<p dir="ltr">Just a quick note on an somewhat related  paper that defines 'entropy-restricted' (weaker) analogues of standard indistinguishability notions:</p>
<p dir="ltr">Kelley and Tamassio, Secure Compression: Theory & Practice: <a href="http://eprint.iacr.org/2014/113">http://eprint.iacr.org/2014/113</a></p>
<p dir="ltr">(Their definitions seem weaker than I'd like, however.) </p>
<p dir="ltr">(Somewhat more post-IO.) <br>
</p>
<div class="gmail_quote">On Jun 26, 2014 12:03 PM, "Michael Rogers" <<a href="mailto:michael@briarproject.org">michael@briarproject.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
On 26/06/14 19:57, Michael Rogers wrote:<br>
> It seems to me that the information leak depends on the observer's<br>
> prior knowledge about possible message sizes. For example, if the<br>
> observer knows that the message is either "Yes" or "No" then<br>
> padding to the next power of two does nothing to conceal the<br>
> message size (which in turn reveals the content).<br>
<br>
Sorry for the self-reply. Putting it in these terms made me wonder<br>
whether we should aim to minimise the mutual information between the<br>
input and output distributions.<br>
<br>
Cheers,<br>
Michael<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.12 (GNU/Linux)<br>
<br>
iQEcBAEBCAAGBQJTrG5dAAoJEBEET9GfxSfMK3QH/04wK5XAC9yCM+5YJPNVNnE1<br>
b7iYKLTFbTqu7qc7EEPWS1qYC/+WNHGxPGzVQvvOmzLt4Cs0im3DvqMmPRHy02A7<br>
Przn6SW7HEJ8YjkShid4X7kQtxSe/3ena7ATgcYPzHZVLq6NvOYrltr+1oaRoxqj<br>
h7xitBAredu7Q4TqY3XfXxYwgXk1CWMkIBLcicC3WPcTVIl6H66HRmTGzygqMnqp<br>
LsSTptiYU/kxbQB5J1Xt/oGtY8p0U3h75uGgM3WgDiA21wjoq4s8+zMYdK1nZlWX<br>
WojHgA7YEwOvoAoM3J78CwXK76vDRonlaqFCKI7trg2VNeVAB1zVQYisv2pHlGg=<br>
=Ud6z<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div>