امنیت معنایی

اگر حمله‌کننده ${\displaystyle A=(A_{1};A_{2})}$ مراحل زیر را انجام دهد:

یک کلید رمز K از مجموعه ${\displaystyle \{0,1\}^{k}}$ استخراج می‌شود.

مرحله اول: ${\displaystyle A_{1}}$ یک توزیع قابل نمونه‌برداری D را بر مجموعه ${\displaystyle \{0,1\}^{l}}$ به همراه اطلاعات وضعیت s تولید کرده تا در مرحله دوم حمله آن‌ها را ارسال کند.
پیام m از مجموعه ${\displaystyle \{0,1\}^{l}}$ بر اساس توزیع D استخراج می‌شود. ${\displaystyle m{\xleftarrow {D}}\{0,1\}^{l}}$
و یک عدد تصادفی r از مجموعه ${\displaystyle \{0,1\}^{\mu }}$ استخراج می‌شود. ${\displaystyle r{\xleftarrow {R}}\{0,1\}^{\mu }}$
و سپس متن رمزشده c اینگونه محاسبه می‌شود: ${\displaystyle c={\varepsilon }_{k}(m;r)}$

مرحله دوم: ${\displaystyle A_{1}}$ اطلاعات وضعیت s و متن رمزشده c را دریافت می‌کند و مسند f را تولید می‌کند.

حمله‌کننده در صورتی موفق است که (f(m درست باشد. این بدان معناست که حمله‌کننده قادر بوده حداقل یک بیت‌ اطلاعات در مورد m از متن رمزشده به دست آورد. هرچند موفقیت حمله‌کننده از طریق تولید یک مسند ثابت به سادگی امکان‌پذیر است. در صورتی که مسند m ,f را با مقداری بزرگتر از هر متن رمزنشده تصادفی دیگر داشته باشد، حمله‌کننده توانسته امنیت معنایی را نقض کند.
برتری یک حمله‌کننده ${\displaystyle ({Adv}_{\pi }^{sem}(A))}$ در مقابل امنیت معنایی یک طرح رمزگذاری ${\displaystyle {\pi }}$ با رابطه زیر تعریف می‌شود:

${\displaystyle P_{r}{\begin{bmatrix}k{\xleftarrow {R}}\{0,1\}^{k};(D,s){\xleftarrow {}}{A_{1}};\\m,m^{\prime }{\xleftarrow {D}}\{0,1\}^{l};r{\xleftarrow {R}}\{0,1\}^{\mu };\\c={\varepsilon }_{k}(m;r);f{\xleftarrow {}}{A_{2}(s,c)}:\\f(m)=1\end{bmatrix}}-P_{r}{\begin{bmatrix}k{\xleftarrow {R}}\{0,1\}^{k};(D,s){\xleftarrow {}}{A_{1}};\\m,m^{\prime }{\xleftarrow {D}}\{0,1\}^{l};r{\xleftarrow {R}}\{0,1\}^{\mu };\\c={\varepsilon }_{k}(m;r);f{\xleftarrow {}}{A_{2}(s,c)}:\\f(m^{\prime })=1\end{bmatrix}}}$

یک طرح رمزگذاری ${\displaystyle {\pi }}$ در صورتی که برای هر حمله‌کننده A در مدت زمان t رابطه ${\displaystyle ({Adv}_{\pi }^{sem}(A))\leqslant {\varepsilon }}$ برقرار باشد، (ε, t)-امن از لحاظ معنایی نامیده می‌شود.

یک طرح رمزگذاری ${\displaystyle {\pi }}$ در صورتی که حمله‌کننده A حداکثر ${\displaystyle e_{1}}$ و ${\displaystyle d_{1}}$ درخواست رمزگذاری در مرحله اول و به ترتیب ${\displaystyle e_{2}}$ و ${\displaystyle d_{2}}$ درخواست رمزگشایی در مرحله دوم داشته باشد و در مدت زمان t رابطه ${\displaystyle ({Adv}_{\pi }^{sem}(A))\leqslant {\varepsilon }}$ برقرار باشد، (ε, t, ${\displaystyle e_{1}}$, ${\displaystyle d_{1}}$, ${\displaystyle e_{2}}$, ${\displaystyle d_{2}}$)-امن از لحاظ معنایی نامیده می‌شود.[4]

امنیت معنایی دو حالت انتخابی و تطبیقی دارد. در حالت انتخابی حمله‌کننده هویت هدف خود را در آغاز کار انتخاب می‌کند اما در حالت تطبیقی هویت هدف را بعد از ارسال چند پرس و جوی تطبیقی به یک پایگاه داده که کلیدهای سری را مطابق با هویت‌های درخواستی ارائه می‌دهد و بر اساس نتایج آن‌ها تعیین می‌کند، که در این حالت هدف حمله کمتر حالت انتخابی دارد.[5]

امنیت مطلق