為什麼CTR模式不是CCA安全的?

要怎麼證明呢


敵手使用如下方法攻擊:

選擇m0=0^n,m1=1^n

交給加密機,得到返回的密文s,r

C0=F(ctr) XOR m0

C1=F(ctr) XOR m1

解密演算法為:m=c XOR F(ctr)

隨後,改變s的最後一比特,得到s』,交給解密機解密。可以知道,若解密的結果為0…01,則輸入為m0;若解密的結果為1…10,則輸入為m1.所以敵手可以在多項式時間內以不可忽略的概率區分m0與m1,所以不是cca安全。


推薦閱讀:

十二宮殺手的密碼為何至今無人破譯,難在哪?
如何評價王小雲成為中國科學院院士?
如何理解「量子通訊的信號安全是以犧牲通訊的穩定性為代價」這種說法?
現代密碼加密的使用概況是怎樣的?
怎麼讓一段信息在特定某一天才能解密?

TAG:密碼學 | 密碼安全 |