不可分辨性(IND)和非可塑性(NM)有何不同？

Question

通过阅读卡茨和林德尔的“现代密码学导论”，我偶然发现了这些概念，它们是在没有太大区别的情况下迅速被引入的。

不可分辨性(IND)和非可塑性(NM)有何不同？哪一种是这两种更强的概念，在哪一种(如果有的话)情况下它们是等价的？

Answer 1

对于这个答案，我将使用注释：“公钥加密方案的安全概念之间的关系”，由Bellare，Desai，Pointcheval和Rogaway著(PDF )中链接的文件，其中还包含了这个非常好的概述图，它位于PDF的第4页：

不可分辨性(IND)和非可塑性(NM)有何不同？

通常，在IND设置中，您尝试使用给定的功能(不同阶段的加密和解密预言)推断一些有关给定明文的信息(至少1位)。

另一方面，在NM设置中，给您一个明文$x$的密文$x$，现在您希望想出一些“有意义的”关系$R$，这样在给定$y$时，您可以找到向量$\bf y$，当组件明智地解密时，它会生成明文的向量$\bf x$，这样$R(x，{bf})$将保持。

如果您在问自己如何为NM实现CCA1和CCA2之间的区别，在CCA1中，您只能在看到$y$之前访问解密oracle。

这两个概念中哪一个更强？

从上面的图表中可以看出，对于给定的攻击者能力X，NM通常意味着IND，但反向并不总是成立。

哪一种(如果有的话)方案是等价的？

如上图所示，只有当X=Y是CCA2攻击者模型时，NM和IND才是等价的。