<p dir="ltr">Guy: Awesome to hear that!</p>
<p dir="ltr">Michael: Agreed; whether or not a padding scheme is optimal depends on the prior. Mutual information sounds about right.</p>
<p dir="ltr">(The strongest case seems to be where unpadded message lengths are unique labels, and the adversary knows the true pdf for unpadded message length.) </p>
<p dir="ltr">But optimization is fairly constrained; the expectation for message size must (obviously) be finite, and padded messages must be at least as long as unpadded messages.</p>
<p dir="ltr">(Yo is nearly optimal in the unconstrained case. (Sorry, couldn't resist.) ) </p>
<p dir="ltr">I've doodled a bit at various models to capture what's needed in the strongest adversarial model; but thus far have only come up with excessively complex models with no non-trivial analytic solutions. </p>

<p dir="ltr">(There's always the trivial solution for the delta - or, if indistinguishability from an unpadded distribution isn't required, any finitely bounded - distribution, which is just a delta function.)</p>

<p dir="ltr">I'm curious, however: What are the properties that people expect a message padding scheme to achieve?</p>
<p dir="ltr">For padding alone, indistinguishability doesn't seem that useful, because if the scheme is disclosed, the adversary knows whether padding is being used. (Indistinguishability does seem to be useful if message delta-ts are brought in.)</p>

<p dir="ltr">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256</p>
<p dir="ltr">On 08/06/14 06:12, David Leon Gil wrote:<br>
> *Min-entropy choice:* Exponential-padding, i.e., padding to the<br>
> next-highest power of some constant, c. This asymptotically leaks<br>
> a bounded amount of information. And it only costs O(n) space. I<br>
> am puzzled why this is not the default for most messaging systems.</p>
<p dir="ltr">It seems to me that the information leak depends on the observer's<br>
prior knowledge about possible message sizes. For example, if the<br>
observer knows that the message is either "Yes" or "No" then padding<br>
to the next power of two does nothing to conceal the message size<br>
(which in turn reveals the content).</p>
<p dir="ltr">So perhaps the asymptotic behaviour isn't the best metric - but I<br>
don't know what is.</p>
<p dir="ltr">> Q2.Are there any good publications on adversarial models for<br>
> message padding?</p>
<p dir="ltr">I'd also be interested to know this.</p>
<p dir="ltr">Cheers,<br>
Michael<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.12 (GNU/Linux)</p>
<p dir="ltr">iQEcBAEBCAAGBQJTrG0hAAoJEBEET9GfxSfMsz8H/1ePZv+bGiJ0iHaQPkDTRRcv<br>
b+EZu4541u4LITHdbl45q1h4eBXkGmgeH2+k7TqFbEDJaRPYDHqYlqA6CK+1UrU6<br>
z3zq2xYXpxuOiVDb2lXopT9gUfb5SMQjnBBknINTIzcY98/vvQhgwoYt4R1m7Fu+<br>
2E8BSEYjizhylZ1EvuryTWUrinvp0qvyQMPbmQFiz3JnfgVvHPbQiCUzNbs4IGB7<br>
qwFvTDazGgTzQ5PeTMPuZbSexRXRgjhlL/3OIfVcqnvYe1UOkwBYceaZU9243q6r<br>
dXsL5Ho6+pDzYZozisEqxWNTukxCb4g061CEFTa2eFPPi+oNFw2/McL5XQhr6sg=<br>
=Rnp7<br>
-----END PGP SIGNATURE-----<br>
</p>