jmjp

>>No.65153555
很好很直观的解释( ´ρ`)

既然信息论安全这么厉害，为什么现在没有广泛应用呢？要达到这种程度的安全，就必须承受相应程度的代价：密钥必须和消息一样长。

这个结论可以从唯一映射要求中推导出来（后文的一切信息都看成二进制串）：因为知道 m 和 c 的情况下，只存在唯一的 k 与之对应，那么只需要固定 c，然后让 m 取不同的值，k 相应的就必须有这么多种不同的取值才能满足需求，这就要求 k 和 m 的长度要一样。

想象一下，如果你要加密一个 1G 的图片，必须事先安全的交换 1G 的密钥才能保证此加密的有效性，这显然是不可接受的。我们日常中习以为常的用一个短一点的密钥去加密长的消息，在这里是可能实现的吗？

很遗憾，如果密钥长度变小，密文解密的空间就一定会变小，那么就一定导致在得知密文下的明文的概率不同于明文本身的概率，这就不满足我们构想的信息论安全的定义了。

我们使用密码学的名词总结一下：能够达到信息论安全的加密方案称为“完善保密加密”，它的效果是密文的分布和明文的分布是完全没有关系的。

唉密码学我入坑了多少次都没入进去( ﾟ∀。)

jmjp

我知道你很急，你已经迫不及待的想引入“没那么安全的安全”的定义了，但你先别急，因为我们还需要再深入研究一下才能走的更远，因为这个安全定义（明文密文分布没有任何统计关联）并不是很好用。我们引入两个更好用的东西：不可区分性和基于若干交互游戏的证明 (Game-based Proof)

> 不可区分性（IND，indistinguishability）

什么是不可区分？不可区分就是两个本来不同的东西，加工之后没有能力分辨出来哪个是哪个。写成公式就是这样：对于任意给定的 c 和 k，任意两个 m 和 m' 有 Pr[Enc_k(m)=c] = Pr[Enc_k(m')=c] 始终成立。这个和之前的公式是等价的，称为“完美不可取分”。

等价的推导可以这么想（可略过）：猜对的概率根据信息论安全的结论都是 1/（k 空间的大小），也就相等了。反推回去也容易，对于所有可能的 m 概率都相等了，总的概率又是 1，所以每种情况的概率刚好就是 1/(m 空间的大小) ，这个结论对于和 c 一点关系都没有，所以 c 的分布与 m 独立。

我们也可以换一种思考方式去思考这个式子：如果我们拿到了 c，去猜测 m 是什么，不管用什么方法去猜，先猜这个或者通过某种计算得到某种猜测的顺序，能够猜正确的概率永远和乱猜是一样的。

> 敌手最好的方法就是乱猜

这就是不可区分所传达的核心信息。这里谈到了“敌手”，我们有没有办法去规范化、数学化这句话呢？这就到了 Game-base Proof 大显身手的时候了：

我们需要构造基于一个敌手 A（Attacker）的 Game，形式化定义 A 的能力：不能区分密文来自于那个明文的加密，

我们让 A 主动选择两个信息 m0 m1 交给我们，然后我们 roll 一个 r0[0,1] 作为 b，再 roll 一个密钥 k 加密对应下标的 m 发送回去（0 就发 m0,1 就发 m1），敌手要猜我们加密的是哪个信息，发送回来另一个 b‘ （挑战），如果猜对了就算 A 赢了。

如果敌手在游戏中获胜的概率严格等于二分之一，则称这个加密方案具有敌手不可取分性。这可以等价于上文的完美不可取分，证明不难读者自证 (` ゥ´ )

Game 中“我们”的角色在密码学领域有一个专有名词，叫做“预言机”（Oracle）。之所以叫这个名字是因为在证明当中它的能力一般都是天花板，没啥限制 ( ﾟ∀。)7" 上文的 Game 规范的流程给我们在现实中的攻击和防守方找到了一个非常有用的数学证明框架，给我们下文更加现实的加密方案铺平了道路。

至此，完善保密加密的部分算是结束了。但是在进入对称加密的世界之前，我们还需要掌握一些必要的知识……

不先从机密性完整性可用性开始吗( ﾟωﾟ)

昨天晚上借着po的文章与ai相互服用习得了好多知识(　ﾟ 3ﾟ)(　ﾟ 3ﾟ)(　ﾟ 3ﾟ)亲亲亲

>>No.65160528
这个感觉是后人对系统安全性的高度概括？(>д<)总之我还是从我课程的大概顺序讲下来吧

(　ﾟ 3ﾟ)亲亲

我们开始谈谈现实的一些东西

> 高熵、均匀一致和随机

熵是啥？物理学家借统计学家的口吻说，熵是一种衡量混乱度的值。香农提出的信息熵也借鉴了这个概念，信息熵越高，表示信息所含有的不确定性越大，可能性越多（某种意义上也是混乱度），也越难预测。

均匀一致是什么？指的是事后统计数据（事前的概率往往在现实中只是我们的一厢情愿，我们最实际的情况只能得知频率，概率则是通过数学模型假设后推导出来的），每一个情况发生的频率都相等。

那么，一个均匀一致的序列发生器（不断向外部吐出 01 的机器）是高熵的吗？答案是否定的，如果固定是 010101 这么出现，那么我们预测将会非常容易，这就不符合高熵的定义了。反过来高熵的序列发生器一定是均匀一致的吗？也不是，可能结果上有一些微妙的偏差，在熵不是最大的时候（实际也很难一直保持）一定 0 多一点或者 1 多一点，也不是均匀一致的。

不过很幸运，我们有很多方法让不同分布的高熵数据变成均匀一致的。如一个高熵的序列发生器，产生 0 的概率比 1 大那么一点，那么只要我们两位两位的读取，01 作为 1，10 作为 0，11 和 00 丢弃，这么处理过后产生的结果就是均匀且高熵的。

从结果上来说，我们所期望的真正“随机”就是这么个东西：一个均匀且高熵的数据。它的数学模型就是均匀分布，只不过这个在现实中难以直接实例化，所以我们绕了一大圈从信息熵和频率的角度去找到它。这个东西产生的难度就转移到了“高熵数据”的获取上（这东西可以产生的数据并非均匀，只要难预测就行了），它现实中的来源可以是分子热运动、混沌系统等等。

信息熵和物理熵还是有区别的，信息熵最直观表示的是信息量而不是混乱程度。可以说一件事的结果提供的信息量越大，这件事信息熵越高。或者说，信息熵体现的是你知道一个事件的机制，知道这个事件的结果，你从这个结果中能获得多少信息。仅在概率分布均匀的情况下，信息熵只与每个结果出现的概率有关。

例如一个事件，50%的可能性输出1，50%的可能性输出0，信息熵为1；1%可能性输出1，99%可能性输出0，信息熵为0.08；1%可能性输出1，1%可能性输出2，...，1%可能性输出100，信息熵为6.6

> 计算复杂度理论

现实中，人和机器的算力都是有限的。我们希望能够在开始计算之前就知道我们计算所要花费的步骤、精力、资源需要多少，而这个往往和我们需要解决的问题和我们选择的算法有关。例如我们计算2位数乘法和两个 100位数相乘的代价肯定是不一样的，或者这个数字有规律的时候，我们可以选择一些更加取巧的方法去计算。问题规模和算法的选择这两种因素，我们想把他们分开，因此聪明的计算机科学家借用了数学函数增长趋势来描述这种差异。

把问题规模抽象成 n，则我们解决问题所需要的代价就变成有关 n 的一个数学函数。我们抛弃所有次要矛盾，抓住让这个函数增长最快的地方，抛弃系数，最后的结果就是算法复杂度。

例如一个普通的相同位数的两个数列竖式乘法就是 n 的平方的复杂度，因为竖式下方大概要写下来计算的数字大概在 n 平方的量级。

如果一个复杂度式子中没有出现 n 在指数上或者有 n 的阶乘这么恐怖的东西出现，那么就说这是一个“多项式时间（PPT）”算法。

> P 问题 与 NP 问题

不要被这个概念名字吓到，P (Polynomial Time) 问题就是做题可以多项式时间做出来的问题，NP 问题(Non-deterministic Polynomial Time)就是多项式时间可以看答案验算的问题。解方程的时候，移项求解的过程如果你觉得可以很简单就算出来那很大概率就是 P 问题，如果要看看标准答案对不对，只需要把解带进去计算看看等式两边相不相等就行，如果你觉得这个过程很容易那很大概率也是 NP 问题。

你肯定能大概的感受到，求解应该要比验算要更加困难一些，但目前还没有严格的证明出来这件事(|||ﾟДﾟ)，目前我们都是默认这应该就是对的，即 P≠NP。几乎所有的基于算力的密码学方案都暗含着这个假设。

>>No.65164305
对的！事件发生的概率越低，它含有的信息量就越大，因为它帮我们排除的不确定性越大。信息熵则是一个系统内发生某个事件时，它能带给你的信息量的期望，如果系统内由大量小概率事件构成，则它的信息熵就很大。这里用难以预测来表示“大量小概率事件”，直观上我感觉会更容易理解一点(つд⊂)

>>No.65164316
略微补充一下，密码学的经典险门函数，例如离散对数和ECC不仅是NP问题（因式分解不一定是），还是BQP问题，用量子密码学可轻易解

而后量子密码学的格问题，LWE问题之类的一些问题是NP问题，但不是BQP问题，因此具有抗量子性

>>No.65164316
PPT 和后面搞混了，这里补上洞（

> 可忽略函数

一个随着 n 的增大迅速接近 0 的函数，例如含 n 在指数上的函数的倒数，多项式的倒数不是可忽略函数。

> 概率求解/验证

你可曾听说过素数检验？如果要检验一个数是不是真的是素数，可以采用低效的遍历小于它的每个数看看是不是能够整除这个数，如果都不能整除则说明这是素数。有没有更快的方法呢？有，但是可能得牺牲一些“准确性”，即我检验出来是素数，它有可能不是素数，但我检验出来不是素数它就肯定不是素数，这种有一定概率成功的方法就是概率求解。可以证明，概率求解的复杂度是一定要小于非概率求解的复杂度的。

这里需要平衡的地方是复杂度的减少和成功概率的减少两者的矛盾。我们将能够有能力使用概率求解，并且能力限制在只能够使用多项式时间的算法的敌手称为概率多项式时间敌手（PPT 时间敌手）

>>No.65164498
好耶，是专业的密码肥( ´ρ`)( ´ρ`)只上了一学期课的小白献丑了

https://www.nmbxd.com/t/67148431
\..\-.- -- -...----..-----..---.. - -\ --- -.-\-.-.-.- -...-.--..--.- . \ .-.-..- .-. -.....- -..--.-.--\. -.....-.-...\.-----. ...--.\ . -.....\.-\. -.-- ...---...--... -...-.. - .- . ..\..-. -.---...---...-.--.. . .. -\. --.-.--..----..--.-..--.-\- -. - .\ .-.--.-- --.-.---.-..-..- -
在另一个串看到的密码有没有大佬能帮忙解一下，JP串内

好耶，是密码学，计算机网安人看到这东西就头痛( ´_ゝ`)