Proof: In this proof we use the sam

Proof: Bằng chứng này chúng tôi sử dụng tả tương tự như trong chứng minh định lý 4.4. Cho E = (G, E, D)có một chương trình mã hóa bảo mật ngữ trong mô hình Oracle ngẫu nhiên, và chúng tôi sửa đổinó nhận được một đề án E0 = (G, E0, D0). Các thuật toán chính thế hệ vẫn không thay đổi, vàsử dụng các thuật toán mã hóa và giải mã một ngẫu nhiên oracle O, mà lại được xem như là baOracles O0, O00 và O000.Đổi mật mã, Eek 0 O(msg), rõ bột ngọt bằng cách sử dụng khoá mật mã ek công cộng:1. phân tích cú pháp bột ngọt như hi, s, πi, đặt x = hi, si và y = O0(x), và để cho n = | (x, y) |.2. nếu số π là một CS-bằng chứng hợp lệ, WRT oracle O00 và an ninh thông số 1n + k, cho những khẳng địnhMU đó chấp nhận các cặp (x, y) trong vòng t(n) bước, sau đó đầu ra (1, msg).3. nếu không (tức là, số π không phải là một bằng chứng), đầu ra (2, Eek O000(msg)).Lần giải mã, Ddk 0 O(c), của ciphertext c bằng cách sử dụng chìa khóa giải mã dk riêng:1. nếu c = (1, c0), sản lượng c0 và ngăn chặn.2. nếu c = (2, c0), sản lượng Ddk O000(c0) và ngăn chặn.3. nếu c = (3, c0) sau đó phân tích cú pháp c0 như hi, s, πi, và đặt x = hi, si, y = O0(x), và n = | (x, y) |. Nếu số πlà một CS-bằng chứng hợp lệ, WRT oracle O00 và an ninh thông số 1n + k, cho những khẳng định rằngMU chấp nhận các cặp (x, y) trong vòng t(n) bước, sau đó đầu ra dk và ngăn chặn.4. nếu không ra.Hiệu quả của chương trình này theo như trước. Nó cũng rất dễ dàng để thấy rằng đối với mỗi cặp (ek, dk)đầu ra của G, và cho mỗi văn bản thuần msg, bình đẳng Ddk 0 O (Eek 0 O(msg)) = msg giữ cho mỗiO. để hiển thị các đề án là an toàn trong mô hình Oracle ngẫu nhiên, chúng tôi quan sát một lần nữa rằng nólà infeasible để tìm một văn bản thuần đáp ứng các điều kiện trong mục 2 của thuật toán mật mã(này, một ciphertext thỏa mãn các điều kiện trong mục 3 của giải thuật giải mã). Vì vậy, cácđề án đổi lý tưởng mã hàng hóa (trong mô hình Oracle ngẫu nhiên) thừa hưởng tất cả các tính năng bảo mật củalược đồ gốc.Tương tự như vậy, để cho thấy rằng thay thế nhà tiên tri ngẫu nhiên bởi bất kỳ chức năng toàn bộ sản lượng một không an toànđề án, chúng tôi một lần nữa quan sát rằng đối với bất kỳ quần như vậy có tồn tại một kẻ thù người – cho hạt giốngs-có thể tạo ra một msg rõ đáp ứng các điều kiện trong mục 2 của thuật toán mật mã.Do đó, một kẻ thù có thể xác định khi bột ngọt được được mã hóa (như vậy vi phạm bảo mật ngữ nghĩa).Điều này chứng tỏ (a) một phần của định lý. Về phần (b), kẻ địch tạo ra một c ciphertext đáp ứngCác điều kiện ở mục 3 của giải thuật giải mã, và yêu cầu một giải mã của c, do đó lấychìa khóa giải mã bí mật.Nhận xét 4.7 như trái ngược với định lý 4.4, ở đây chúng ta cần phải làm cho các giả định tính toán,cụ thể là, rằng có tồn tại đề án được an toàn trong các mô hình Oracle ngẫu nhiên. (Các kết quả trong [25]««ngụ ý rằng nó không chắc rằng các chương trình được chứng minh để tồn tại mà không thực hiện bất kỳ giả định.)Rõ ràng, bất kỳ chương trình bảo mật mà không oracles ngẫu nhiên cũng là an toàn trong Oracle ngẫu nhiênMô hình. Nhớ lại trước đây tồn tại, cung cấp cửa sập hoán vị tồn tại [21, 36].

Bằng chứng: Trong chứng minh này chúng tôi sử dụng các ký hiệu giống như trong chứng minh của định lý 4.4. Hãy E = (G, E, D)
là một chương trình mã hóa đó là ngữ nghĩa an toàn trong Random Oracle Model, và chúng tôi sửa đổi
nó để có được một đề án E0 = (G, E0, D0). Các thuật toán tạo khóa vẫn không thay đổi, và
sự mã hóa và giải mã thuật toán sử dụng một O ngẫu nhiên oracle, mà là một lần nữa xem như ba
sấm O0, o00 và O000.
Mã hóa thay đổi, Eek 0 O (msg), trong msg bản rõ bằng cách sử dụng công encryption- ek chính:
1. Phân tích msg là hi, s, πi, đặt x = hi, si và y = O0 (x), và để cho n = | (x, y) |.
2. Nếu π là một giá trị CS-proof, wrt oracle o00 và an ninh thông số 1N + k, cho sự khẳng định
rằng MU chấp nhận các cặp (x, y) trong t (n) bước, sau đó đầu ra (1, msg).
3. Nếu không (tức là, π không phải là một bằng chứng như vậy), đầu ra (2, Eek O000 (msg)).
Modified giải mã, DDK 0 O (c), các bản mã c bằng cách sử dụng giải mã-key dk tin:
1. Nếu c = (1, c0), sản lượng c0 và dừng lại.
2. Nếu c = (2, c0), sản lượng DDK O000 (c0) và dừng lại.
3. Nếu c = (3, c0) sau đó phân tích c0 là hi, s, πi, và đặt x = hi, si, y = O0 (x), và n = | (x, y) |. Nếu π
là một giá trị CS-proof, wrt oracle o00 và an ninh thông số 1N + k, cho sự khẳng định rằng
MU chấp nhận các cặp (x, y) trong t (n) bước, sau đó dk đầu ra và dừng lại.
4. Nếu đầu ra?.
Hiệu quả của chương trình này sau như trước. Nó cũng dễ dàng để thấy rằng đối với mỗi cặp (ek, dk)
đầu ra của G, và cho mọi msg rõ, sự bình đẳng DDK 0 O (Eek 0 O (msg)) = msg giữ cho mọi
O. Để chứng minh rằng chương trình này là an toàn trong Random Oracle Model, chúng ta quan sát một lần nữa rằng nó
là không khả thi để tìm một bản thô đáp ứng các điều kiện tại khoản 2 của thuật toán mã hóa
(resp., Một bản mã đáp ứng điều kiện tại khoản 3 của thuật toán giải mã). Do đó, các
chương trình mã hóa lý tưởng sửa đổi (trong Random Oracle Model) được thừa hưởng tất cả các tính năng bảo mật của
chương trình gốc.
Tương tự như vậy, để cho thấy rằng thay thế oracle ngẫu nhiên bởi bất kỳ chức năng quần thể mang lại một không an toàn
án, người ta lại thấy rằng đối với bất kỳ quần như vậy có tồn tại một kẻ thù người - cho hạt giống
s -. có thể tạo ra một msg rõ thỏa mãn điều kiện tại khoản 2 của thuật toán mã hóa
. do đó, một kẻ thù như vậy có thể xác định khi msg đang được mã hóa (như vậy, vi phạm an ninh ngữ nghĩa)
điều này chứng tỏ phần ( a) của định lý. Đối với phần (b), các đối thủ tạo ra một c bản mã đáp ứng
các điều kiện tại khoản 3 của thuật toán giải mã, và yêu cầu một giải mã của c, do đó có được
chìa khóa giải mã bí mật.
Ghi chú 4.7 Trái ngược với định lý 4.4, ở đây chúng ta cần đưa ra giả định tính toán,
cụ thể là, rằng có tồn tại phương án đó được an toàn trong các ngẫu nhiên Oracle Model. (Các kết quả trong [25]
ngụ ý rằng nó không chắc rằng kế hoạch này đã được chứng minh để tồn tại mà không làm bất kỳ giả định).
Rõ ràng, bất kỳ đề án mà là an toàn mà không sấm ngẫu nhiên cũng được an toàn trong Random Oracle
Model. Nhớ lại rằng tồn tại trước đây, cung cấp các hoán vị cửa sập tồn tại [21, 36].