forest_LL的博客

发送者调用Encaps算法来获得密文c以及密钥k。接着在私钥加密方案中，利用密钥k来加密明文m。

​二. 密文与明文三. 语义安全的第一个版本四. 语义安全的第二个版本一. 引入密码学中安全加密要求：敌手（adversary）根据密文（ciphertext）不能推导出关于明文（plaintext）的任何信息。本文将重点介绍语义安全（semantic security）的理解。二. 密文与明文2.1 通俗性理解密码学的目标：密文不会泄露明文的任何一比特信息。Enc：加密方案Dec：解密方案Gen：产生密钥。在不外加条件的情况下，通常认为Gen算法输出

一次一密方案，英语写做one time pad encryption scheme一次一密方案可以实现完美安全（perfectly secret），但是这些方案是有局限性的，比如所有完美安全的方案密钥空间都要大于等于消息空间，这个定理待会我们会利用密码学专业术语进行证明。如果假定密钥的长度固定，消息空间（message space）里的明文长度也固定的话，那么完美安全就要求密钥的长度大于等于消息的长度。当然，如果密钥和消息长度一样的话，就像一次一密那样，则是最优的情况。

一次一密，英语写做one time pad。在1917年，Vernam提出了一个完美安全的加密方案，后世将其称之为一次一密。在当时，完美安全的概念还没有引出，大约25年后，Shannon提出了完美安全的定义，并且证明了一次一密是符合完美安全的（perfect secrecy）。假定a为长度为l的比特串，如下：同理有个相同长度的比特串b，如下：两者的异或运算，写做bitwise exclusive，也就是XOR运算，如下：在一次一密方案中，密钥，消息，密文的长度均相等。

敌手完美不可区分，英文写做perfect adversarial indistinguishability，其中adversarial经常被省略不写，在密码学的论文中经常被简称为IND安全。完美不可区分与香农的完美安全是类似的。该定义来源于一个被动窃听的敌手试验：给敌手一个密文，然后让敌手猜测明文来源于可能得两个中的哪一个。这个过程其实也可以用计算安全来衡量。

在密码学中，K代表密钥，M代表明文，C代表密文，每个都有各自的概率分布。密钥是通过密钥生成算法Gen产生的，通常而言都是均匀且随机的形式选择密钥，如下：明文的分布通常跟密码方案是无关的，而是跟加密/解密方相关，也可以看成敌手（adversary）的不确定性，如下：比如，军队传递消息，明文可能是以下两者之一：这两者的概率有可能也不一样，比如：密钥K是由密码方案决定的，也就是由Gen确定。明文M取决于外部条件，所以，密钥K和明文M分布上通常是互相独立的。

随机性来源于独立或均匀的随机比特，从而产生非确定性的算法。举个简单例子，我们可以通过手动抛硬币来产生少量的随机且均匀的比特串。密码学中把产生随机数的模块叫做随机数生成器（random number generation），其内部的运行可以简单的分成两步。第一步：高熵的数据源我们知道事件不确定性越大，其熵也就越大。首先收集来自高熵源的数据，这些数据可以来源外部输入，比如网络延迟率，硬盘写入时间，键盘敲击次数，鼠标移动路径等等。当然也可以利用更加随机且不可预测的事件来作为熵源。

Hash函数(也称散列函数或散列算法)的输入为任意长度的消息，而输出为某一固定长度的消息。即 Hash 函数将任意长度的消息串 M 映射成一个较短的，记为 H。称 H(M)为消息 M 的 Hash值或消息摘要（message digest），有时也称为消息的指纹。通常 Hash 函数应用于等方面。设 H 是一个 Hash 函数，x 是任意长度的二元串，相应的消息摘要为y=H(x)，通常消息摘要是一个相对较短的二元串（例如 160 比特）。

敌手的攻击模型又被叫做威胁模型（threat models），在密码学中通常有六种：唯密文攻击，已知明文攻击，选择性明文攻击，选择性密文攻击，自适应选择性密文攻击，自适应选择性明文攻击，选择密钥攻击。

我们知道英语字母的出现频率是有规律的，比如像下表：掌握了这些规律后，像凯撒密码等单表置换密码就不安全了。因为固定的密文字母一定对应着同样的明文字母。这个时候就出现了，略微高级的维吉尼亚密码。维吉尼亚密码（Vigenere cipher）又叫做多表置换密码（poly-alphabetic shift cipher）。举个例子，明文字母为ab，可能对应密文DZ；明文字母是ac，可能对应密文TY。我们发现同一个明文字母a，在密文中有的时候是D，有的时候是T。

设R是有单位元的环，若，都有，也就是R中的每一个元都是幂等元，则称R为布尔多项式环。其中多项式强调每一个环元素都是一个多项式。线性反馈移位寄存器（ Linear Feedback Shift Register， LFSR）一般是结合寄存器和异或门用来生成二进制伪随机序列。它可以根据前一状态的移位寄存器输出，将该输出再用作输入再进行异或运算，循环往复。

本文章将用一个“toy"例子来理解Matsumoto-Imai密码系统（MI）。一. 定义与铺垫k为拥有个元素的有限域，表达形式如下：域中非零元素的乘法群可以由域元素产生，满足如下等式：域k中的元素可以由表示，且它们的加法与乘法定义的运算如下表：取，且g(x)为k[x]中一个不可约多项式，所以取定，K的定义如下：在这个例子中的取值有两种可能性，也就是或者，在后续的讨论中取2。映射的定义如下：映射的求逆过程定义如下：和给定如下：二. 获得公钥..

一. 构建Matsumoto-Imai系统结构假设k是一个特征为2的有限域，它的元素个数为。任取是n级不可约多项式。定义域为k的一个n级扩张。设是在和之间自然k线性同构，定义如下式子：K的子域以自然的方式嵌入，如下：当然，如果把k看成K的一个子域，上式子中的就是k-线性的映射，取，且满足如下式子：上式子中的q是有限域k的元素个数。定义K上的映射，如下：如果存在t满足下列式子，则是一个可逆的映射：所以可以定义映射，如下假定F为上的映射，定义为如下..

前言吴文俊（1919-2017）曾出版《数学机械化》一书，旨通过计算机来分析数学问题，将方程求解与自动化推理结合起来。先生可称之为人工智能的先驱，首创符号主义，为铭记其贡献，现有冠名的奖项“吴文俊人工智能科学技术奖”。吴文俊，华罗庚，钱学森也是新中国首批获得国家自然科学一等奖的三位得主。一. 特征列方法构造线代数几何是通过构造线的观点来研究方程组。Van der Waerdern-Weil Style就是利用几何离散点，通过母点（generic point）以及特定化（special..