Xét hai giải thuật mã hóa E và F. Yêu cầu về độ an toàn của 2 giải thuật này khác nhau. F sử dụng khóa thời gian sống ngắn (khóa phiên), trong khi E sử dụng khóa thời gian sống dài (khóa “dài”) [3].
Trong phần 4.3, thuật ngữ TBTDL bất hợp pháp nghĩa là TBTDL này sử dụng bộ khóa nhái.
1) Độ an toàn giải thuật E
TBTDL bất hợp pháp B nghiên cứu hệ mã hóa E, bản mã C. Có hai trường hợp khi TBTDL B nhận được bản mã của khóa phiên: (i) HoặcEL(K).
(ii) HoặcEL(RK), trong đó RK (Random K) là chuỗi ngẫu nhiên có độ dài |K|. TBTDL B phân biệt được hai trường hợp trên với xác suất không đáng kể.
Hiệu số của chúng giới hạn bởi 1: B
Pr[
| giải mã EL(K)]Pr[B giải mã EL(RK)]|1 (4.1) Trong đó: Pr ký hiệu xác suất giải mã E.
Pr[ giải mã B EL(K)] là xác suất giải mã EL(K) đúng của B.
Pr[ giải mã B EL(RK)] là xác suất giải mã EL(RK) đúng của B. Như vậy giải thuật E có độ an toàn 1 [3].
2) Độ an toàn giải thuật F
Có hai trường hợp khi TBTDL B bất hợp pháp nhận được bản mã của bản tin M: (i) Hoặc FK(M).
(ii)Hoặc FK(RM), trong đó RM là chuỗi ngẫu nhiên có độ dài |M|. TBTDL B phân biệt được 2 trường hợp với xác suất không đáng kể. Hiệu số của chúng giới hạn bởi 2:
|Pr[B giải mã FK(M)]Pr[B giải mã FK(RM)]|2. (4.2) Trong đó: Pr ký hiệu xác suất giải mã F.
Pr[ giải mã B FK(M)] là xác suất giải mã FK(M) đúng của B. Pr[ giải mã B FK(RM)] là xác suất giải mã FK(RM) đúng của B. Như vậy giải thuật F có độ an toàn 2 [3].
3) Độ an toàn của giải thuật thiết lập khóa
Trong SCF còn có giải thuật thiết lập khóa “dài” L cho mỗi TBTDL i uSi.
Định nghĩa 4.4
Gọi A là giải thuật sử dụng SCF xác định các tập con S1,...,Sw. Xét TBTDL bất hợp pháp B:
Lựa chọn i, 1 i w.
Nhận tập khóa bí mật L cho u uNSi
Ta nói rằng A thỏa mãn thuộc tính “khóa không thể phân biệt đƣợc”, nếu hiệu số xác suất B giải mã L và xác suất B giải mã i RL (i RL là chuỗi ngẫu i nhiên cùng độ dài L ) là không đáng kể và biểu diễn bởi i 3:
B Pr[
| giải mã Li]Pr[B giải mã RLi]|3 (4.3) Trong đó: Pr ký hiệu xác suất giải mã khóa “dài”..
Pr[ giải mã B Li] là xác suất giải mã L với kết quả đúng của B. i
Pr[ giải mã B RLi] là xác suất giải mã RL với kết quả đúng của B. i Như vậy giải thuật thiết lập khóa có độ an toàn 3 [3].
Bổ đề tiếp theo [3] là hệ quả của thuộc tính “khóa không thể phân biệt đƣợc”, và sẽ được sử dụng để chứng minh định lý 4.1. Bổ đề 4.1 Với bất kỳ 1 i w, đặt t 2 1 i i i ,S ,...,S
S là các tập con chứa trong S . i Đặt
t 2
1 i i
i ,L ,...,L
L là các khóa tương ứng với các tập con đó.
TBTDL bất hợp pháp B chọn i, 1 i w, và nhận L chou uNSi. Nếu B chú ý phân biệt các khóa
t 2
1 i i
i ,L ,...,L
L với các khóa ngẫu nhiên t 2 1 i i i ,RL ,...,RL RL thì: B Pr[ | giải mã L ,...,L ] Pr[B t 1 i i giải mã RL ,..,RL ]| t. t i 1 3 (4.4) Trong đó: Pr ký hiệu của xác suất giải mã khóa “dài”.
B
Pr[ giải mã L ,L ,...,L ] t 2
1 i i
i là xác suất giải mã khóa phiên K, được mã hóa lần lượt t lần với từng t 2 1 i i i ,L ,...,L L . B
Pr[ giải mã RLi1,RLi2,...,RLit] là xác suất giải mã khóa phiên K, được mã hóa lần lượt t lần với từng
r 2 1 i i i ,RL ,...,RL RL . Chứng minh (bằng phản chứng)
Cho đơn giản, đổi tên
t 2
1 i i
i ,S ,...,S
S (các tập con của S ) thành i S1,S2,...,St và sắp xếp theo kích thước của chúng. Giả sử |S1| |S2|…. |St|.
Ký hiệu pj Pr[B giải mã L1,...,Lj,RLj1,..,RLt]. Tức là xác suất giải mã khóa K, được mã hóa lần lượt với từng khóa “dài” L1,...,Lj,RLj1,..,RLt, do B thực hiện.
Ta phải chứng minh: pt p0 t.3
Bằng phản chứng, giả sử pt p0 t.3. Dưới đây chỉ ra cách tạo ra B’, có thể phân biệt giữa RL và j L với xác suất > j 3. Kết quả hoạt động của B’ là hóan vị của B:
Khi B chọn S , B’ chọn i Sj Si như trên (do đó|pjpj1|3). B’ nhận L với u uNSi, và do đó B có tập khóa L , u uNSi.
Khi B’ nhận yêu cầu X và cần phân biệt X là RL hoặc j L , nó tạo yêu cầu cho j B hoặc là L1,...,Lj,RLj1,....,RLt hoặc L1,...,Lj1,RLj,RLj1,...,RLt.
Lưu ý rằng vì thứ tự là S1,...,Sj1 Sj, khi B’ có L với u uNSj thì nó biết các khóa L1,...,Lj1, trong khi RLj,RLj1,...,RLt là ngẫu nhiên.
Chuỗi thứ j đơn giản là X (B’ nhận được). B’ phản hồi lại cho B.
Hiệu số giữa xác suất B’ giải mã RL và xác suất B giải mã j L là hiệu số j xác suất B’ giải mã L1,...,Lj,RLj1,....,RLt và xác suất B giải mã
t 1 j j 1 j 1,...,L ,RL ,RL ,...,RL
L , được giả sử là lớn hơn 3.