qq_39743001的博客

(*对称声明*)type key. (*用户定义类型，key是类型名称*)fun senc(bitstring, key): bitstring. (*定义对称加密函数（构造器）fun，定义一个密钥类型`key`，定义了一个对称加密函数`senc`，传入`bitstring`（内置的）

【1】、什么是预言机（Random Oracle）？​ （理论的黑箱），对任何输入都回传一个真正均匀随机的输出。任何有限的函数均不是一个随机预言机函数，所以定义就要求是一个无限大的函数。​ 1993年，Bellare和Rogaway提出的ROM模型​ 随机预言机模型中有这么个预言机Oracle来回答你的问题，他有一个列表，包含了所有可能问的问题，还有一个列表，包含了所有问题的答案，然后问题列表中的问题都被完全随机的指定一个答案列表中的答案。在安全证明中，随机预言机模型是现实中哈希函数的”理想化替

OAEP（最优非对称加密填充）【【思考】】：RSA的短明文可以导致密文易遭受攻击，因为一些短明文对应的密文中存在”先验信息“，这个”先验信息“对攻击者Malice来说就是好事，但对于用户就非常不好。这里就思考，简单的给明文填充伪数据（填充位）也许可以对攻击者Malice的工作变得困难些，比如说：（1）在原明文后面添加t个（t是随机的）零，要保证添加后的明文的长度要小于模数N，否则会出现me=(m’)e=c ( mod N)这种情况，也就是说两种明文加密为同一个密文；（2）在原明文后串接上原明文的Ha

一、在”安全或无“意义下的安全性：​ 已知加密算法和输出的一条密文，攻击者的目标是恢复出整条明文；或者说在加密算法的基础上，给定一组明-密文对，攻击者的任务是恢复出整个密钥。攻击者或者成功地完全得到想要的秘密，或者什么都没有得到。”无“，无论在攻击之前还是攻击之后，攻击者没有得到关于秘密的任何信息。​ 综上，这是一种非常弱的公钥密码体制的安全性的概念，只考虑了被动攻击（攻击者不能操纵或修改密文），也可以说是不安全性的定义。因为明文数据很可能含有一些”先验消息“，攻击者可以知道这些消息。知道这些”部分

公钥加密体制的安全性有这样三种概念： 1、完美安全性：如果一个具有无限计算能力的敌手从给定的密文中不能获取明文的任何有用信息，我们就说这个加密体制具有完美安全性或信息论安全性。​ 能达到这个安全条件的加密算法为“一次一密”，要求加密使用的密钥长度至少要跟消息一样长才????。​ 根据Shannon理论知道，要达到完美安全性，密钥必须和明文一样长并且相同的密钥不能使用两次。然而，在公钥密码体制中，加密密钥可以用来加密很多消息并且通常是很短的。因此**，完美安全性对于公钥密码体制来说是不现实的。*

​ 公钥加密方案的安全目标（从低到高，从敌手的角度指攻破安全体制由难到易）：不可攻破性：指抗完全攻破，从敌手攻击的角度而言，指敌手能从公钥得到相应的私钥。所以完全攻破也叫密钥恢复。对公钥加密而言，公钥总是可以得到的，因而抗完全攻破是一种隐含的基本要求。单向性：也叫抗部分攻击，从敌手攻击角度而言称为部分攻破（Partial Break），即明文恢复 ，指敌手可能不知道密钥 （这里指私钥） ， 但对某些密文能直接得到明文。更严格地说，抗部分攻破是指： 在不知道私钥的情况下 ，从密文不能恢复相应的明文，即

在Kerchhoff假设下，按照密码分析者具有不同的攻击条件，攻击类型有大致5种：（1） 唯密文攻击（COA）：敌手只能通过考察一些密文来试图推导出解密密钥 （即私钥）或这些密文对应的明文。（2） 已知明文攻击（KPA）：敌手已知一定数量的明文和相对应的密文，试图推导出私钥或者其他密文对应的明文。（3） 非适应性选择明文攻击（CPA1）：敌手可以选择明文，接着得到这些明文相对应的密文，即假设敌手可访问加密预言机 。（Encryption Oracle，加密设备） ，可以问询这个加密预言机某个明