Chapter2.1 Definitions. 《Introduction To Modern Cryptography》_an encryption scheme with message space m is perfe-优快云博客

本文链接：https://blog.youkuaiyun.com/bitsbomb/article/details/128335848

本文介绍了加密方案的基本概念，包括加密、解密算法及密钥生成，并探讨了完美安全的定义及其数学表述，展示了如何从概率角度理解加密系统的安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2.1.1 加密方案的定义和说明

在古典密码学中我们介绍了一些加密方案，例如凯撒密码等。在正式进入现代密码学之前，我们首先给出加密方案的定义。

$Definition：EncryptionScheme\color{blue}{Definition：EncryptionScheme}$
An Encryption Scheme is defined by three algorithms:Gen, Enc, and Dec, as well as a specification of a message space $M\mathcal{M}$ .

我们在这里给出的关于加密方案的定义，已经非常接近第三章中关于私钥加密方案的定义了。加密方案由三个算法组成，同时定义了明文空间。
Gen：即Key Generation，生成密钥 $k\mathcal{k}$ 的算法。在绝大多数情况下，我们只是在所有的密钥当中均匀的选出一个。

Enc：即Encryption，进行加密的算法。Enc可以是确定性的算法，也可以是概率算法。例如，在construction3.17当中，我们定义的加密算法就是确定性的算法，给定明文 $m\mathcal{m}$ 和密钥 $k\mathcal{k}$ ，我们总是能得到相同的密文 $c\mathcal{c}$ 。而在construction3.28当中，我们定义的加密算法就是概率性的算法，即使是输入相同的明文 $m\mathcal{m}$ 和密钥 $k\mathcal{k}$ ，也有可能得到不同的结果 $c\mathcal{c}$ 。

这里我们强调Enc是一个概率算法。事实上，在后面的学习中我们会看到，确定性的加密算法只能达到eva-secure，要想达到cpa-secure乃至cca-secure级别的安全，必须使用概率性的加密算法。

Input: $m\mathcal{m}$ $∈\in$ $M\mathcal{M}$ , $k\mathcal{k}$ $∈\in$ $K\mathcal{K}$
output: $c\mathcal{c}$ $⟵\longleftarrow$ $Enc_{k}(m)$

Dec：即Decryption，进行解密的算法。这里注意两点，首先加密和解密所使用的密钥 $k\mathcal{k}$ 是相同的；其次解密算法是确定性的算法，也就是说输入相同的密文 $c\mathcal{c}$ 和密钥 $k\mathcal{k}$ ，运算得到的结果一定是相同的。加密算法不需要是确定性的算法。但是解密算法必须是确定性的，否则解密的结果将无法使用！

Input: $c\mathcal{c}$ $∈\in$ $C\mathcal{C}$ , $k\mathcal{k}$ $∈\in$ $K\mathcal{K}$
output: $m\mathcal{m}$ ：= $Enc_{k}(m)$

2.1.2 概率相关的问题

上一部分内容我们提到了加密方案所包括的三个算法，即Gen, Enc, and Dec。定义还强调了明文空间 $M\mathcal{M}$ 。实际上，应当还包括密文空间 $C\mathcal{C}$ 和密钥空间 $K\mathcal{K}$ 。三种算法和三个空间是相对应的关系。

密钥空间 $K\mathcal{K}$ 是由所有密钥 $k\mathcal{k}$ 组成的集合。在运行Gen算法的时候，我们通常随机均匀地从 $K\mathcal{K}$ 挑选密钥 $k\mathcal{k}$ 。随机代表Gen是概率性的算法，每次所挑选的密钥都应当不同（如果连续运行两次Gen，当然有可能得到相同的密钥 $k\mathcal{k}$ ，但从概率的角度来说太不可能了！），而均匀代表密钥的选取一般是等概率的，也就是说， $∀\forall$ $k0\mathcal{k_{0}}$ , $k1\mathcal{k_{1}}$ $∈\in$ $K\mathcal{K}$ , Pr[ $K\mathcal{K}$ = $k0\mathcal{k_{0}}$ ] = Pr[ $K\mathcal{K}$ = $k1\mathcal{k_{1}}$ ]。

明文空间 $M\mathcal{M}$ 是由所有明文 $m\mathcal{m}$ 组成的集合。但是，不同明文在明文空间当中的分布概率是不相等的。例如，一般而言，你与数学老师讨论数学问题的概率将大于，你和英语老师讨论数学问题的概率。明文的概率分布并不与密码学机制或者密码学原理有关系，而仅仅与现实生活中通信需要有关。

密文空间 $C\mathcal{C}$ 是由所有密文 $c\mathcal{c}$ 组成的集合。它是密钥空间 $K\mathcal{K}$ 和明文空间 $M\mathcal{M}$ 相互作用的结果。

下面是课本当中的例题2.1。

$Example2.1\color{green}{Example2.1}$
对于移位密码，我们假定密钥空间 $K\mathcal{K}$ = {0, 1, …, 25}，且对于每一个 $k\mathcal{k}$ $∈\in$ $K\mathcal{K}$ ，
Pr[ $K\mathcal{K}$ = $k\mathcal{k}$ ] = 1/26。
同时我们定义明文空间 $M\mathcal{M}$ = {a, z}，Pr[ $M\mathcal{M}$ = $a\mathcal{a}$ ] = 0.7，Pr[ $M\mathcal{M}$ = $z\mathcal{z}$ ] = 0.3。
第一问：密文为B的概率是多少？即Pr[ $B\mathcal{B}$ = B] =？
第二问：已知密文为B，求明文为a的概率？

抛开例题本身不谈，题干就非常值得钻研。密钥的选取总是均匀而随机的，如果偏好使用某些密钥，那么其隐私性就大幅度削弱了。此外，明文的选取往往是和现实通信需求相关，基本上无法做到均匀。这里的明文空间只是一个包含两个字符的案例，但确实是现实的某种缩影。

对于第一问，求密文 $B\mathcal{B}$ = B的概率，要得到密文C，可以是明文 $M\mathcal{M}$ = a再加上密钥 $K\mathcal{K}$ = 1的组合，也可以是明文 $M\mathcal{M}$ = z再加上密钥 $K\mathcal{K}$ = 2，明文和密钥的选取是独立事件，让概率直接相乘即可。

对于第二问，是一个贝叶斯概率计算题，在已经知道密文的基础上倒推出明文的概率分布。

2.1.3 完美安全：概率上的两种定义

到现在为止已经介绍了加密方案，和有关三种空间的概率含义。接下来我们讨论完美安全(Perfect Secrecy)。时刻牢记，完美加密并不是完美的，它只能抵抗唯密文攻击(eva)而不能抵抗选择明文攻击(cpa)或者选择密文攻击(cca)，同时它非常的不实用。

我们假设敌手(Adversary)的能力是窃听(evaesdrop)，也就是唯密文攻击。敌手可以趴在通信双方的信道上，完整的获取密文 $c\mathcal{c}$ 。敌手也知道加密算法Enc和解密算法Dec。当然，敌手不知道密钥 $k\mathcal{k}$ 和明文 $m\mathcal{m}$ 。不过，敌手想知道 $m\mathcal{m}$ 的信息。不一定是全部内容，任何信息都可以。

完美加密的第一种定义就是，密文 $c\mathcal{c}$ 没有揭露任何有关明文 $m\mathcal{m}$ 的信息。敌手不能从密文 $c\mathcal{c}$ 当中学到关于明文 $m\mathcal{m}$ 的任何内容。在没有拿到密文 $c\mathcal{c}$ 之前，敌手可能对明文 $m\mathcal{m}$ 的分布有一定的估计。而拿到密文 $c\mathcal{c}$ 之后，敌手没有获得任何额外信息！ $密文没有揭露明文的任何信息，知道密文与否不改变任何事情\color{red}{密文没有揭露明文的任何信息，知道密文与否不改变任何事情}$

$Definition2.3：PerfectlySecret(1)\color{blue}{Definition2.3：Perfectly Secret(1)}$
An encryption scheme (Gen; Enc; Dec) with message space $M\mathcal{M}$ is perfectly secret if for every probability distribution for $M\mathcal{M}$ , every message $m\mathcal{m}$ $∈\in$ $M\mathcal{M}$ , and every ciphertext $c\mathcal{c}$ $∈\in$ $C\mathcal{C}$ for which Pr[ $C\mathcal{C}$ = c] > 0.
Pr[ $M\mathcal{M}$ = m | $C\mathcal{C}$ = c] = Pr[ $M\mathcal{M}$ = m]
(The requirement that Pr[ $C\mathcal{C}$ = c] > 0 is a technical one needed to prevent
conditioning on a zero-probability event.)

接下来介绍完美加密的第二种定义。直观上的理解是，明文空间 $M\mathcal{M}$ 的分布是与现实世界密切相关的、不均匀的。但是对于不同的明文，加密之后得到同一个密文的概率是相等的（例如明文a和明文b出现的概率是不相同的，但是它们加密得到密文X的概率相同，得到密文Y的概率也是相同的）
$不同明文，纵使它们在明文空间当中的分布不均匀，加密之后得到同一种密文的概率相等\color{red}{不同明文，纵使它们在明文空间当中的分布不均匀，加密之后得到同一种密文的概率相等}$

$Definition：PerfectlySecret(2)\color{blue}{Definition：Perfectly Secret(2)}$
Pr[ $Enc_{K}(m)$ = $c\mathcal{c}$ ] = Pr[ $Enc_{K}(m^{'})$ = $c\mathcal{c}$ ], $∀\forall$ $m\mathcal{m}$ , $m^{'}$ $∈\in$ $M\mathcal{M}$ , $∀\forall$ $c\mathcal{c}$ $∈\in$ $C\mathcal{C}$

这两种定义是完全等价的。

2.1.4 完美安全：敌手不可区分性

最后我们从敌手实验的角度来给出完美安全的第三种定义。这将是我们第一次接触敌手的概念。敌手的能力通常以实验来概括，而安全的定义则通过敌手在实验中胜出的可能性来定义。

The adversarial indistinguishability experiment $PrivK_{A,Pi}^{eva}$

The adversary A outputs a pair of messages $m_{0}$ ; $m_{1}$ .
A key $k$ is generated using Gen, and a uniform bit $b$ $∈\in$ {0, 1} is chosen. Ciphertext c Enck(mb) is computed and given to A. We refer to
c as the challenge ciphertext.

敌手实验描述了这样一个场景：敌手发送给挑战者两篇明文 $m_{0}$ 和 $m_{1}$ ，挑战者等概率挑选其中的一篇明文进行加密（也就是选择b的过程，50%的概率b=0，挑选第一篇明文加密；50%的概率b=1，挑选第二篇明文加密），然后挑战者将密文发回给敌手，敌手猜测这到底是 $m_{0}$ 加密而来还是 $m_{1}$ 加密而来。