当前位置：首页 > news >正文

【现代密码学基础】详解完美安全与香农定理

news 文章来源：https://blog.csdn.net/forest_LL/article/details/135875708 2025/5/14 7:35:34

一. 介绍

二. 完美安全的密钥与消息空间

三. 完美安全的密钥长度

四. 最优的完美安全方案

五. 香农定理

（1）理论分析

（2）严格的正向证明

（3）严格的反向证明

六. 小结

一. 介绍

一次一密方案，英语写做one time pad encryption scheme

一次一密方案可以实现完美安全（perfectly secret），但是这些方案是有局限性的，比如所有完美安全的方案密钥空间都要大于等于消息空间，这个定理待会我们会利用密码学专业术语进行证明。

如果假定密钥的长度固定，消息空间（message space）里的明文长度也固定的话，那么完美安全就要求密钥的长度大于等于消息的长度。当然，如果密钥和消息长度一样的话，就像一次一密那样，则是最优的情况。

除了这一个限制外，完美安全还要求密钥只能使用一次，具体证明则留给读者了。

二. 完美安全的密钥与消息空间

一个密码方案可以抽象成如下三个算法：

Gen,Enc,Dec

如果说该密码方案是完美安全的，他的消息空间为M，密钥空间为K，那么一定可得：

$|K|\geq |M|$

证明：

此处我们利用反证法。也就是证明，如果|K|<|M|，那么该方案一定不是完美安全的。

首先假定|K|<|M|。

不妨假设明文在M上是均匀分布的。从密文空间C中选择一个密文c，并且该密文的概率不为0，也就是：

$c\in C$

对于该密文c来讲，使用不同的密钥k可能会得到不同的明文。我们将所有的可能性形成一个集合称之为M(c)，如下：

并不是每个密钥解密都有效，所以很容易可得该集合的空间小于等于密钥的空间，注意包含等于号就是恰好每个密钥都有效，那么可得：

$|M(c)|\leq|K|$

大家可以把该过程的解密算法看成是确定性算法（deterministic）。

根据我们的条件假设，密钥空间小于明文空间，也就是|K|<|M|，那么必然存在一部分的明文不在该集合中，也就是：

$m'\in M\quad m'\notin M(c)$

所以可得：

该概率代表已知密文c，不可能会解密得到m'，因为你已经尝试了所有的密钥。

但是m'在明文空间中是有概率的，也就可以得到：

从敌手的角度来讲，这就是泄露的信息。在已知密文情况下，明文的信息被泄露了一部分。所以很明显该方案不是完美安全的。

三. 完美安全的密钥长度

以上讨论告诉我们，完美安全不能无限降低密钥的长度，也可以将其看成完美安全的局限性。当然，现如今总是会出现一些非密码学的文章解释说设计出了一个新的加密方案，方案是无法攻破的，并且实现了类似一次一密的安全性，而且密钥的长度还小于明文的长度。很明显这类说法要么就是非严格密码学的局外人，要么就是方案本身是错的。