认证加密

AE 一定可以推出 CCA 反之不行

同时可以用下面的 Game 来定义 AE：（这和上面的定义等价）

$E n c_{k} (m)$ 和 $E n c_{⊥} (m)$ ：
- $E n c_{k} (m)$ ：用密钥 k 对消息 m 进行加密，产生密文。
- $E n c_{⊥} (m)$ ：代表无效的加密操作，即与 m 无关的输出
$De c_{k} (c)$ 和 $De c_{⊥} (c)$ ：
- $De c_{k} (c)$ ：用密钥 k 对密文 c 进行解密，得到原始消息 m 或错误。
- $De c_{⊥} (c)$ ：表示永远返回解密错误（无效）

这样说明攻击者无法构造有效的密文，即使拦截了密文也无法篡改，同时也无法通过密文获取关于明文的任何信息

下面尝试用 IND-CPA 的对称加密和 MAC 来构造 AE

直接可以无脑使用的 AE 方案：

🪴 Cyril