现代密码学 补充1：两种窃听不可区分实验的区别

写在最前面

两种窃听不可区分实验

两种窃听不可区分实验（Eavesdropping Indistinguishability Experiment），虽然在基本结构上相似，但在目的、上下文和细节上有差异。

1. 完美保密中的窃听不可区分实验

这种实验用于证明完美保密性，其核心是表明在理想条件下，敌手无法从密文中获取任何关于明文的信息。

• 实验步骤：

  1. 选择明文：敌手选择两个不同的、长度相同的明文。
  2. 加密过程：挑战者随机选择这两个明文中的一个，并使用新生成的密钥进行加密，然后将密文发送给敌手。
  3. 猜测明文：敌手尝试猜测哪一个明文被加密了。如果猜对了，则认为敌手在这次实验中成功。

• 关键点：这个实验的关键是证明在完美保密的情况下，敌手即使进行多次实验，也无法区分哪个明文被加密，因为密文对于每个可能的明文来说都是等概率的。

2. 窃听不可区分实验（对称加密算法）

这种实验用于评估对称加密算法的安全性，特别是在计算安全性的背景下。这里的关键是安全参数，它定义了加密强度。

• 实验步骤：

  1. 选择明文：敌手$\mathcal{A}$选择两个长度相同且内容不同的明文$m_0,m_1$。
  2. 加密过程：挑战者$\mathcal{C}$生成一个新密钥$k$，随机选择一个比特$b$并加密明文$m_b$，将密文$c$发送给$\mathcal{A}$。
  3. 猜测明文：$\mathcal{A}$输出对加密明文的猜测$b^{\prime }$。若$b=b^{\prime }$，则$\mathcal{A}$成功；否则，失败。

• 关键点：这个实验的核心是敌手$\mathcal{A}$在具有计算能力限制的条件下，尝试区分两个明文的加密结果。安全参数定义了算法的强度和敌手的计算能力限制。

主要区别

• 上下文：第一个实验用于证明完美保密性，而第二个实验用于评估对称加密算法在计算安全性方面的强度。
• 安全参数：第一个实验是无条件的，不考虑安全参数；而第二个实验引入了安全参数，这意味着其安全性依赖于计算复杂度的假设。
• 应用范围：完美保密实验主要用于理论分析和证明，对称加密算法的窃听不可区分实验则更加适用于实际的加密方案和系统。

总的来说，这两种实验都是用来评估加密方案对敌手的不可区分性，但它们的应用背景、假设条件和安全参数有所不同。完美保密实验着重于理想的、理论上的安全性，而对称加密算法的窃听不可区分实验则关注在实际计算限制下的安全性。