为什么在非对称密码中从来没有提到过混淆和扩散？

Question

在谈论像AES这样的对称加密方案时，我们总是有一个实现混淆和扩散的目标。但对于非对称加密方案，如RSA、DH等，我们从来不谈论扩散和混淆。

模算法和素数算法能保证混淆和扩散吗？

是否有任何文献深入到信息论分析，从混乱和扩散，为RSA？

Answer 1

在非对称密码中，方案的安全性通常依赖于一些潜在的问题，这些问题似乎很难解决( RSA的根提取、DH的离散日志、基于格的密码的短格向量等)。

另一方面，在对称密码中，安全性是临时性的，我们必须依靠诸如扩散和混淆(虽然这些是非常模糊的概念)等启发式方法。

请注意，非对称方案通常具有一些对称性，例如RSA的乘法属性(让我们暂时忽略填充)。这似乎与混淆相矛盾。但是对于这个方案来说，这不是一个问题，而且依赖一个好的困难问题比依赖启发式要好得多。

此外，我们甚至可以从非对称类型的原语构建对称密码，扩散/混淆可能并不完全满足，但它是安全的。这里的核心问题是，与启发式对称原语相比，非对称原语要慢得多。这就是为什么我们在设计对称密码时采用扩散/混淆和其他启发式方法的原因。