意味着不可预见性？

Question

诚然，某些操作模式的经典LOR(左或右)-indistinguishability意味着不可预测性。然而，我仍然坚持这个事实的证据。

LOR-某些操作模式的不可分辨性意味着:对手可以访问甲骨文，她可以查询对(m1、m2)到甲骨文；甲骨文将通过加密左消息(m1)或右消息(m2)来响应。模式E是无法区分的，因为对手很难猜出对方留下的消息是加密的还是右的。

说到不可预测性，我指的是以下几点。允许对手询问类型为M的查询并获得响应E(M)。目标是找到一个消息M*，该消息从未被查询过，其中包含相应的密文E(M*)。

直觉是，如果对手A能够以“高”概率预测出甲骨文的输出，那么该模式就会泄漏一些信息，而这个对手可以用来构造敌国B。

这个想法很简单:如果我们有一些甲骨文(左/右)，然后我们取M(A要求的)，我们取完全随机的r，和M一样长，然后把这对(M，r)给我们的(LOR)甲骨文。答案是直接交给A。

如果A将连续预测新消息，那么我们打赌甲骨文是左边的，否则它是正确的。

在左宇宙中，正确预测的概率是A在现实世界中成功的概率。

然而，在正确的世界里，我被困在了如何确定“假阳性”的概率上。对手A有一些“垃圾”值E(r)，而不是E(M)，他被要求。对于某些M*，正确地预测E(M*)有多大帮助？

Answer 1

这样的削减是行不通的。原因是，任何E，如果是LoR无法区分的，必须是随机的。但是，对手的输出可能与甲骨文的结果不同，即使它评估正确的x (由对手选择的)。

事实上，有一个E的S家族是可预测的，但仍然是LoR无法区分的。例如，考虑一个公钥加密方案，它是LoR不可分辨的，让E(x)=(\mathit{Enc}(\mathit{pk},x),\mathit{pk})不可分辨。然后E是LoR不可分辨的。然而，您可以很容易地找到对(x,E(x))，因为只需一个查询就可以检索公钥。

Answer 2

嗯，你能设计一个人造的E，它是无法预测的，但在那里你仍然可以产生一个已知的M^*, E(M^*)对？提示:如果E是不确定的，那么对E(M^*) oracle的查询可能不会给出与已知对中的E(M^*)值相同的结果。