為什麼CTR模式不是CCA安全的?
01-03
要怎麼證明呢
敵手使用如下方法攻擊:
選擇m0=0^n,m1=1^n
交給加密機,得到返回的密文s,r
C0=F(ctr) XOR m0
C1=F(ctr) XOR m1
解密演算法為:m=c XOR F(ctr)
隨後,改變s的最後一比特,得到s』,交給解密機解密。可以知道,若解密的結果為0…01,則輸入為m0;若解密的結果為1…10,則輸入為m1.所以敵手可以在多項式時間內以不可忽略的概率區分m0與m1,所以不是cca安全。
推薦閱讀:
※十二宮殺手的密碼為何至今無人破譯,難在哪?
※如何評價王小雲成為中國科學院院士?
※如何理解「量子通訊的信號安全是以犧牲通訊的穩定性為代價」這種說法?
※現代密碼加密的使用概況是怎樣的?
※怎麼讓一段信息在特定某一天才能解密?