要保证密码系统的安全，需要证明什么？

Question

例如，从明文生成密文很容易，但从密文中获取纯文本却很困难/不可能。

我一般会问，但对非对称密码更感兴趣。

这些东西与我要证明的是一个好的数字签名有什么不同吗？

Answer 1

并不是每一个密码系统都是安全的，事实上大多数都不是。即使在那些安全的密码系统中，也只是在有限的假设下证明的，而不是完全一般意义上的。

在那些可以证明是安全的目标中，所需要的是一个正式的目标，并证明系统在零或更正式声明的假设下完成了目标。

例如，IND(所选密文攻击下的不可区分性)和IND(在所选明文攻击下不可区分)是对攻击者能力的不同假设的目标。并不是每个密码系统都能满足其中一种，或者两者都满足，或者需要这样做。许多人既不满足，也仍然安全。其他人将满足两者，但由于其他因素，如实现缺陷或橡胶软管密码分析的应用不安全。请参阅fmraiem's coment中的链接以获得更多信息(对“IND-”安全概念的简单解释？)。

以公钥密码学为例，可以证明Diffie-Hellman密钥交换系统依赖于计算Diffie问题(CDHP)的安全性。如果CDHP是硬的，Diffie-Hellman密钥交换是安全的(在Diffie-Hellman的假设下，如中间人攻击是不可能的)。如果CDHP很容易，那么Diffie-Hellman密钥交换即使假设成立，也是不安全的。CDHP被认为是困难的，但这还没有得到证实。Diffie-Hellman密钥交换在实践中包括其他方面，以确保其假设能够成立，例如使用证书对各方进行身份验证和避免中间人攻击。