安全目标

尝试给出加密算法的安全目标：

1. 安全目标想法 1：敌手不能够得到密钥 k
   1. 密钥甚至可以不使用，但是这个算法在任何意义上都不安全
2. 给定 c，很难恢复整个明文 m
   1. 只加密前半部分，泄露一半的明文已经不安全了
3. 给定 c，很难恢复任何明文中的字符
   1. 无法保证敌手不能得到明文中的某些关系
   2. 不能作为通用的安全目标，但是可以妥协到这里提高计算能力
4. 不管攻击者已经掌握了什么信息，密文都不应该泄露任何有关底层明文的额外信息
   1. 这个正确 用 IND 实例化

语义安全

数字签名的安全目标

敌手的目标

• 无条件伪造（Universal forgery，UF）: 给定敌手一个目标，敌手需要为其输出有效的签名。
• 存在性伪造（Existential forgery，EF）: 敌手为其选择的消息输出签名。

对于实际使用的方案：在最强的攻击模型中，敌手甚至不能达到最弱的目标

EUF-CMA安全

指向原始笔记的链接