公开密钥加密是否存在明文攻击？

Question

在非对称密码中，我们为任何人发布公钥，这意味着攻击者可以加密他们想要的任何消息，并在不与私钥所有者通信的情况下比较密文和明文。那么，对于非对称密码来说，明文攻击有意义吗?还是只对对称密码有意义？

Ps。对公钥密码的攻击有哪些？(我知道所选择的密文和定时攻击。)

Answer 1

已知-明文攻击是密钥恢复攻击。从设计上看，非对称密码不可能受到已知的明文攻击；它将毫无价值。

您描述的非对称密码(如教科书RSA缺失)的属性称为语义安全。一些考虑因素：

• 实际上，RSA可能只用于加密对称加密算法中随机生成的密钥，因为仅用RSA加密大型消息将非常缓慢。如果密钥足够长(例如256位)，那么对每一个可能的明文进行加密是不可行的；它们太多了。
• 如果RSA本身用于加密消息，则适当的实现会对消息应用一些随机填充。
• 对称密码不应受此影响，因为您需要秘密密钥来加密消息。

最后，不可能枚举对公钥密码系统的所有现有攻击。对于每个密码，甚至对于相同密码的不同实现，它们都是不同的(参见致盲)。

Answer 2

定义针对已知的明文攻击的安全性在PKE中是有意义的。碰巧的是，任何针对窃听者的安全方案都会自动避免已知的明文攻击和选择的明文攻击。尽管如此，定义这些类型的攻击并正式显示窃听者的安全意味着针对已知和选择的明文攻击的安全性是有意义的。

事实上，在Katz中，他们首先定义了PKE的窃听安全性。然后，定义CPA安全性，然后在公钥设置中表明两者是相同的。

正如您所提到的，在公钥设置中，窃听者的安全性与CPA安全性之间没有区别。原因是加密oracle不会在公钥设置中向攻击者添加任何功能，因为攻击者拥有公钥，并且可以不使用oracle进行加密。

总之，是的，它确实存在，在Katz中，他们通过给攻击者一个加密预言的IND实验来用PKE定义CPA-安全性。但此oracle不会向攻击者添加任何功能，因为攻击者可以在没有oracle的情况下加密任何消息。因此，在PKE中，窃听安全意味着CPA-安全，这当然意味着安全--众所周知的明文攻击。

关于你的最后一个问题，丹尼斯也是--有很多攻击，而且它们各不相同，所以列出它们都是不可行的。