完善保密加密

信息论安全

密文的分布和待加密的分布是完全没有关系的

或者等价描述是：对于所有原文，得到相同的密文的概率是相同的

$$Pr[M=m|C=c]=Pr[M=m]$$

不可区分性

一次一密

如果是具有完善保密加密的算法，它的密钥长度至少和明文一样长

密钥长度如果变小，密文解密的空间就一定会变小，那么就一定导致在得知密文下的明文的概率不同于明文本身的概率

---

• 明文空间 $P$
• 密文空间 $C$
• 密钥空间 $K$

从密文中提取明文或者密钥的信息：

$$I(P;C)=H(P)-H(P\mid C)$$ $$I(K;C)=H(K)-H(K\mid C)$$

对于掌握密钥的人来说：

$$H(P\mid CK)=0$$ $$I(P;CK)=H(P)-H(P\mid CK)=H(P)$$

定理：对于任意密码系统

$$I(P;C)\ge H(P)-H(K)$$

推导：

因为

$$H(P\mid CK)=0$$

画个图不难得到

$$I(P;C)=H(P)-H(P\mid C)=H(P)-I((P;K)\mid C)\ge H(P)-H(K\mid C)\ge H(P)-H(K)$$

即如果密钥的熵小于明文的熵，那么密文就必定会泄露一部分明文的信息。

所以完善保密性存在的必要条件是：

$$H(K)\ge H(P)$$