威胁模型

威胁模型应该是限定能力而非策略

1. 唯密文攻击：最基本的攻击，只能得到一个或多个密文
2. 已知明文攻击
3. 选择明文攻击
4. 选择密文攻击

对于攻击询问方式有：

1. 适应性：敌手可以有适应性的选择（非随机化的加密都不是适应性的）
2. 非适应性：一次发送多个

PrivK 表示“Private-Key Encryption” 上标表示 Against

1. $Priv{K}^{eav}$ 表示攻击模型是 窃听攻击（eavesdropping）。
2. $Priv{K}^{KPA}$ 表示 已知明文攻击（Known Plaintext Attack）。
3. $Priv{K}^{CPA}$ 表示 选择明文攻击（Chosen Plaintext Attack）。
4. $Priv{K}^{CCA1}$ 表示 早期选择密文攻击（Chosen Ciphertext Attack 1）。
5. $Priv{K}^{CCA2}$ 表示 自适应选择密文攻击（Adaptive Chosen Ciphertext Attack 2）。

---

IND-CPA 或 IND-CCA2 等前面加上不可取分表示目标是 不可区分性

---

数字签名的威胁模型

• 无消息攻击（No-message attack，NMA）: 敌手只能知道公钥。
• 随机消息攻击（Random message attack，RMA）: 敌手可以获取随机消息的签名（不受敌手控制）。
• 非适应性选择消息攻击（Non-adaptive chosen messageattack，naCMA）: 敌手确定一个想要获得签名的消息列表（在他知道公钥之前）。
• （适应性）选择消息攻击（Chosen message attack，CMA）: 敌手可以适应性地要求对其选择的消息进行签名。

指向原始笔记的链接