世界的量子层面的规律重合？这样做还能把将近一半废弃的数据重新利用起来

4. 应该使用为加密而设计的随机数生成器，而不是不适合密码学应用的“通用”随机数生成器。例如：C语言stdlib.h库中的rand()函数不符合密码学安全要求（随机化种子一样，产生的随机数就一样，因此是一种伪随机）

5.6.4将继续涉及如何把高熵数据转化为uniform的比特串

2.1.5 补充：m序列的伪随机性

只能要求截获比周期短的一段时不会泄露更多信息，这样的序列称为伪随机序列

流密码中经常用，这儿仅作为联系与补充

1.基本概念介绍

1. 游程

   例如00110111，前两个数字00，称为0的2游程；接着是11，是1的2游程；再下来是0的1游程和1的3游程

2. GF(2)上周期为$T$的序列$\left\{a_i\right\}$的自相关函数定义
   $$R(\tau )=\frac{1}{T}\sum _{k=1}^T(-1{)}^{a_k}(-1{)}^{a_{k+\tau }},0\le \tau \le T-1$$
   定义中的和式表示序列$\left\{a_i\right\}$与$\left\{a_{i+\tau }\right\}$（序列$\left\{a_i\right\}$向后平移$\tau$位得到）在一个周期内对应位相同的位数与对应位不同的位数之差。当$\tau =0$时，$R(\tau )=1$；当$\tau \ne 0$时，称$R(\tau )$为异相自相关函数

2. Golomb的3个随机性公设

1. 在序列的一个周期内，0与1的个数相差最多为1

2. 在序列的一个周期内，长为1的游程占游程总数的$\frac{1}{2}$，长为2的游程占游程总数的$\frac{1}{2^2}$，…，长为$i$的游程占游程总数的$\frac{1}{2^i}$，…，且在等长的游程中0的游程个数和1的游程个数相等

3. 异自相关函数是一个常数

   公设（1）说明$\left\{a_i\right\}$中0与1出现的概率基本上相同

   公设（2）说明0与1在序列中每一位置出现的概率相同

   公设（3）意味着通过对序列与其平移后的序列做比较，不能给出任何信息

3. 密码学角度的补充

1. $\left\{a_i\right\}$的周期相当大
2. $\left\{a_i\right\}$的确定在计算上是容易的
3. 由密文及相应的明文的部分信息，不能确定整个$\left\{a_i\right\}$

4. ***扩展到n长m序列（随便看看就行）

1. 在一个周期内，0与1出现的次数分别为$2^{n-1}-1$和$2^{n-1}$

2. 在一个周期内，总游程数为$2^{n-1}$；对$1\le i\le n-2$，长为$i$的游程有$2^{n-i-1}$个，且0、1游程各半；长为$n-1$的0游程一个，长为$n$的1游程一个

3. $\left\{a_i\right\}$的自相关函数为（证明略）
   $$R(\tau )=\{\begin{array}{l}1,\tau =0\\ \\ -\frac{1}{2^{n-1}-1},0<\tau \le 2^n-2\end{array}$$

2.2 Definitions

2.2.1 前情回顾+概念补充

1. 一个加密方案包含三个算法（$\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c}$）和一个有限的消息空间$\mathcal{M}$($|\mathcal{M}|>1$)

2. $\mathrm{G}\mathrm{e}\mathrm{n}$是个概率（probabilistic）算法，它生成的全部密钥$k$构成的（有限）集合称为密钥空间$\mathcal{K}$

3. $\mathrm{E}\mathrm{n}\mathrm{c}$也是一个概率算法（所以${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$在多次运行时可能会输出不同的密文$c$），我们用$c\leftarrow {\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$表示这个过程（如果$\mathrm{E}\mathrm{n}\mathrm{c}$是确定性的，我们可以用$c:={\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$来强调），$m\in \mathcal{M},k\in \mathcal{K}$

   有一说一我没想到合适的例子(学长提示，很多用到随机数的公钥加密会用到，例如Elgamal加密算法)

   以后我们也可以用 $x\leftarrow S$ 来表示从集合$S$中均匀挑选$x$(uniform selection)

4. 我们把${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)$的所有输出$c$构成的集合称为$\mathcal{C}$

5. $\mathrm{D}\mathrm{e}\mathrm{c}$是一个不失一般性的确定性算法，完美正确性（perfect
   correctness）要求每次解密都百分百正确，即$m:={\mathrm{D}\mathrm{e}\mathrm{c}}_k(c)$，$c\in \mathcal{C},k\in \mathcal{K},m\in \mathcal{M}$

   我认为这儿在强调解密的不二性

6. $\mathcal{K},\mathcal{M},\mathcal{C}$的分布

   • $\mathrm{P}\mathrm{r}[K=k]$，取决于方案本身，即$\mathrm{G}\mathrm{e}\mathrm{n}$算法
   • $\mathrm{P}\mathrm{r}[M=m]$，取决于应用方案的环境，与上面的$K$是相互独立的
   • $\mathrm{P}\mathrm{r}[C=c]$，取决于上面两个因素

2.2.2 Perfect secrecy

背景：攻击者知道$m$的概率分布 + 知道加密方案 + 仅不知道密钥 + 唯密文攻击

1. 定义1

$$\mathrm{P}\mathrm{r}[M=m\mid C=c]=\mathrm{P}\mathrm{r}[M=m]\mathrm{P}\mathrm{r}[C=c]>0\text{\hspace{1em}(2.1)}$$
一个方案若满足等式2.1，则该方案是完美保密的

解释：消息m被发送的先验概率（priori probability），与 以密文c被观察到为前提而推出消息m被发送 的后验概率（posteriori probability）相同

即，密文不会透露任何关于底层明文的信息

2. 引理1

$$\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{\mathrm{K}}({\mathrm{m}}^{\prime })=\mathrm{c}]\text{\hspace{1em}(2.2)}$$

一个方案对任意$m,m^{\prime }\in \mathcal{M}c\in \mathcal{C}$都满足等式2.2，则该方案是完美保密的

解释：密文的概率分布不依赖于明文

3. 引理1$\to$定义1的证明

假设$\mathrm{P}\mathrm{r}[M=m]>0\mathrm{P}\mathrm{r}[C=c]>0$，则有
$$\mathrm{P}\mathrm{r}[C=c\mid M=m]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(M)=c\mid M=m]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]$$

第一个等号：根据随机变量$C$的定义；第二个等号：我们的前提条件就是$M=m$，即明文已知

设：
$$\begin{array}{rl}{\delta }_c& \stackrel{\text{def}}{=}\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]=\mathrm{P}\mathrm{r}[C=c\mid M=m]\\ & =\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m^{\prime })=c]=\mathrm{P}\mathrm{r}[C=c\mid M=m^{\prime }]\end{array}$$
则：
$${\begin{array}{rl}\mathrm{P}\mathrm{r}[M=m\mid C=c]& =\frac{\mathrm{P}\mathrm{r}[C=c\mid M=m]\cdot \mathrm{P}\mathrm{r}[M=m]}{\mathrm{P}\mathrm{r}[C=c]}\\ & =\frac{\mathrm{P}\mathrm{r}[C=c\mid M=m]\cdot \mathrm{P}\mathrm{r}[M=m]}{{\sum }_{m^{\prime }\in \mathcal{M}}\mathrm{P}\mathrm{r}[C=c\mid M=m^{\prime }]\cdot \mathrm{P}\mathrm{r}[M=m^{\prime }]}\\ & =\frac{{\delta }_c\cdot \mathrm{P}\mathrm{r}[M=m]}{{\sum }_{m^{\prime }\in \mathcal{M}}{\delta }_c\cdot \mathrm{P}\mathrm{r}[M=m^{\prime }]}\\ & =\frac{\mathrm{P}\mathrm{r}[M=m]}{{\sum }_{m^{\prime }\in \mathcal{M}}\mathrm{P}\mathrm{r}[M=m^{\prime }]}=\mathrm{P}\mathrm{r}[M=m]\end{array}}^{\prime \prime }$$

2.2.3 Perfect (adversarial) indistinguishability

前者从理论出发，后者从实验实践角度出发

1. The adversarial indistinguishability experiment ${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}$

$\Pi =(\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{E}\mathrm{n}\mathrm{c},\mathrm{D}\mathrm{e}\mathrm{c})$是带有消息空间$\mathcal{M}$的加密方案，$\mathcal{A}$是敌人（形式上只是一个(有状态的)算法），eav我盲猜是eavesdrop

1. $\mathcal{A}$输出一对消息$m_0,m_1\in $$\mathcal{M}$

2. $\mathrm{G}\mathrm{e}\mathrm{n}$生成一个密钥$k$，再选择一个统一均匀的比特$b\in \left\{0,1\right\}$。计算密文$c\leftarrow {\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_b)$并交给$\mathcal{A}$。将$c$称为挑战密文（challenge ciphertext）。

3. $\mathcal{A}$输出一个比特$b^{\prime }$

4. $①b^{\prime }=b,output=1$;

   ②$b^{\prime }\ne b,output=0$;

   $③output=1,{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=1$,即$\mathcal{A}$攻击成功

   是$\Pi$不是$\prod$

2. 定义2

当$\Pi$对所有攻击者$\mathcal{A}$，都能保证满足下式，则称该方案是完美不可区分（perfectly indistinguishable）
$${\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=\frac{1}{2}\text{\hspace{1em}(2.3)}$$

一个只会选一边的傻子都能猜对一半，而我们目的就是把所有人尽量变成傻子

3. 引理2

当且仅当加密方案$\Pi$是完美不可区分时，该方案是完美保密的

4. 证明Vigenère不是完美不可区分

1. 前提：假设消息空间是两个字符的字符串，密钥长度在$\left\{1,2\right\}$中均匀等概选择

2. $\mathcal{A}$执行以下操作

   • 输出明文$m_0=aa,m_1=ab$

   • 得到挑战明文$c=c_1{c}_2$，$c_1=c_2$时，输出0；$c_1\ne c_2$时，输出1

     这儿的$c_1$和$c_2$表示单个字符

     这儿的输出是$\mathcal{A}$的输出，不是实验的输出

3. 攻击成功率的通用算法
   $$\begin{array}{rl}& \mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=1]\\ & =\frac{1}{2}\cdot \mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=1\mid b=0]+\frac{1}{2}\cdot \mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=1\mid b=1]\\ & =\frac{1}{2}\cdot \mathrm{P}\mathrm{r}[\mathcal{A}\mathrm{o}\mathrm{u}\mathrm{t}\mathrm{p}\mathrm{u}\mathrm{t}\mathrm{s}0\mid b=0]+\frac{1}{2}\cdot \mathrm{P}\mathrm{r}[\mathcal{A}\mathrm{o}\mathrm{u}\mathrm{t}\mathrm{p}\mathrm{u}\mathrm{t}\mathrm{s}1\mid b=1]\end{array}\text{\hspace{1em}(2.4)}$$

4. 对于该例子本身

   • $\mathrm{P}\mathrm{r}[\mathcal{A}\mathrm{o}\mathrm{u}\mathrm{t}\mathrm{p}\mathrm{u}\mathrm{t}\mathrm{s}0\mid b=0]=\frac{1}{2}+\frac{1}{2}\cdot \frac{1}{26}\approx 0.52$

     ①密钥长度为1

     ②密钥长度为2，且密钥两个字符相同

   • $\mathrm{P}\mathrm{r}[\mathcal{A}\mathrm{o}\mathrm{u}\mathrm{t}\mathrm{p}\mathrm{u}\mathrm{t}\mathrm{s}1\mid b=1]=1-\mathrm{P}\mathrm{r}[\mathcal{A}\mathrm{o}\mathrm{u}\mathrm{t}\mathrm{p}\mathrm{u}\mathrm{t}\mathrm{s}0\mid b=1]=1-\frac{1}{2}\cdot \frac{1}{26}\approx 0.98$

     明文选$ab$，密文两个字符还能相同，仅当密钥长度为2且密钥的后一个字符比前一个字符大1（例如：$ba,cb,dc$等）

   • $\mathrm{P}\mathrm{r}[{\mathrm{P}\mathrm{r}\mathrm{i}\mathrm{v}\mathrm{K}}_{\mathcal{A},\Pi }^{\mathrm{e}\mathrm{a}\mathrm{v}}=1]=\frac{1}{2}\cdot (\frac{1}{2}+\frac{1}{2}\cdot \frac{1}{26}+1-\frac{1}{2}\cdot \frac{1}{26})=0.75>\frac{1}{2}$

2.3 The One-Time Pad

这个“一次（one-time）”我的理解：1. 一次性；2. 每个明密文对和一个密钥字符对应，即每个密钥字符用一次

2.3.1 结构1

• 确定整数$l>0$，$\mathcal{M},\mathcal{K},\mathcal{C}={\left\{0,1\right\}}^l$（长度为$l$的二进制字符串）

  例如${\left\{0,1\right\}}^3=\left\{000,001,010,011,100,101,110,111\right\}$

• $\mathrm{G}\mathrm{e}\mathrm{n}$：从${\left\{0,1\right\}}^l$（共$2^l$个比特串）中均匀地随机选择一个作为密钥，每个比特串被选择的概率均为$2^{-l}$

• $\mathrm{E}\mathrm{n}\mathrm{c}:c:=k\oplus m$

• $\mathrm{D}\mathrm{e}\mathrm{c}:m:=k\oplus c$

"$\oplus$’'表示逐位异或（exclusive-or(XOR)），与二进制加减法等价（$1\oplus 1=0,1\oplus 0=1,0\oplus 1=1,0\oplus 0=0$）

即${\mathrm{D}\mathrm{e}\mathrm{c}}_k({\mathrm{E}\mathrm{n}\mathrm{c}}_k(m))=k\oplus k\oplus m=m$

2.3.2 定理1

1. 阐述

The one-time pad encryption scheme is perfectly secret.

2. 证明

1. 首先计算对于任意$c\in \mathcal{C},m^{\prime }\in \mathcal{M}$

$$\begin{array}{rl}\mathrm{P}\mathrm{r}[C=c\mid M=m^{\prime }]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m^{\prime })=c]& =\mathrm{P}\mathrm{r}[m^{\prime }\oplus K=c]\\ & =\mathrm{P}\mathrm{r}[K=m^{\prime }\oplus c]\\ & =2^{-l}\end{array}$$

$$\begin{array}{rl}\mathrm{P}\mathrm{r}[C=c]& =\sum _{m^{\prime }\in \mathcal{M}}\mathrm{P}\mathrm{r}[C=c\mid M=m^{\prime }]\cdot \mathrm{P}\mathrm{r}[M=m^{\prime }]\\ & =2^{-l}\cdot \sum _{m^{\prime }\in \mathcal{M}}\mathrm{P}\mathrm{r}[M=m^{\prime }]\\ & =2^{-l}\mathrm{P}\mathrm{r}[M=m^{\prime }]\ne 0\end{array}$$

举个我理解的$\mathrm{P}\mathrm{r}[M=m^{\prime }]=0$的例子：$l=3,m^{\prime }=1010$

3. $$\begin{array}{rl}\mathrm{P}\mathrm{r}[M=m\mid C=c]& =\frac{\mathrm{P}\mathrm{r}[C=c\mid M=m]\cdot \mathrm{P}\mathrm{r}[M=m]}{\mathrm{P}\mathrm{r}[C=c]}\\ & =\frac{2^{-l}\cdot \mathrm{P}\mathrm{r}[M=m]}{2^{-l}}\\ & =\mathrm{P}\mathrm{r}[M=m]\end{array}$$

3. 补充

1. 上世纪中期很多国家机关用这个方案，冷战时苏联和美国通信时就用过（red phone），一堆特工带着一个放着密钥的黑箱子，物 理 转 移

   这个男人可能就干过这事儿

2. 缺点1：消息长度与时效性之间的冲突

   消息一长，就很难预测长度（上限），密钥就难确定。确定一个新的密钥很浪费时间，传输也是个问题。

3. 缺点2：只有使用第一次时才绝对安全，用了两次就会出现下面这种情况：
   $$c\oplus c^{\prime }=(m\oplus k)\oplus (m^{\prime }\oplus k)=m\oplus m^{\prime }$$

   该结果就是两条消息的不同之处，很有可能会泄露一些信息，至少绝对不算完美保密了。苏联当年就是因为这个在英国和美国面前裸奔了几十年（VENONA 计划）

有缺点不代表one-time pad无效！！

2.4 Limitations of Perfect Secrecy

2.4.1 定理2

1. 阐述

如果$\Pi$是完美保密方案，则$|\mathcal{K}|\ge |\mathcal{M}|$

任何完全保密的加密方案都必须有一个密钥空间，这个密钥空间至少与消息空间一样大。

2. 证明

反证法，假设$|\mathcal{K}|<|\mathcal{M}|$

1. 令$\mathcal{M}(c)$为密文$c$解密后所有可能明文消息的集合，即:

$$\mathcal{M}(c)\stackrel{\text{def}}{=}\left\{m\mid m={\mathrm{D}\mathrm{e}\mathrm{c}}_k(c)\mathrm{f}\mathrm{o}\mathrm{r}\mathrm{s}\mathrm{o}\mathrm{m}\mathrm{e}k\in \mathcal{K}\right\}$$

2. 很显然$|\mathcal{M}(c)|\le |\mathcal{K}|$（“=”时，所有密钥加密后的结果都一样），且$|\mathcal{K}|<|\mathcal{M}|$，所以肯定存在$m^{\prime }$，有$m^{\prime }\in \mathcal{M}$但$m^{\prime }\notin \mathcal{M}$，则有：

$$\mathrm{P}\mathrm{r}[M=m^{\prime }\mid C=c]=0\ne \mathrm{P}\mathrm{r}[M=m^{\prime }]$$

​ 所以不是完美保密

书上原话：Recall that we may assume $\mathrm{D}\mathrm{e}\mathrm{c}$ is deterministic.

我认为这儿是再次强调解密的不二性

表明one-time pad的缺点并不是特定于该方案，而是完全保密的固有限制。（长度与次数都是）

3. 辟谣

上述证明过程已经显示出完美保密的固有局限性，因此以后出现任何宣称自己用短密钥实现完美保密的均按神经病处理（理解妄想成打破密码学的能量守恒定律）

4. 补充+个人想法

1. 虽然one-time pad是完美保密，但两者并不是完全等价的

2. 如果所有密钥的长度都相同，并且消息空间由长度固定的所有字符串组成，这意味着密钥至少与消息一样长。（one-time pad的密钥长度是最优解）

   第4点马上再次提到

3. 老师提到密钥空间大一般只是说防止暴力攻击，没提到这是完美保密的条件之一

4. 加密其实就是打乱明密文映射的一个过程（如下）

• 根本目的是打乱这个“？”

• 移位密码（m和c代表单个字母）

  

  密钥长度为1（26进制），密钥空间大小为26

  注意区分“space”和“length”之间的区别，下同

  所以只有在加密一个字母（26进制）时，移位密码是完美保密的

• 单表代换密码（m和c代表单个字母）

  

  密钥空间为$26!\approx 2^{88}$，理论上很安全，那为什么实际不安全呢？

  因为没做到 the probability distribution of the ciphertext does not depend on the plaintext（P29倒数第10行），即密文不uniform

  当然移位密码也没做到

  此处建议回忆一下对该两种密码的攻击方式

• 至于多表代换密码（m和c代表单个字母）

  可能会出现下面这种情况

  

  设密钥长度为$l_K$，则密钥空间大小为$26^{l_K}$；明文长度为$l_M$，明文空间大小为$26^{l_M}$

  所以$l_K\ge l_M$时，Vigenère密码是完美保密的（结合上面第2点）

  我觉得为one-time pad申请专利的Vernam（弗纳姆）就是个白嫖Vigenère的坏蛋（个人偏见）

• 那如果$|\mathcal{K}|>|\mathcal{M}|$呢？

  可能会发生这种情况（m和c代表明密文本身）

  

  即两个密钥加密某个明文得到一摸一样的结果（殊途同归），攻击者是不是会多条破解密文的道路？（更直观的说：以前必须找到$k_1$才行，现在找到$k_1,k_2$甚至$k_3$中的一个就能成功破解）是不是变得不安全了？

  应该不是，举个例子

  1. 明文：000；密文：111；密钥111(长度为3)，密钥空间是${\left\{0,1\right\}}^3$，盲猜猜对的概率的$\frac{1}{8}$
  2. 现在把密钥空间扩展到4位，即${\left\{0,1\right\}}^4$（仍是低位用于加密）
  3. 那密钥可能为1111,0111，盲猜猜中的概率为$\frac{2}{16}=\frac{1}{8}$。可以看出被破解的概率并没有发生本质改变
  4. 直观解释：通往正确的路确实多了，但通往错误的路也多了。况且你也不知道错误的道路从哪里通往哪里，参考联系2.3.也并没有更安全，还造成了密钥空间浪费（花冤枉钱修了一堆没用的路）

综上，一个密钥对应着一种随机的明密文映射关系。如果密钥比消息少的话，肯定会有部分映射关系可以排除，即减少了错误路线的数量

而攻击者一可以减少工作量，二可以从排除的路线中推导出一些额外信息，这些信息可能足以攻破该系统

2.5 *Shannon’s Theorem

香农就是这位大兄弟（苹果我放的）

2.5.1 阐述

1. 前提：$|\mathcal{M}|=|\mathcal{K}|=|\mathcal{C}|$

   理解这个“=”：看做完美保密的“最优解”(至少做到了不浪费)

2. 条件

   • 每个密钥$k\in \mathcal{K}$由算法$\mathrm{G}\mathrm{e}\mathrm{n}$以（相等的）概率$1/|\mathcal{K}|$选择
   • $Foreverym\in \mathcal{M}andc\in \mathcal{C},thereexistsauniquekeyk\in Ksuchthat{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)outputsc.$

   一个密钥唯一对应着一种随机的明密文映射关系，也意味着任何密文都可能是加密任何可能明文的结果

   示例如下图：

   

   下面这个我原来举的例子（m和c代表明密文本身）是错的！！（至少对一次一密钥来说）

   因为不同的密钥却有一组一样的明密文映射关系：e.g.:$m_1->c_4(k_2,k_n)$

   …
   3. 结论 在该前提下，满足以上两个条件的加密方案是完美保密的

2.5.2 证明

假设$\mathrm{E}\mathrm{n}\mathrm{c}$是一个确定性算法（可以证明这样不失一般性）

理所当然地没太理解

1. 充分性

满足条件1,2—> perfectly secret

$$\mathrm{P}\mathrm{r}[C=c\mid M=m]=\mathrm{P}\mathrm{r}[K=k]=1/|\mathcal{K}|for{\mathrm{E}\mathrm{n}\mathrm{c}}_k(m)=c$$

条件2保证$k$是唯一密钥，条件1保证最后一个等号成立

所以
$$\mathrm{P}\mathrm{r}[C=c]=\sum _{m\in \mathcal{M}}\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]\cdot \mathrm{P}\mathrm{r}[M=m]=1/|\mathcal{K}|$$

注意是大写$K$(下同)，所以$\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]=1/|\mathcal{K}|$

该式子对于呈任何分布的$\mathcal{M}$都成立

对于任何$\mathrm{P}\mathrm{r}[M=m]\ne 0$
$$\begin{array}{rl}\mathrm{P}\mathrm{r}[M=m\mid C=c]& =\frac{\mathrm{P}\mathrm{r}[C=c\mid M=m]\cdot \mathrm{P}\mathrm{r}[M=m]}{\mathrm{P}\mathrm{r}[C=c]}\\ & =\frac{\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]\cdot \mathrm{P}\mathrm{r}[M=m]}{\mathrm{P}\mathrm{r}[C=c]}\\ & =\frac{|\mathcal{K}{|}^{-1}\cdot \mathrm{P}\mathrm{r}[M=m]}{|\mathcal{K}{|}^{-1}}=\mathrm{P}\mathrm{r}[M=m]\end{array}$$

注意理解$\mathrm{P}\mathrm{r}[C=c\mid M=m]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]$，这儿的$M=m$可不是给定的条件，因为$m$是任取的（arbitrary）

所以该方案是完美保密的

2. 必要性

perfectly secret—>条件1,2成立（在$|\mathcal{M}|=|\mathcal{K}|=|\mathcal{C}|$ 的前提下）

2.1 证明条件2

1. 对于任意$c\in \mathcal{C}$，一定存在信息$m^{\ast }\in M$满足$\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m^{\ast })=c]\ne 0$

2. 引理1暗含着对于所有$m\in M$，$\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]\ne 0$。换言之，令$\mathcal{M}=\left\{m_1,m_2,...\right\}$，则对于每个$m_i\in \mathcal{M}$，都有一个非空集${\mathcal{K}}_i\subset \mathcal{K}$，当且仅当$k\in {\mathcal{K}}_i$时，${\mathrm{E}\mathrm{n}\mathrm{c}}_k(m_i)=c$

3. 当$i\ne j$时，${\mathcal{K}}_i$和${\mathcal{K}}_j$是不相交的，否则正确性会不成立

   一旦相交，就会变成一个密钥解密一个密文，得到两个不同明文的结果，和$\mathrm{D}\mathrm{e}\mathrm{c}$是确定性算法这一事实相悖

4. 又因为$|\mathcal{K}|=|\mathcal{M}|$，所以每个${\mathcal{K}}_i$里面只有一个元素$k_i$，条件2证毕。

2.2 证明条件1

根据引理1，易知：对于任意$m_i,m_j\in \mathcal{M}$，可得
$$\mathrm{P}\mathrm{r}[K=k_i]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m_i)=c]=\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m_j)=c]=\mathrm{P}\mathrm{r}[K=k_j]$$
又因为$1\le i,j\le |\mathcal{M}|=|\mathcal{K}|$，且当$i\ne j$时，$k_i\ne k_j$，这意味着每个密钥出现概率相同，即均为$1/|\mathcal{K}|$。条件1证毕。

2.5.3 补充

1. 香农定理对于判断一个给定的系统是不是完美保密是很有帮助的

   • 条件1很容易检查

   • 条件2无需计算任何概率就可以被证明(或反驳)(与直接使用定义1相反)。

     所以我们设计方案的工作本质上就是尽可能让方案uniform来满足这两个条件？

2. 该定理只适用于$|\mathcal{M}|=|\mathcal{K}|=|\mathcal{C}|$

   毕竟是大前提

2.6 英语积累

appendix	附录
justify		证明合法，是...的正当理由
unbiased	无偏置的，无偏见的，公正的
entropy		熵
sophisticated	见多识广的，老练的，复杂巧妙的
chip	芯片
dedicated	专用的
specification	详述
notation	符号
conditional probability	条件概率
prominent	卓越的，显著的，突出的
courier		送快递的人，情报员
notwithstanding	尽管如此
portion		部分；加大份量
inherent	固有的
optimal		最佳的
radically	根本地，彻底地
blatantly	公然地
in its own right	凭借自身能力，独立地
undetectably	不可检测地
random tape	Tape is a basic concept from Turing machines.The random tape is the tape with random bits on it.

概率图灵机

我认为把random tape理解成一串真随机比特就行了

2.7 课后练习（有时间再往完做吧…）

1. 方法一：设$\mathcal{M},\mathcal{K},\mathcal{C}={\left\{0,1\right\}}^3,c=000$，则
   $$\begin{array}{rl}\mathrm{P}\mathrm{r}[C=000\mid M=111]=(& \mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=000}(111)=000]+\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=001}(111)=000]+\\ & \mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=010}(111)=000]+\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=011}(111)=000]+\\ & \mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=100}(111)=000]+\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=101}(111)=000]+\\ & \mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=110}(111)=000]+\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k=111}(111)=000])/|\mathcal{K}|\\ =\frac{1}{8}& \end{array}$$
   同理，任取$m\in \mathcal{M},m\in \mathcal{M},\mathrm{P}\mathrm{r}[C=c\mid M=m]=\frac{1}{8}$

   同理，令$\mathcal{M},\mathcal{K},\mathcal{C}={\left\{0,1\right\}}^l,\mathrm{P}\mathrm{r}[C=c\mid M=m]=\frac{1}{2^l}$

   方法二：假设$|\mathcal{M}|=|\mathcal{K}|=|\mathcal{C}|$，令$\mathcal{K}=\left\{k_1,k_2,...k_{|\mathcal{K}|}\right\}$，设${\mathrm{E}\mathrm{n}\mathrm{c}}_{k_i}(m)=c_i,i\in (1,|\mathcal{K}|),m\in \mathcal{M}$
   $$\begin{array}{rl}\mathrm{P}\mathrm{r}[C=c\mid M=m]& =\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_K(m)=c]\\ & =\sum _{k_i\in \mathcal{K}}\frac{\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k_i}(m)=c]}{|\mathcal{K}|}\\ & =\sum _{k_i\in \mathcal{K}}\frac{{\sum }_{j=1}^{|\mathcal{K}|}\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k_i}(m)=c_j]}{|\mathcal{K}|\cdot |\mathcal{K}|}\\ & =\sum _{k_i\in \mathcal{K}}\frac{\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k_i}(m)=c_i]}{|\mathcal{K}|\cdot |\mathcal{K}|}(\mathrm{P}\mathrm{r}[{\mathrm{E}\mathrm{n}\mathrm{c}}_{k_i}(m)=c_j]=0forj\ne i)\\ & =\frac{|\mathcal{K}|}{|\mathcal{K}|\cdot |\mathcal{K}|}=\frac{1}{|\mathcal{K}|}\end{array}$$

   由此可见$\mathrm{G}\mathrm{e}\mathrm{n}$算法从密钥空间均匀随机地选取不同密钥并不改变$\mathrm{P}\mathrm{r}[C=c\mid M=m]$的值

2. TODO（我连Enc确定是什么意思都没理解）

3. 设明文是1比特，密文是2比特，密钥是3比特，且满足下列算法
   $$\begin{gathered} c_0=m_0\oplus k_0 \\ {c}_1=(k_2\wedge k_1)\oplus m_0\oplus k_0 \end{gathered}$$
   如下图表格

   	0	1
   (0,0,0)	(0,0)	(1,1)
   (0,0,1)	(0,0)	(1,1)
   (0,1,0)	(0,0)	(1,1)
   (0,1,1)	(0,1)	(1,0)
   (1,0,0)	(1,1)	(0,0)
   (1,0,1)	(1,1)	(0,0)
   (1,1,0)	(1,1)	(0,0)
   (1,1,1)	(1,0)	(0,1)

   \begin{table}
   	\begin{tabular}{r|c|c}
          & $0$ & $1$ \\
         \hline
         $(0,0,0)$ & $(0,0)$ & $(1,1)$ \\
         $(0,0,1)$ & $(0,0)$ & $(1,1)$ \\
         $(0,1,0)$ & $(0,0)$ & $(1,1)$ \\
         $(0,1,1)$ & $(0,1)$ & $(1,0)$ \\
         $(1,0,0)$ & $(1,1)$ & $(0,0)$ \\
         $(1,0,1)$ & $(1,1)$ & $(0,0)$ \\
         $(1,1,0)$ & $(1,1)$ & $(0,0)$ \\
         $(1,1,1)$ & $(1,0)$ & $(0,1)$
       \end{tabular}
   \end{table}
   
   实名举报Typora（暂时）画不了LaTeX表格
   

   $$\begin{array}{rl}P[M=0\mid C=(0,0)]& =\frac{P[M=0]\cdot (P[K=(0,0,0)+P[K=(0,0,1)+P[K=(0,1,0)])}{P[C=(0,0)]}\\ & =\frac{P[M=0]\cdot \frac{3}{8}}{\frac{6}{16}}=P[M=0]\\ P[M=0\mid C=(0,1)]& =\frac{P[M=0]\cdot P[K=(0,1,1)}{P[C=(0,1)]}\\ & =\frac{P[M=0]\cdot \frac{1}{8}}{\frac{2}{16}}=P[M=0]\\ .& \\ .& \\ .& \\ etc.& \end{array}$$

   但是$\frac{3}{8}=P[C=(0,0)]\ne P[C=(0,1)]=\frac{1}{8}$

   所以任取$c_0,c_1\in C$，不能得到$\mathrm{P}\mathrm{r}[C=c_0]=\mathrm{P}\mathrm{r}[C=c_1]$

4. TODO